 |
|
IT-retten.dk  Indhold 1. Introduktion til IT-retten |
|
| Bogen IT-retten - Indholdsfortegnelse - Bilag og links - Tilføjelser mv. - Spørgsmål og svar - Bestil bogen Om denne side - Information - Kontakt |
Indholdsfortegnelse | Forrige kapitel | Næste kapitel Kapitel 5: Retskilder5.1. Lovgivning og retsafgørelser5.1.a. Regulatorisk lovgivningTeleområdet Den første lovgivning, der søgte at lægge retlige begrænsninger i anvendelsen af informationsteknologi, fik vi længe før den moderne IT, nemlig med reguleringen af teleområdet. Loven om telegrafer og telefoner fra 1897 har etableret et system af koncessioner med hertil hørende kontraktsbaserede kunderelationer, der den dag i dag udgør den retlige ramme for anvendelsen af medier til offentlig telekommunikation. I løbet af 1990'erne skete der en grundlæggende omstrukturering af det danske televæsen. Omstruktureringen tog oprindelig sigte på, at Danmark kunne leve op til den europæiske liberalisering af teleområdet. Siden er teleområdet blevet et fokusområde for landets seneste regeringer (bl.a. under mottoet "bedst og billigst"). Prisen for denne liberalisering har været, at teleområdet nu hører til et af de mest komplicerede IT-retlige lovgivningsområder. Registerlove Den første egentlige IT-lovgivning kom imidlertid først med registerlovene fra 1978. Til grund for denne lovgivning lå et omfattende betænkningsarbejde i form af del-betænkningerne om henholdsvis offentlige og private registre, nr. 687/1973 og 767/1976. 1978-lovene om henholdsvis private registre og om offentlige myndigheders registre blev efterfølgende ændret adskillige gange, inden man i 2000 fik lov nr. 429 af 31. maj om behandling af personoplysning (LBP). Loven, der indfører direktiv 95/46/EF i dansk ret, har rod i et forarbejde i betænkning 1345/1997 om behandling af personoplysninger. Ved siden af denne lov findes der imidlertid talrige særregler, der lægger begrænsninger i retten til at behandle personoplysninger ved hjælp af IT. Lov om visse betalingsmidler giver f.eks. regler om, hvilke oplysninger der må registreres i forbindelse med betalingskort-transaktioner, og tilsvarende regler findes i anden lovgivning. Herudover er der med lov nr. 504 af 30. juni 1993 om Aktindsigt i Helbredsoplysninger givet særlige regler om patienters aktindsigt i bl.a. patientregistre. Med lov nr. 134 af 1. juni 1994 om massemediers informationsdatabaser, er redaktionelle og offentligt tilgængelige informationsdatabaser helt unddraget fra den almindelige registerretlige regulering. Endelig giver lov om offentlige arkiver (jf. lovbekendtgørelse nr. 337 af 14. maj 1992) regler om tilgængeligheden af offentlige arkiver mm. Strafferetten I 1985 var det strafferetten, der stod for tur. Med lov nr. 229 af 6. juni 1985 indsattes en række regler i straffeloven om såkaldt datakriminalitet, der skabte klar hjemmel for at straffe visse former for berigelseskriminalitet begået ved hjælp af IT samt visse angreb mod IT-systemet og dets bestanddele. Reglerne omtales i kapitel 17. Betalingskort Det næste - større - lovgivningsinitiativ på IT-rettens område blev indført med reguleringen af betalingskort og nu visse betalingsmidler. Startskuddet til denne lovgivning kom med 1984-loven om betalingskort, der i 2000 blev afløst af lov nr. 414 af 31. maj 2000 om visse betalingsmidler. Loven etablerer dels et offentligretligt tilsyn med virksomheder, der anvender eller udbyder betalingskortordninger mv., dels regulerer den en række aftale- og erstatningsretlige forhold, mellem den der udbyder, og den der anvender et sådant system. Immaterialret Et af de IT-lovgivningsområder, der har givet anledning til den mest intensive retspolitiske debat og til flest retsafgørelser er immaterialretten. I 1989 blev ophavsretsloven ændret for bl.a. at give udtrykkelig hjemmel for ophavsretlig beskyttelse af IT-programmel. Loven blev igen ændret i 1992 efter vedtagelsen af Rådsdirektivet af 14. maj 1991 om retlig beskyttelse af edb-programmer, og med ophavsretsloven af 1995 blev den IT-retlige retsbeskyttelse udvidet, således at den ikke blot omfatter edb-programmer, men også data i digital form. I 1987 indførtes halvlederloven, lov nr. 778 af 9. december 1987 om beskyttelse af halvlederprodukters udformning (topografi). Også denne lov udspringer af et direktiv. Senest har EU vedtaget direktiver om retlig beskyttelse af databaser og om ophavsret i informationssamfundet. 5.1.b. Konkrete afgørelserDomspraksis Når IT-juristen ofte oplever, at hans fag lider under en udpræget mangel på retskilder, skyldes dette navnlig det begrænsede antal domme på området. Vel findes der et numerisk set stort antal trykte afgørelser i den af Hanne Bender (tidligere Strange Beck) og Ole Bruun Nielsen redigerede domssamling: IT-retlige afgørelser (1-3) men navnlig de senest tilkomne bind indeholder kun få afgørelser af principiel interesse, og udgivelsen af denne domssamling er nu indstillet. På teleområdet foreligger en vis praksis fra Telebrugernævnet. Denne praksis er tilgængelig fra <www.telebrugernaevnet.dk>. Ifølge § 24 i lov nr. 418 af 31. maj 2000 om konkurrence- og forbrugerforhold på telemarkedet kan Telestyrelsen henvise en klage til afgørelse i Telebrugernævnet, hvis den på grund af særlige forhold af bevismæssig karakter ikke skønnes egnet til behandling i Telestyrelsen. Denne henvisningsmulighed gælder bl.a. i sager, der drejer sig om de "grundlæggende brugerrettigheder", som forskningsministeren ifølge lovens § 10 kan fastsætte regler om. Inden for dette område finder man bl.a. et stort antal forbrugerklager (herunder regningsklager), som knytter sig til enkelte teleleverandørers ydelser. Herudover vil enkelte andre statslige klagenævn lejlighedsvis blive præsenteret for IT-retlige problemstillinger, herunder Erhvervsankenævnet (bl.a. i relation til IT-sikkerheden i visse finansielle virksomheder) og Ankenævnet for Udbud (i relation til offentliggørelse af brugergrænseflader mv. ved visse offentlige udbud). Det største og mest interessante materiale af enkeltafgørelser på IT-området foreligger med Forbrugerklagenævnets praksis, som er tilgængelig fra Forbrugerstyrelsens hjemmeside <www.fs.dk>. Nævnet har igennem de seneste år måttet tage stilling til en lang række af dagligdagens praktiske spørgsmål vedrørende køb og salg af alle form for IT-ydelser, lige fra PC'er incl. udstyr, mobiltelefoner, programmer og meget andet. I 2000 er etableret et Klagenævn for Domænenavne, der efter regler udsendt af Dansk Internet Forum (DIFO) er kompetent til at behandle sager om retten til domænenavne under .dk-domænet. Erhvervsankenævnets retsgrundlag og praksis er behandlet af Peer Schaumburg-Müller og Erik Werlauff i Industriministeriets Erhvervsankenævn (1994). Se om Klagenævnet for Udbud, Jacob Federspiel & Ulf Lund i U1996B.414. For en nærmere gennemgang af arbejdet i Klagenævnet for Domænenavne henvises til afsnit 11.5.e. Voldgift Antallet af IT-retlige voldgiftsafgørelser er noget større end domsmaterialet. Her som i den civile retspleje gælder det imidlertid, at omkostningsincitamentet til at forlige sagerne er betydeligt. Dertil kommer, at mange voldgiftssager forliges efter proceduren, hvorved parterne ofte kan spare penge til voldgiftsretten ved blot at nøjes med dennes mundtlige tilkendegivelse om sagens udfald. Voldgiftskendelser kan som bekendt ikke appelleres. For den retsdogmatiske analyse ligger det største problem dog i, at de voldgiftsafgørelser, der dog findes, ikke er samlet og offentliggjort ét sted. En af årsagerne til, at man vælger voldgift, ligger i ønsket om at hemmeligholde sagen for omverdenen, og dette ønske fører ofte til, at de involverede parter ikke ønsker de afsagte kendelser offentliggjort. I relation til de voldgiftsafgørelser, der afsiges af ad hoc voldgiftsretter (der er nedsat med sigte på den enkelte sag og uden for rammerne af en af de etablerede voldgiftsinstitutioner), er det dernæst vanskeligt overhovedet at samle det materiale af voldgiftskendelser, der kunne være af interesse. 5.1.c. Retspolitiske tendenserI disse år præges IT-lovgivningsudviklingen først og fremmest af de nye problemer, der er opstået ved udbredelsen af det verdensomspændende Internet. Det forhold, at enhver borger, virksomhed og myndighed, der via telenettet tilslutter sig Internet, dermed i realtid og med minimale omkostninger kan sprede og modtage information fra enhver anden tilsluttet bruger i hele verden har ikke alene givet anledning til nye kontrol- og håndhævelsesproblemer, men indebærer tillige en forskydning af tidligere etablerede informationsbaserede magtforhold, som uden tvivl vil forandre samfundet ligeså stærkt som andre medier som telefonen, tv'et og radioen har gjort det. Info-samfundet år 2000 I slutningen af marts 1994 nedsatte den danske regering et topersoners udvalg til at styre et projekt, der fik navnet "Informationssamfundet år 2000". Udvalget fik til opgave at udarbejde en række forslag, som bl.a. skulle formulere en overordnet dansk informationspolitik samt identificere særlige indsatsområder for de nærmeste år. Resultatet af dette arbejde er fremlagt i 1994 med Dybkjær/Christensen-rapporten (efter forfatterne, MEP Lone Dybkjær og daværende stiftamtmand Søren Christensen): Info-samfundet år 2000. Heri blev grundlaget skabt for den nuværende regerings opprioritering af de IT-politiske spørgsmål og for en betydelig del af det arbejde, der udføres i Forskningsministeriets IT-politiske søjle. Dybkjær/Christensen-rapporten giver en række anbefalinger, hvoraf hovedparten kredser om et ønske om, at Danmark udnytter sine muligheder i informationssamfundet bedst muligt, såvel inden for den offentlige sektor som i den private. Til rapporten om Info-samfundet år 2000 hører et omfattende bilagshæfte med specialstudier indenfor dele af de emneområder, rapporten behandler. I bilagshæftet finder man bl.a. udredninger om IT-retlige problemstillinger. Handlingsplanerne Info-2000-rapporten er siden fulgt op af årlige handlingsplaner fra Forskningsministeriet. Herudover har en række særlige råd og udvalg fremlagt handlingsplaner og forslag, der skal understøtte den transformeringsproces, der skal bringe Danmark ind i informationssamfundet. For denne bogs emne er navnlig EDI-handlingsplanerne samt anbefalingerne fra regeringens IT-sikkerhedsråd af særlig interesse, se herom afsnit 4.2 og 4.3. Trods den slagkraft, som dele af rapporten har haft på en række lovgivningsområder, er det dog den almindelige opfattelse, at det billede, der tegner sig med indgangen til det nye årtusinde, ikke er det samme som i 1994, da rapporten så dagens lys. I november 1999 udsendte et udvalg nedsat af forskningsministeren en rapport om "Det digitale Danmark", der - påny - tegner billedet for de kommende års IT-politik i samfundet. Rapporten anbefaler en række målsætninger for de kommende års IT-politik bl.a. om "Livslang læring for alle", "Danmark som e-handelsnation", "Bedre og billigere service i den digitale forvaltning", "En dansk indsats på Internettet", og "to IT-fyrtårne i Danmark" (henholdsvis i Nordjylland og i Ørestaden). EU-lovgivning En stigende del af IT-lovgivningen udgår fra EU. Sådan må det næsten gå. Informationsindustrien er en af fællesskabets mest værdifulde sektorer, og tekniske handelshindringer mv. på dette område vil vanskeliggøre udviklingen af denne del af samfundsøkonomien. Arbejdet med regulering af telesektoren er allerede omtalt. I 1995 vedtoges direktivet om beskyttelse af personer i forbindelse med behandling af personoplysninger (95/46/EF) og i 1997 fulgte et direktiv (97/66/EF) om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren. Hertil kommer et væld af direktiver om immaterialretlig beskyttelse af forskellige IT-relaterede frembringelser, jf. nedenfor. I forsøget på at sikre en koordineret IT-politik på europæisk plan har EU betjent sig af talrige virkemidler af retlig, økonomisk og politisk karakter. De første skridt blev taget i 1993 med Kommissionens hvidbog om "Growth, competitiveness, employment - the challenges and ways forward into the 21st century", der betonede vigtigheden af at tage højde for den "digitale revolution" og de heraf følgende strukturelle ændringer i samfundet. Hvidbogen gav politisk støtte til, at en gruppe prominente industrifolk mv. (the Bangemann Task Force) fremlagde deres konkrete visioner og forslag. Siden har der været et væld af rapporter, vismandsudredninger og beslutninger, der alle har peget i samme retning: Europa bør søge en lederposition i den nye digitale verden ved at udnytte sin mangfoldighed og veluddannede arbejdskraft. Og dette bør primært ske ved, at EU spiller rollen som motivator og kun træder til med regulerende retsforskrifter, når væsentlige hensyn er på spil. Det vil føre for vidt her at gå i detaljer om disse mange rapporter, der i form og indhold kan være vanskelige at skelne klart fra hinanden, jf. for en god oversigt over udviklingen i UK, Tyskland, Frankrig og USA Bert-Jap Koops & Corien Prins i 16 CLSR 311 ff. (September-October 2000). Resultatet af det nævnte arbejde var den såkaldte Bangemann-rapport, der som den første fastslog vigtigheden af, at markedskræfterne får mulighed for at styre den teknologiske udvikling under et minimum af offentlig indblanding. Lovgiverens rolle skulle begrænses til at sikre de fornødne konkurrencemæssige rammer, persondatabeskyttelse, digital samhandel (EDI m.m.), kryptering og sikkerhed. Kommissionen vedtog i juli 1994 en handlingsplan med titlen "Europe's way to the Information Society", i hvilken Kommissionen bl.a. annoncerede sit reformforslag om fuld liberalisering af telekommunikationsområdet pr. 1. januar 1998. Siden er flere initiativer kommet til. I 1995 nedsatte Bangemann The Information Society Forum som en permanent tænketank, der årligt har afgivet generelt holdte rapporter, der har betonet nødvendigheden af den sociale dimension, uddannelseshensynet, de svage brugere etc. I januar 1999 indledte Bangemann en konsultationsrunde, der har fået navnet Global Business Dialogue (GBD) som i særlig grad koncentrerer sig om de globale regulatoriske problemer, som den elektroniske handel giver anledning til. GBD-initiativet har ført til en række position papers (programerklæringer) vedrørende en række af de centrale reguleringsspørgsmål på nettet: Persondatabeskyttelse, beskatning, forbrugertryghed, autenticitet og sikkerhed, immaterialretsbeskyttelse, styring af Internettet, ansvar, jurisdiktion og markedsføring. Udnævnelsen af den nye Kommission i sommeren 1999 har endnu ikke medført ændringer i disse initiativer. Efter Bangemanns fratræden som EU-kommissær i 1999 har Kommissionen videreført sit arbejde med samme kraft. Senest er dette sket under det daværende portugisiske formandskab med planen "eEurope 2002 - An information Society for All", se handlingsplan af 24. maj 2000 (COM2000), der indeholder en række konkrete forslag i samme stil som de hidtidige. Immaterialretsområdet Foruden disse generelle initiativer har EU taget en række konkrete skridt til at understøtte lovgivningen på de områder, der spiller en særlig rolle for informationssamfundets udvikling. Et sådant lovgivningsområde er først og fremmest immaterialretten. Immaterialrettigheder giver deres indehaver ret til at modsætte sig kopiering eller spredning af den information, som dækkes af hver enkelt immaterialret (ophavsret, patentret, varemærke mv.). I det omfang sådanne enerettigheder består, hæmmes den frie udveksling af information, hvilket kan være til skade for brugerne af den information og dermed også for samfundet. I det omfang man derimod ikke giver sådanne enerettigheder, kan dette få negative følger for frembringelse af ny information, eftersom man derved fratager udvikleren hans incitament til at investere de fornødne ressourcer heri. Denne afvejning kan være vanskelig at foretage, og dens udfald vil derfor ofte bero på nationale, kultur- og erhvervspolitiske overvejelser. Da dette samtidig giver en risiko for uensartede regler og dermed vanskeligheder for den virksomhed, der ønsker at markedsføre et informationsprodukt for hele unionen, har unionsmyndighederne på et meget tidligt tidspunkt fattet interesse for dette felt. En første grønbog om ophavsret og den teknologiske udfordring (KOM(1988) 172 endelig udg.) blev udsendt i juni 1988 (endelig udg., 21. februar 1989) og dannede bl.a. grundlaget for Kommissionens forslag til direktiv om retlig beskyttelse af edb-programmer (direktiv 91/250/EØF). Den blev fulgt op med en opfølgnings-grønbog (KOM(1990) 584 endelig udg.), den 5. februar 1991. En ny grønbog om "Ophavsret og Ophavsretbeslægtede Rettigheder i Informationssamfundet" - der ligger til grund for det nu vedtagne direktiv - blev udsendt den 19. juli 1995 (KOM(1995) 382 endelig udg.), og denne er senere fulgt op med en opfølgnings-grønbog af 20. november 1996 (KOM(1996) 568 endelig udg.). Kommissionens initiativer på det ophavsretlige område er forløbet parallelt med tilsvarende initiativer i USA, der i præsident Clintons embedsperiode har prioriteret arbejdet med opbygningen af en digital infrastruktur ganske højt. Fra den særlige "Information Infrastructure Task Force" under præsidentembedet foreligger bl.a. en rapport om "Intellectual Property and the National Information Infrastructure" dateret september 1995. EDI-området Et andet EU-indsatsområde har været hele området for elektronisk dataudveksling (EDI). I 1988 igangsatte EU-Kommissionen det såkaldte TEDIS (Trade Electronic Data Interchange Systems), som bl.a. havde til formål at fremme udviklingen og brugen af EDI indenfor EU og mellem EU og tredjelandene. Udover en række konkrete forskningsprojekter og heraf følgende spin off-løsninger har TEDIS-programmet dannet grundlaget for Kommissionens henstilling af 19. oktober 1994 om de retlige aspekter af elektronisk dataudveksling - en henstilling, der bl.a. indeholder udkast til en EDI-standardkontrakt, som erhvervsdrivende og organisationer anbefales at anvende. USA I september 1993 kundgjorde den amerikanske regering, at den ville igangsætte et særligt initiativ - kaldet NII - der skulle understøtte opbygningen af en national informations-infrastruktur. I sin oprindelige fremlæggelse fokuserede NII-initiativet på opbygningen af såkaldte "electronic superhighways", der skulle sikre opbygningen af systemer til hurtig og sikker transmission af data. Siden er andre emner kommet på dagsordenen, herunder de immaterialretlige spørgsmål samt krypteringspolitikken. NII-projektet ledes af IITF, Information Infrastructure Task Force, der er organiseret under vicepræsidentens embede, og som bl.a. har ydet økonomisk støtte til visse projekter. Dette infrastruktur-initiativ blev i juli 1997 fulgt op af et politisk udspil fra præsident Clinton og vicepræsident Gore, der under titlen "A Framework for Global Electronic Commerce" fastslog en række principper for den fremtidige politik for elektronisk handel. Rapporten opstiller en række lovgivningsmæssige principper herfor, herunder at den private sektor skal gå foran, at der ikke skal lægges "undue restrictions" på elektronisk handel, at regulering kun skal ske, når det er nødvendigt for at gennemføre "a predictable, minimalist, consistent and simple legal environment for commerce", og at den globale elektroniske handel over Internet skal fremskyndes i lyset af nettets "unique characteristics". G7 m.fl. Blandt andet på grund af det amerikanske NII-initiativ har the Group of Great Seven (almindeligvis kaldet G7) i de senere år haft informationsteknologiens reguleringsproblemer på dagsordenen for sine møder, herunder spørgsmål under overskriften "The Global Information Infrastructure". Blandt andet har man drøftet spørgsmål om interoperabilitet, kriminalitet, konkurrence, SME-virksomhedernes forhold i informationssamfundet mv. Endvidere overvejer OECD at opstille retningslinjer eller vejledninger vedrørende forbrugerbeskyttelse, privatlivsbeskyttelse og elektronisk handel på Internet. 5.1.d. Teknologisk og teknologineutral reguleringPå de områder af IT-retten, hvor man har fundet det nødvendigt at lovregulere, står lovgiveren over et principielt beskrivelsesproblem: Skal lovreguleringen sigte mod den teknologi, man kender på lovgivningstidspunktet, således at reguleringen sigter teknologispecifikt mod denne, eller skal man forsøge at fremtidssikre lovgivningen ved at operere med teknologineutrale betegnelser mv. og dermed gardere sig mod konvergensproblemer, jf. herom afsnit 2.1.c. Det siger sig selv, at man ikke kan besvare dette spørgsmål generelt for alle retsområder. På IT-strafferettens område er lovgiveren f.eks. bundet af det krav om "fuldstændig lovanalogi", kan udledes af straffelovens § 1, medens det på andre områder - f.eks. i relation til læren om digital aftaleindgåelse - i højere grad lader sig gøre at operere med bredere begreber, som er robuste overfor teknologiske omskift. Alligevel kan der anføres enkelte observationer: International ret Vender man sig til det internationale område er der en tydelig tendens til, at man søger at regulere teknologineutralt. De betydelige politiske og økonomiske omkostninger, der er forbundet med at skabe international konsensus begrunder, at man her søger at undgå hyppige revisioner af de internationale retskilder, og en af vejene hertil ligger netop i at anvende begreber, der ikke overhales af den tekniske udvikling. Prisen herfor betales til gengæld i en ofte tung begrebsanvendelse samt i en langsommere beslutningsproces, hvor man efter bedste evne søger at "fremtidssikre" problemstillingerne. EU I EU mærker man en tilsvarende tendens. Ønsket om en teknologineutral regulering søges bl.a. tilgodeset gennem en terminologi, hvorefter reguleringen omfatter "informationssamfundets tjenester". Herved forstås, jf. nærmere art. 1, nr. 2, i direktiv 98/34/EF som ændret ved direktiv 98/48/EF, EFT 1998 L 320/454, "enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ved hjælp af elektronisk databehandlingsudstyr (herunder digital komprimering) og dataoplagringsudstyr på individuel anmodning fra en tjenestemodtager". Begrebet omfatter ikke alene WWW-baseret informationsformidling, men også WAP-, SMS- og e-post baserede tjenester, jf. nærmere Trzaskowski i U2000B.643 f. og kritisk om de - betydelige - afgrænsningsproblemer Justin Harrington i 17 CLSR 3.174 ff. (2001). - e-signaturer Et væsentligt eksempel på brug af denne teknologineutrale metode er 1999-direktivet om elektroniske signaturer, der bevidst undlader at omtale den digitale signatur, til trods for, at digital signatur-teknologi for tiden er den eneste kendte brugbare teknologi til elektronisk signering af meddelelser. Til gengæld indeholder direktivet en regulering af en række af de egenskaber, som den digitale signatur besidder, jf. således for dansk ret LES § 3, nr. 2, i definitionen af den "avancerede elektroniske signatur" (hvis egenskaber opfyldes gennem digital signatur-teknologi) og § 4 om kvalificerede certifikater. - telehemmelighed Et andet eksempel er det forslag til direktiv om behandling af personoplysninger og privatlivets fred i den elektroniske kommunikationssektor, som Kommissionen har fremlagt den 12. juli 2000 (KOM(2000) 385 endelig). Forslaget vil bl.a. erstatte udtryk som "etablering af samtaler" med "fremføring af kommunikation" og "telefonisk henvendelse" med "kommunikation". Enkelte retsforskrifter forholder sig direkte til spørgsmålet om teknologi-neutralitet, således f.eks. Sundhedsstyrelsens vejledning om lægers journalføring (nr. 236 af 19. december 1996), der under et princip om "teknikneutralitet" fastslår, jf. pkt. 4, stk. 3, at der ikke gælder særlige regler for journalføring, afhængig af, hvilken teknik der anvendes. 5.2. Selvregulering5.2.a. ProblemstillingDe netop omtalte politiske udspil peger alle i samme retning: Der er en stor lovgivningsopgave at løse med den stigende udbredelse af Internet-kommunikation og elektronisk handel på tværs af landegrænser, retssystemer og retskulturer. Men da det er blevet stadigt vanskeligere at føre retspolitiske målsætninger ud i livet ad lovgivningsvejen, må der søges nye midler. Et af disse midler er den såkaldte selvregulering. Behovet Behovet for harmonisering af regelgrundlaget - og efter manges opfattelse også behovet for selvregulering - er stærkest på retsområder, hvor der er fundamentale kulturværdier på spil, som f.eks. når der er tale om kommerciel og personlig ytringsfrihed, immaterialretlig beskyttelse og forbrugerbeskyttelse. Dette, samt vanskeligheden ved at forholde sig til den relevante tekniske virkelighed, sætter i sig selv det politiske system på en prøve. Dertil kommer den internationale dimension. Når det gælder retskrav, der har hjemmel i et eksisterende retssystem, melder der sig praktiske problemer ved at håndhæve sådanne retskrav uden for hjemlandsjurisdiktionen. I relation til den politiske proces, der definerer det pågældende retskrav, er det vanskeligt at finde internationale kompromiser inden for de lovgivningsområder, der står i fokus. Og når de findes, sker det ofte på bekostning af retssystematiske og terminologiske hensyn. Prisen betales ved regelsæt, der kan fremstå uforståelige i de enkelte retssystemer, jf. kritikken af EU-direktivreguleringen på formuerettens område i min Grundlæggende aftaleret (1997), s. 71. Begrebsafgrænsning Som mange andre nye begreber har begrebet selvregulering ikke klare konturer. I sin yderste konsekvens kan enhver privat aftale siges at være udtryk for selvregulering, jf. nærmere Åke Nilson i 6 EDI Law Review 183 ff. (2000) om ICC's historiske rolle på dette område (standardkontrakter, INCOTERMS mv.). Men begrebet kan antage forskellige skikkelser beroende på de involverede aktører. I det følgende anvendes det i tre betydninger, der bl.a. varierer efter de vekslende grader af offentlig deltagelse i regeldannelsen: myndighedsinitieret selvregulering, brancheregulering og kollegiale regler samt teknologisk understøttet selvregulering. Som det vil fremgå, er der langt fra tale om nye problemstillinger. Det nye i den megen tale om selvregulering i disse år ligger formentlig i det pres, hvormed man fra politisk hold søger at gennemføre selvreguleringsbestræbelserne, og i den heraf følgende hastighed, hvormed bestræbelserne søges ført ud i livet. Ønsket om selvregulering har herhjemme bl.a. været foreslået af IT-sikkerhedsrådet i Danmarks IT-sikkerhedspolitik (november 1996), se hertil s. 25 ff., der anbefaler, at man på IT-sikkerhedsområdet i videst muligt omfang søger at regulere gennem "soft law", dvs. gennem standarder mv., frem for gennem lovgivning. Lovgivningstiltag kan imidlertid blive aktuelle på områder, hvor de berørte aktører ikke selv kan forventes at udforme retningslinjer mv. Denne trend er ligeledes fremherskende i de internationale politiske drøftelser om regulering af Internet, herunder senest ved konklusionerne fra den store OECD-konference om elektronisk handel i Ottawa, oktober 1998, se herom i afsnit 5.2. om det ønskelige i "soft law" regulering, og siden bekræftet i Paris, oktober 1999, hvor det måske mere salgbare udtryk "co-regulation" blev introduceret, vistnok for ikke at antyde, at selvregulering er en rent ensidig foreteelse. Praktiske eksempler på dansk selvregulering er oprettelsen af Dansk Internet Forum (DIFO) i 1999, som efter et vist pres fra Forskningsministeriet har overtaget ansvaret for domænenavnstildelingen i Danmark, samt den elektroniske mærkningsordning, der under medvirken af Erhvervs- og Forskningsministeriet blev indført i Danmark i december 1999. Se i øvrigt eksemplerne nedenfor under de enkelte afsnit. Aftalemodellen kan i princippet også involvere offentlige myndigheder, der i rollen som kunde eller udbyder understøtter en aftalepraksis. Eksempler herpå foreligger f.eks. i forbindelse med nedsættelsen af det danske EDI-råd, se hertil afsnit 5.2.b. En anden fremgangsmåde kan være, at virksomheder med en særlig dominans selv pålægger sig visse begrænsninger (self-commitment). Dette virkemiddel kendes f.eks. fra medieområdet, hvor aviser og televirksomheder ofte underlægger sig visse redaktionelle og andre begrænsninger for, hvilke annoncer mv. man ønsker at optage. I begge tilfælde kan sådanne tiltag have til formål at undgå, at der gennemføres lovgivning af et måske mere restriktivt indhold. 5.2.b. IT-branchen og dens brugereNår man taler om selvregulering, er det branchen og dens brugere, der er i fokus. Det er dem, der "selv" skal finde normative løsninger på de problemer, som gennem selvreguleringen søges bragt i anvendelse i stedet for en egentlig lovregulering. IT-brancheforeningen I Danmark repræsenteres systemleverandørerne af IT-brancheforeningen (tidligere Brancheforeningen Kontor og Data). Foreningen opslugte i 1991 ESF - EDB-Systemleverandørernes forening, hvis navn fortsat optræder på en række aftaledokumenter. Allerede i 1980 udsendte ESF en - i dag forældet - kontrakt om EDB-Servicebureaukørsel. I midten af 1980 udsendte ESF en standardkontrakt om system- og programudvikling. Denne kontrakt er senere blevet revideret. Efter K33's fremkomst og ikke mindst efter debatten herom tog ESF tillige initiativ til at udsende en tilsvarende totalkontrakt benævnt "ESF standardkontrakt vedrørende levering, installation og vedligeholdelse af et IT-system". Det var meningen, at kontrakten skulle revideres løbende, men dette er ikke sket. Dokumentet regulerer i hovedsagen samme spørgsmål som dem, der omfattes af K18 og K33. En række af de omdebatterede spørgsmål er dog ikke overraskende faldet ud til leverandørens fordel. Kontrakterne omtales nærmere i kapitel 21. Internet-foreninger Den eksplosive stigning i Internet-relaterede forretninger og handleformer har ført til fremkomsten af en række særlige organisationer. Denne udvikling er væsentlig, fordi sådanne foreningsdannelser forventes at understøtte den selvregulering, som der fra politisk hold - nationalt såvel som internationalt - lægges op til i relation til Internet-anvendelsen, jf. nærmere afsnit 5.2. FIL I 1995 etableredes Foreningen af Internetleverandører, også kaldet FIL (<www.fil.dk>). Indtil etableringen af Dansk Internet Forum, der pr. 1. juli 1999 overtog ansvaret for det danske .dk-topdomæne, spillede FIL primært en rolle for arbejdet vedrørende registrering af Internet-domænenavne. Efter DIFO's overtagelse af dette arbejde, er FIL's selvstændige rolle som Internet-relateret forening reduceret noget, og fra midten af 2000 har foreningen knyttet sig til IT-brancheforeningen hos hvem den har sekretariat. Internet-handel I tilknytning til den hastigt voksende Internet-branche har en række særlige organisationer set dagens lys. Foreningen for Dansk Internet Handel (<www.fdih.dk>) har markeret sig med en række synspunkter i den offentlige debat, bl.a. om sikring af betalingskort på nettet og om fri ret til kryptering. En anden organisation er FAKDIS: Foreningen af Kommercielle Danske Internet Sites (<www.fakdis.dk>). Brugersiden Brugersiden har ikke hidtil oplevet en tilsvarende vækst i foreningsdannelser. Foruden Dansk Dataforening (<www.ddf.dk>) og Forbrugerrådet, der også varetager brugeres og forbrugeres interesser i Internet-spørgsmål. I 1998 stiftedes Foreningen af Internet Brugere (<www.fib.dk>) som en uafhængig forbrugerorganisation, der bl.a. satte det som sin opgave at varetage internetbrugeres interesser overfor internet-leverandører og teleleverandører. Foreningens aktiviteter er dog siden ophørt. Dansk EDI-råd Dansk EDI-Råder en tværgående paraplyorganisation, der repræsenterer danske virksomheder og myndigheders interesser på EDI-området overfor nationale og internationale organisationer og myndigheder. Rådets formål er at virke som koordinator og informationsformidler mellem aktører på EDI-området og dermed fremme effektiv EDI-anvendelse i den private og offentlige sektor. Derudover forestår rådet en række informationsformidlende aktiviteter, ligesom man koordinerer de brancher, for hvilke implementering af EDI har betydning. I forbindelse hermed udsender dansk EDI-Råd anbefalinger, f.eks. om brugen af den mest udbredte standard på EDI-området, UN/EDIFACT. Dansk Dataforening Brugersiden i Danmark er repræsenteret ved Dansk Dataforening (DD), der er et netværk bestående af ca. 5.000 IT-brugere. DD optræder som talerør for IT-brugere i forbindelse med overvejelser om lovgivning på IT-området og har udsendt flere forslag til IT-standardaftaler. Herudover medvirker DD ved udpegning af sagkyndige til brug for retssager og voldgiftssager om IT. DD er medlem af en række europæiske sammenslutninger af bruger-organisationer, herunder CECUA og CEPIS. DD har bl.a. udsendt en modelkontrakt for standardprogrammel. Staten En gengivelse af den aftaleretlige retsdannelse på IT-området må dernæst inddrage den rolle det offentlige har spillet for aftaleudviklingen. Staten har fra gammel tid hentet vejledning ved offentlige IT-indkøb hos statslige instanser (oprindelig Administrationsdepartementet, senere Forskningsministeriet), og disse instanser har hentet kyndig rådgivning til deres arbejde hos Statens faste advokatforbindelse, Kammeradvokaturen. Gennem dette arbejde er en række væsentlige standardaftaler udsprunget, herunder de aftaledokumenter for overdragelse af IT-systemer, der benævnes K18 og K33. Begge kontrakter er for tiden under revision, igen under medvirken af Kammeradvokaten, men nu også af IT- og Forskningsministeriet, IT-brancheforeningen og Dansk Dataforening. Interesseorganisationer Herudover spiller IT-retten en så stor indirekte betydning for en række samfundssektorer, at det også er relevant at nævne de repræsentative organisationer, man finder her. Et eksempel herpå er Finansrådet (der bl.a. har medvirket til udarbejdelsen af flere adfærdskodekser på IT-området, herunder vedrørende home banking). Danske Reklamebureauers Brancheforening har i 1999 udsendt en Standardaftale for Web-samarbejde og et hertil hørende sæt retningslinier for aftaler om website-udvikling. Aftalepraksis IT-retlig aftalepraksis har på bedste vis forsøgt at følge trop med teknologiens udvikling og udbredelse. Der har været et stort pres på IT-aftalekoncipisterne. I mangel af veldefinerede IT-retlige regler er aftaleparterne henvist til at skabe deres egen ret. Kravene til en god og klar IT-aftale er størst, hvor der er store værdier på spil - enten fordi aftalens genstand er kostbar, eller fordi den forudsættes indplaceret i en følsom sammenhæng med risici for tab. Den første IT-aftalepraksis former sig som en overbygning til den klassiske overdragelse af systemer fra leverandør til bruger. I sådanne aftaler er det klart, hvilke interesser de involverede parter har. Som nærmere udviklet nedenfor i afsnit 21.5.d, har denne interessemodsætning bl.a. resulteret i forskellige "skoler" for, hvorledes man fordeler risikoen for uforudsete omkostninger ved visse former for IT-udvikling. 5.2.c. SelvreguleringsformerSom nævnt ovenfor kan selvregulering udfolde sig under vidt forskellige former. I en første gruppe kan man udskille den selvregulering, der sker på initiativ af en myndighed. Den myndighedsinitierede selvregulering kendetegnes ved at udfolde sig under en underforstået trussel om, at den involverede myndighed tager skrappere midler i brug, enten ved at gøre brug af en eksisterende hjemmel til at gribe ind med forbud, påbud eller bekendtgørelsesregulering eller ved at søge et lovgrundlag herfor etableret. Denne trussel har utvivlsomt været en medvirkende årsag til, at man netop på dette område har set nogle af de hidtil mest effektive forsøg på selvregulering herhjemme. Et eksempel på (opfordring til) selvregulering igangsat af en myndighed er den fælles holdning, som de nordiske forbrugerombudsmænd udsendte i december 1998. Opfordringen er senere udmøntet i den elektroniske mærkningsordning, der er indført i Danmark i 2000, jf. nærmere afsnit 15.5.b. Udover disse eksempler kan en række EU-retsforskrifter ses som udtryk for en tilsvarende tankegang - omend præget af, at selvreguleringen i kraft af retsforskriftens bestemmelser er lagt i visse rammer. Artikel 27 i direktivet om persondatabeskyttelse pålægger således medlemsstaterne og Kommissionen at tilskynde til udarbejdelsen af adfærdskodekser, der afhængigt af de særlige forhold i de forskellige sektorer skal bidrage til en korrekt anvendelse af de nationale bestemmelser, medlemsstaterne vedtager til gennemførelsen af direktivet. Det pålægges ligeledes medlemsstaterne at lade brancheorganisationer mv., der har udarbejdet udkast til nationale adfærdskodekser, at kunne forelægge dem for den nationale myndighed til udtalelse. Artikel 16 i Kommissionens forslag til rådsdirektiv om elektronisk handel foreslår tilsvarende, at det pålægges medlemsstaterne og Kommissionen at opfordre til, at erhvervssammenslutninger eller -organisationer på fællesskabsplan udarbejder adfærdskodekser, som skal bidrage til, at direktivforslagets materielle regler anvendes efter hensigten. Forslaget vil endvidere pålægge en pligt til at fremsende disse adfærdskodekser til Kommissionen samt at gøre dem tilgængelige elektronisk på fællesskabssprogene. Endvidere foreslås det, at forbrugersammenslutninger skal have ret til at blive inddraget i udarbejdelsen og iværksættelsen af adfærdskodekser, der kan vedrøre dem. I en række sammenhænge har EU-myndighederne søgt at løse de vanskelige problemer med spredning af såkaldt "skadeligt indhold" ("harmful content") på nettet, via selvregulering se herved COM(2001) 106 final, der indeholder resultaterne af en evaluering af virkningerne af de foranstaltninger, der er gennemført i opfølgning af rådets rekommendation af 24. september 1998 om beskyttelse af mindreårige og menneskelig værdighed. Brancheregulering En anden form for selvregulering er den, der helt og holdent styres og udspringer af en branches ønsker om at ordne sine forhold selv. En branchemæssig selvregulering, der udspringer af aktørernes følelse af, hvad der er god skik mv., vil ofte få større slagkraft. Ulempen er, at sådanne regler ofte ikke regulerer ligeså intenst som regler udstedt af en myndighed eller lovgiver. Eksempler på brancheregulering med betydning for elektronisk handel er ICC's Guidelines on Interactive Marketing on the Internet, som omtales forskellige steder i det følgende, samt Good Practice Guidelines, som er udsendt i februar 1998 fra styregruppen for et Memorandum of Understanding om Open Access to electronic Commerce for European SMEs. Dokumentet indeholder en række anbefalinger af bl.a. teknisk art, der tilsigter at lette de små og mellemstore virksomheders deltagelse i den elektroniske handel. Enkelte af disse berører ligeledes spørgsmål om forbrugerbeskyttelse mv., bl.a. i relation til registrering af personoplysninger (se s. 24 ff., hvor der lægges op til et almindeligt princip om gennemsigtighed). Se om et ikke gennemført norsk initiativ, Galtung i NÅR 1999.118 ff. Betænkeligheder Det er ikke uproblematisk at gøre brug af branchestyret selvregulering. Der kan være en fare for, at dominerende markedsaktører kommer til at sætte sig på regeldannelsen ud fra egne økonomiske interesser. Metoden kan derfor forekomme mindre velegnet på områder, hvor en sådan dominans foreligger. Dertil kommer problemerne ved at håndhæve de vedtagne regler. En branche bestående af udbydere, der er bundet sammen i et kollegialt eller organisatorisk fællesskab, er lettere at styre end en branche, hvor udbyderne kommer og går. Dette argument taler med en særlig vægt i relation til retshåndhævelsen på Internet, hvor informationerne flyder frit mellem landegrænserne og hvor årsagen til den virkning, man søger at ramme, kan befinde sig såvel geografisk som lovgivningsmæssigt "langt borte". I Danmark har et antal forbruger-, bruger- og brancheorganisationer tilsluttet sig et Internet Denmark Memorandum of Understanding ("ID-MOU"), som bl.a. har ført til, at anvaret som hostmaster for .dk-domænet nu styres af den selvejende institution Dansk Internet Forum (DIFO), der repræsenterer de berørte interesser. På sigt kan det tænkes, at mandatet for denne institution vil blive udvidet, således at den også vil få ansvar for selvregulering vedrørende sikkerhed og privatlivsbeskyttelse samt konfliktløsning. Selvforpligtelse I konsekvens af en brancheregulering forekommer det ofte, at enkelte virksomheder underkaster sig en branchemæssig vedtagelse ved på forhånd at meddele potentielle kunder, at man er parat til at efterleve bestemte regelsæt, der ikke ellers ville være forpligtende. Også denne form for selvregulering har i princippet lange rødder. Den kendes bl.a. fra klagenævnsområdet, hvor det ofte forekommer, at virksomheder (f.eks. i kraft af medlemskab af en brancheorganisation) på forhånd underkaster sig et privat klagenævns kompetence. I forbindelse med elektronisk handel kendes sådanne self commitments i forbindelse med brugen af såkaldte ikoner, f.eks. WebTrust og TRUSTe-mærkerne. Retlig funktion En sådan erklæring kan enten udgøre et forpligtende løfte (der som sådant kan retshåndhæves) eller en uforpligtende erklæring, der ikke kan håndhæves direkte efter sit indhold, men som derimod kan tænkes at få indirekte betydning (f.eks. i relation til vurderingen af, om der foreligger adfærd i strid med "god markedsføringsskik", jf. markedsføringslovens § 1). Hvis en erhvervsdrivende f.eks. overfor en selvreguleringsinstans - f.eks. en organisation som TRUSTe eller WebTrust - afgiver et forpligtende løfte, der tilsigter at få virkning overfor nuværende og kommende kunder som tredjemandsløfte, vil dette - alt efter sit indhold - kunne håndhæves. Håndhævelse? Kvaliteten af denne form for selvregulering beror på, om der skrides effektivt ind, hvis regelsættet overtrædes. TRUSTe er herhjemme på vej til at blive markedsført af FDIH (Foreningen for Dansk Internet Handel). Det fremgår af den amerikanske hjemmeside (<www.truste.org>), at ordningen indbefatter et "TRUSTe oversight" program, hvorefter TRUSTe-licenshavere overvåges for at konstatere, om de opfylder de principper for privatlivsbeskyttelse, de har offentliggjort. Dernæst må selve indholdet af selvreguleringen være afbalanceret. Hvad angår dette krav fungerer TRUSTe som en slags fødselshjælper for formuleringen af den enkelte hjemmesides privatlivspolitik således, at der på den ene side sikres en regulering, der tager højde for den enkelte virksomheds behov og ønsker, samtidig med at visse generelle minimumskrav (herunder om gennemsigtighed, valgfrihed og datasikkerhed) opfyldes. Tilsvarende gælder for det internationale WebTrust segl, der herhjemme markedsføres af FSR (Foreningen af Statsautoriserede Revisorer). Når en Internet-butik er godkendt efter reglerne herfor skal der gå 60 dage, før WebTrust-seglet kan sættes ind på hjemmesiden. I disse dage undersøger WebTrusts revisorer, om hjemmesiden lever op til de krav, der gælder for seglet. Det erfaringsmateriale, der foreligger indenfor områder, hvor man har gennemført selvregulering, er endnu forholdsvis begrænset. Den amerikansk-fødte TRUSTe-løsning adresserer alene problematikken om privatlivsbeskyttelse. Når effekten af denne selvregulering vurderes, må det imidlertid tages i betragtning, at de amerikanske myndigheder er underlagt et ikke ubetydeligt pres for at gennemtvinge selvregulering på dette område som følge af EU's persondatabeskyttelsesdirektiv fra 1995, der alene tillader dataeksport til tredjelande, der lever op til visse minimumskrav. Den selvregulering, man oplever indenfor persondatabeskyttelsesområdet, kan dermed siges at udfolde sig under truslen om lovindgreb af den ene eller den anden art. Hvor grænsen går mellem sådanne løfter og mere uforpligtende erklæringer kan ikke siges generelt. Denne sondring mellem en viljeserklæring og en konstaterende erklæring hører til aftalerettens klassiske problemstillinger. Men selv om en erklæring ikke tillægges virkning som viljeserklæring, kan den dog få retlig betydning af andet indhold: Urigtige erklæringer kan indebære, at indgåede aftaler tilsidesættes som ugyldige pga. svig eller medføre erstatningsretlige sanktioner efter reglerne om culpa in contrahendo. Denne form for selvregulering har de ældste rødder. En stor del af arbejdet med at udstede vejledende retningslinjer, standardkontrakter i form af agreed documents, anbefalinger og standarder (jf. herom i afsnit 5.3.) kan ses som udtryk herfor. 5.2.d. God skik-regler mv.En særlig form for selvregulering, der har været oppe i tiden gennem de seneste år, består i, at en branche underlægger sig et sæt kollegiale eller etiske regler. Sådanne regler har IT-branchen også forsøgt at udvikle fra tid til anden. Forsøgene herpå har dog haft vekslende indhold og gennemslagskraft, bl.a. fordi de sjældent har været fulgt op med sanktioner. Enkelte, større, virksomheder har ligefrem givet regler for god forretningsmæssig adfærd for deres ansatte (f.eks. IBM's historiske " Business conduct guidelines"). Overholdelsen af sådanne regler er ligefrem en betingelse for medlemskab af visse brancheorganisationer. Et sådant krav praktiserer f.eks. Foreningen af Management Konsulenter. Ved at forpligte ansatte, medlemmer eller andre under sådanne regler opnås et salgsargument for den ydelse, der præsteres. Det første spæde initiativ i så henseende er EDB-rådets såkaldte "Etiske regler for datamatikere" fra 1982, se ITR.25 ("Syn og skøn og EDB"), s. 31 ff. Omend disse regler tog sigte på en noget mere snævert defineret kreds af programmører mv., der udgjorde datidens primære IT-profession, er regelsættet karakteristisk for den form for regulering, man møder på disse professionsområder. Under en række få men generelle overskrifter fastslås "datamatikerens" pligt til at handle så hensynsfuldt og loyalt som muligt. Ligeså generelle blev to initiativer, der blev taget ved indgangen til 1990'erne af henholdsvis brancheforeningen Kontor & Data (se herved L&D 26/1991), s. 4 og af DIF og Ingeniør-Sammenslutningen (se tillæg til Ingeniøren, nr. 44, 3. november 1989). "God edb-skik" Der findes imidlertid ikke noget regelsæt, der på tværs af IT-branchens forskellige sektorer forsøger at opstille etiske regler. I 1992 udsendte Foreningen af Statsautoriserede Revisorer, Foreningen af Interne Revisorer i Danmark og Foreningen for Informationskvalitet et sæt regler om "god edb-skik". Regelsættet adskiller sig fra de førnævnte ved at rette sig til virksomhedens ledelse, idet der sættes fokus på de forhold, "som ledelsen skal være opmærksom på, hvis den vil sikre sig imod ubehagelige overraskelser som følge af edb-anvendelse". Regelsættet betoner den forpligtelse, ledelsen har til at formulere en klar politik for anvendelsen af IT, således at rollerne omkring IT-anvendelsen er veldefinerede, beslutningerne formaliserede og IT-anvendelsen tilrettelagt på en måde, så der består et effektivt sikkerhedsnet og beredskab. Disse generelle synspunkter udmøntes herefter i mere konkrete anvisninger om, hvorledes forskellige dele af virksomheden bør indrette sig, bl.a. i forbindelse med brug, driftsafvikling, systemudvikling og sikkerhed. Betydning Uforpligtende regler som de førnævnte kan ikke forventes at påvirke retsanvendelsen og næppe heller det praktiske IT-liv. IT-retten kan næppe hente megen inspiration i disse forsøg på at kodificere god IT-adfærd mv. I konkrete sager må forholdene søges belyst gennem sagkyndige erklæringer og brancheudtalelser, og den retlige bedømmelse vil herefter ske efter en sammenligning mellem faktisk og ønsket adfærd. For en stor dels vedkommende gentager disse "etik-regler" blot almindelige retsregler inden for immaterial- og aftaleretten. I det omfang, de berører ikke-juridiske spørgsmål, findes "reguleringen" i form af en hensynsopregning. De vanskelige afvejningsspørgsmål, der opstår ved valget mellem forskelligartede - og mere eller mindre sikre - IT-strategier, berøres f.eks. ikke. I så henseende står dansk etik-arbejde dog ikke tilbage for udenlandsk. De danske regler har slående lighed med den Code of Conduct, der er fastlagt af The British Computer Society (optrykt hos Morgan & Stedman (1988), s.417). BCS giver dog mulighed for at rejse disciplinære klagesager på grundlag af reglerne. I 1990 udsendte CEPIS forslag til moral-kodeks for IT-folk, der er formuleret tilsvarende generelt - se den danske oversættelse i Computerworld, nr. 40, 16. november 1990. Det samme gjorde IEEE - nogenlunde samtidigt - se foreningens medlemsblad "The Institute", October 1990, s. 2. Se ligeledes Gemignani (1991), s. 222 ff. om ADAPSO's "Recommended code of ethics for professional service firms" henholdsvis om ACM's "Code of professional conduct". 5.2.e. Teknologisk selvreguleringTil billedet af selvreguleringen på IT-området hører også den form for regulering, der betjener sig af teknologiske midler. Hermed tænkes ikke alene på den mulighed, en IT-leverandør har for gennem kopibeskyttelse eller andre spærrefunktioner at afskærme dele af sit system, men navnlig på brug af teknologiske filtreringssystemer, der kan fungere i samspil med forskellige typer af systemer til rating og kvalitetssikring. I det omfang man opbygger systemer til at klassificere hjemmesider, kan brugerne foretage til- og fravalg efter behov og ønsker, f.eks. således at børn har adgang via én indgang og voksne via en anden. En sådan klassifikation kan f.eks. knytte sig til en hjemmesides indhold af materiale af pornografisk eller voldeligt indhold. Brugeren kan herefter indstille sin browser, så den ikke vil modtage information med dette indhold. PICS Et eksempel herpå er den såkaldte PICS-løsning (Platform for Internet Content Selection, se <http://www.w3.org/PICS), der er udviklet af The World Wide Web Consortium bl.a. med EU-støtte. Der er tale om en standard, som oprindeligt tilsigtede at give forældre mulighed for at filtrere, hvilke hjemmesider deres børn fik adgang til på nettet, men som nu understøtter en række andre formål, herunder håndhævelse af privatlivspolitikker. Standarden udbygges løbende med en lang række "rating services" tilpasset forskellige løsninger (som tilsvarende således forudsættes udviklet, så de bliver "PICS-kompatible"). Nogle af de filtrerings- og blokeringsløsninger, der anvendes i dag, bygger deres filtreringsmekanismer på beslutninger truffet af dertil udpegede paneler mv. For en oversigt over lister med filtreringssoftware, se <http://netparents.org>. Se også afsnit 15.5.e. om den tidligere nævnte TRUSTe-løsning, der understøtter selvregulering af privatlivsbeskyttelse. 5.3. Tekniske standarder5.3.a. Begreb og funktionBegreb Uden for "the lawyers law" anvendes begrebet "standard" i en anden betydning end ved talen om "retsstandarder" mv. En standard er herefter en teknisk specifikation, som er godkendt af et anerkendt standardiseringsorgan til gentagen eller konstant anvendelse, men hvis overholdelse ikke er obligatorisk. Til forskel fra lovhjemlede tekniske forskrifter er der altså i almindelighed ingen pligt til at overholde en standard. En sådan pligt kræver til enhver tid særskilt hjemmel i aftale eller lovgivning. Definitionen ovenfor anvendes i EU's forskellige direktiver om standardisering, se f.eks. art. 1, stk. 2, i direktiv 98/34/EF af 22. juni 1998 om en informationsprocedure for tekniske standarder og forskrifter. En noget snævrere definition af begrebet anvendes af den internationale standardiseringsorganisation ISO: "A technical specification available to the public, drawn up with the co-operation and consensus or general approval of all interests affected by it, based on the consolidated results of science, technology and experience, aimed at the promotion of optimum community benefits and approved by a body recognised at the national, regional or international level". Anvendelsesområde Standarder kan tage sigte på alle forhold af teknisk eller praktisk art, lige fra skrivemaskinetastaturer, papirstørrelser, materialer, sproganvendelser og til fremgangsmåder, metodiker, dimensioner, ydeevner, sikkerhedsforskrifter eller produktionsprocesser. Der er altså ingen grænser for, hvilke forhold der kan reguleres af en standard, og standarder findes derfor inden for alle områder af samfundslivet - altså ikke kun på IT-området eller lignende teknisk prægede områder. Standardiseringens betydning på IT-området er allerede omtalt i den historiske introduktion: Uden grundlæggende standarder har den enkelte producent været nødt til at "genopfinde hjulet" for at kunne sætte sin "bil" på markedet. I konsekvens heraf har man i udviklingens første år fået produkter, der ikke kunne "tale sammen" (såkaldt manglende interoperabilitet), hvilket blandt meget andet har vanskeliggjort teknisk vedligeholdelse, fremskaffelse af reservedele mv. og gjort forbrugerens valg uoverskueligt. IT-standarder At disse skadevirkninger har været særligt store på IT-området skyldes navnlig, at IT-systemer i stigende grad er sammensat af moduler. Et modulært opbygget system kan bestå af komponenter fra forskellige leverandører, hvad enten der er tale om hardware-enheder (lige fra halvlederchips og til hele systemenheder) eller om programmel udviklet af underleverandører (såkaldt tredjepartsprogrammel). Sammenkoblingen kan enten ske fysisk, således at komponenterne rent faktisk kan sættes sammen ved stik og indstikskort, eller logisk, således at det ene program kan kommunikere med det andet. Standardisering er dermed ensbetydende med åbenhed og større konkurrence. Denne sammenhæng illustreres ved et blik på de standarder, der i sin tid konkurrerede om at blive dominerende for markedet for videokassetter, den amerikanske VHS-standard og den japanske Betamax-standard. Trods Betamax-standardens teknologiske fortrin blev slaget vundet af VHS-standarden, og det er i dag praktisk taget umuligt at erhverve en fabriksny Betamax-videomaskine. Blandt de områder inden for den klassiske IT-ret, hvor disse standardiseringsinitiativer har spillet en særlig rolle, kan nævnes elektroniske signaturer. Ifølge artikel 3, stk. 5, i direktivet om elektroniske signaturer kan Kommissionen efter en særlig procedure offentliggøre referencenumre på almindeligt anerkendte standarder for elektroniske signatur-produkter. Der skal herefter gælde en formodningsregel, hvorefter et elektronisk signatur-produkt, der opfylder sådanne standarder, skal formodes at overholde kravene i bekendtgørelsens bilag II, litra f, og bilag III (de kvalificerede krav). I 1999 bemyndigede Kommissionen en ekspertgruppe kaldet "European Electronic Signature Standardization Initiative" (EESSI) opgaven at analysere den fremtidige brug af standardisering inden for dette område, og resultatet af dette arbejde foreligger med en rapport af 28. juli 1999. I Danmark udfoldes en værdifuld koordinerende indsats i det Forum for Digital Signatur (FDS), der er etableret under Dansk Standard. En god oversigt over standarder for informationssikkerhed foreligger i øvrigt på hjemmesiden <www.diffuse.org>. Af disse grunde kan indholdet af en standard være altafgørende for, hvorledes konkurrencen udvikler sig på markedet for de produkter, standarden understøtter. Prisfaldet på mobiltelefoner, der benytter GSM-standarden, skyldes netop, at denne fælleseuropæiske standard har skabt et så stort marked, at stordriftsfordelene for alvor slår igennem i produktionen. Uden de standarder, der ligger til grund for Internet (TCP/IP, HTTP m.fl.), ville man savne det tekniske grundlag, der knytter de mange computere sammen i dette net. Havde man ikke standarder for digitale tv-signaler, ville det være vanskeligt at opbygge et fælles marked for salg af satellit-dekodere mv. og dermed et fælles marked for betalings-tv via satellit. Det samme kan siges om udbredelsen af den digitale video-disk (DVD'en), der ligeledes bygger på standarder for såvel datalagring som kryptering mv. Problemer Standardisering er dog ikke uproblematisk. En virksomhed, der "ejer" en standard, er nødt til at åbne indmaden af sit produkt for omverdenen og stille specifikationer mv. til almenhedens kundskab, hvis hans standard skal være generel. Men ofte vil disse specifikationer indeholde resultatet af kostbare udviklingsinvesteringer, som konkurrenterne uden videre kan få glæde af, hvis standarden kommer i public domain. Den måde, hvorpå et system afgiver og modtager data, kan f.eks. reducere behovet for maskinressourcer eller tilføje yderligere kvaliteter (f.eks. sikkerhed mod aflytning el.lign.). Dette problem er ikke alene relevant for de standarder, der ligger til grund for telekommunikation ved hjælp af telefon, telefax og ved udveksling af data på Internet, men også for producenter af udstyr, der skal tilsluttes andet udstyr (f.eks. chip-baserede spil, plug in enheder mv.). For den producent, der skal efterleve en standard, kan standarden være både en fordel og en ulempe. Vel har producenten fordel af standardiseringen, hvis standarden åbner et stort marked for ham. Men understøtter standarden ikke et sådant marked, vil den blot være ensbetydende med, at producenten tvinges til at gøre noget ved udformningen af sit produkt mv., som han måske ville have foretrukket at gøre anderledes. Standarden kan tvinge ham til at gå en omvej for at nå den tilsigtede tekniske løsning. Og hvis ikke omkostningerne ved at gå denne omvej hentes hjem over afsætningen, er der ingen økonomisk fornuft i at standardisere. Omkostninger Er standarden under udarbejdelse, kan leverandøren søge at få indflydelse på dens endelige udformning. Dette er imidlertid ikke uden omkostninger. Medlemskab i en arbejdsgruppe (jf. herom nedenfor) koster et årligt gebyr - almindeligvis mellem 1.000 og 6.000 kr. - der dækker udgifter til kopiering, møder og sekretariat. Dertil kommer de omkostninger, der kan måles i tid og besvær. Det stiller ofte store krav til tålmodigheden at skulle koordinere de mange ønsker, der gør sig gældende, når mange nuværende og kommende udbydere skal enes om en grænseflade eller funktion. Aktørerne i dette arbejde deltager for egen regning. I IT-sikkerhedsrådets første oplæg til en dansk IT-sikkerhedspolitik (Forskningsministeriet, november 1996), anbefales det, at Danmark opprioriterer sin deltagelse i det internationale standardiseringsarbejde på IT-sikkerhedsområdet, se oplægspapiret s. 11. Kvalitetskrav Ideelt set bør en standard altid optimere den teknologi eller det produkt, den angår. Når nye teknologier kommer til, vil dette ideal ofte støde mod inertiens lov, når standarden rent faktisk indarbejdes. Da den QWERTY-standard, der bestemmer placeringen af typerne på skrivemaskinetastaturer verden over, i sin tid blev indført, skete det for at nedsætte skrivehastigheden, så to typer ikke stødte sammen på vej mod papiret. Bl.a. placerede man de ofte benyttede bogstaver T, E og R ubekvemt ved siden af hinanden over det sted, hvor venstre hånd placeres på tastaturet. I dag, hvor teknologien stort set har elimineret denne faktor, er der behov for en anden og mere effektiv standard. QWERTY-standarden er imidlertid en realitet, og de funktionelle argumenter i modsat retning kan ikke ændre den. 5.3.b. TerminologiFunktions- og basisstandarder Standardiserings-terminologien er ikke klar. Området florerer med forskellige termer, der udskiller standarderne i henseende til f.eks. præciseringsgrad, vedtagelsesform o.lign. Som funktionsstandarder betegner man efter én terminologi den måde, hvorpå andre standarder - basisstandarder - skal formuleres. Findes der ingen basisstandard, overlader funktionsstandarden producenten en række muligheder, som i og for sig kun har aktualitet i enkelttilfælde. Vedtagne standarder En anden sondring knytter sig til, hvordan standarden er blevet indført. Vedtagne standarder er fremkommet som resultatet af et teknisk-kollegialt arbejde. Blandt de vedtagne standarder indtager de europæiske standarder (EN) en særlig rolle, jf. herom senere. Inden for denne gruppe dækker begrebet harmoniseret standard de standarder, der er blevet til i overensstemmelse med reglerne i direktiv 98/34/EF, se nærmere nedenfor. Visse standarder opstår helt uformelt, f.eks. ved at en branche rent faktisk vælger at følge en vis praksis. De facto og de jure-standarder En tredje sondring knytter sig til, hvilken instans der står for arbejdet med at udvikle standarden. En de facto-standard er opstået uden noget formaliseret forarbejde, f.eks. som resultatet af en producents valg af produktdesign. Sådanne standarder får deres virkning efter follow the leader-princippet ved, at en toneangivende leverandør (f.eks. IBM, Amdahl, Hewlett-Packard, Digital Equipment Corporation eller andre) - mere eller mindre utvetydigt - tilkendegiver, at man vil fremstille produkter af en given beskaffenhed. Modsat er en de jure-standard kendetegnet ved at følge de regler, der gælder for et standardiseringsorgan. En de jure-standard vil således altid været vedtaget. De facto-standarder kan give anledning til konkurrenceretlige problemer, og både i Europa og USA har der verseret en række sager mod større leverandører herom, sml. f.eks. EU-Kommissionens grønbog om ophavsret og den teknologiske udfordring (1988), pkt. 5.2.10 og 5.5.8-5.5.12 og Dan Shefet i Bryde Andersen (1991) s. 13 ff. Branchevedtagelser I en mellemgruppe mellem de facto-standarder og vedtagne standarder står de, der udspringer af en branchevedtagelse, der ikke er nået i et standardiseringsorgan. Sådanne standarder - der ikke bærer nogen anerkendt betegnelse - er f.eks. dukket op som et modspil til de facto-standarder, der af forskellige årsager anses for utjenlige til deres formål. Tre eksempler herpå kan nævnes. I slutningen af 1980'erne udviklede et antal IT-producenter standarden for den såkaldte EISA-bus, der skulle udgøre et alternativ til IBM's MCA-bus, og dermed løsrive IBM fra dette selskabs kontrol over de komponenter, der skal kommunikere med bussen. I en tilsvarende mellemgruppe finder man halv-officielle standardiseringsorganer, som f.eks. X/OPEN, der bl.a. arbejder med standardisering af styresystemer baseret på AT&T's UNIX-system. Arbejdet i X/OPEN-gruppen er støttet af EU-Kommissionen, der har meddelt den dispensation under TEF's konkurrenceregler. Et tredje eksempel er de standarder, som en række maskinproducenter har vedtaget vedrørende den såkaldte NC. 5.3.c. Særligt om teleområdetEt af de væsentligste standardiseringsområder i det moderne informationssamfund er teleområdet. Som nævnt under den kommunikationsteoretiske gennemgang i afsnit 2.2. forudsætter enhver form for kommunikation anvendelse af et fælles sprog. Dette gælder, uanset om der er tale om kommunikation mellem personer eller mellem systemer. Ved kommunikation mellem systemer taler man om overholdelse af protokoller. Telefon og ISDN På teleområdet får standardiseringskaos direkte betydning for funktionaliteten. Derfor har standardiseringsarbejdet netop her lange traditioner. Den, der køber en telefon, kan som bekendt sætte sig i forbindelse med alle afkroge af jordkloden og slutte den til nettet overalt. Denne intense og effektive standardisering skyldes hovedsagelig de telemonopoler, der har været gældende på området i kraft af koncessionsordninger og statsmonopoler mv. Efter opløsningen af disse monopoler er det påkrævet med en stærk koordinering af udstyrets tekniske grænseflader mv. I en henstilling om samordnet indførelse af et tjenesteintegreret digitalnet (ISDN) i Det Europæiske Fællesskab (86/659/EØF), se EFT 1986 L 382/36, har rådet markeret, at der ved udviklingen af ISDN skal indføres standarder på det tidligst mulige stadium for at modvirke inkompatible løsninger, dvs. produkter, der ikke kan tale med andre produkter. Henstillingen anbefaler konkret, at der gennemføres en fælles implementering af standardiserede fysiske grænseflader specificeret af ITU-T og ETSI. Hertil kommer de allerede nævnte standarder for digital mobiltelefoni på GSM-området. Internet Et andet standardiseringsområde angår Internet-kommunikation. Som tidligere anført bygger Internet på en række standarder for kommunikation mellem tilsluttede computere og terminaler. Den grundlæggende protokol er IP-protokollen (IP for Internet-Protokol), som siden 1980'erne har foreligget i en version 4. Denne standard anser nogle for at være for snæver, idet den bl.a. indeholder begrænsninger for, hvor mange adresser der kan kommunikeres fra og til. I disse år arbejder man på udviklingen af en ny såkaldt version 6 af denne protokol (kaldet IPv6). De nævnte standarder blev oprindelig skabt af de personer, der deltog i udviklingen af ARPA-nettet. Nettet blev bygget op om et antal protokolstandarder, der sikrede det førnævnte princip for dataudveksling. Som følge af den kontakt, der består mellem DoD og de amerikanske universitetsforskningsmiljøer, blev ARPA-nettet gradvis taget i brug af universitetsverdenen. I 1983 vedtog man en protokol for den kommunikation, der sker på nettet, TCP/IP (Transmission Control Protocol/Internet Protocol), som i dag er grundstammen for Internet-kommunikation. 5.3.d. Vedtagelse af standarderSom allerede nævnt beror værdien af en standard på, hvor udbredt den er. Derfor søger man at tilrettelægge standardiseringsarbejdet, så der opnås højest mulig konformitet blandt de kommende brugere. Dette kræver et koordinerende arbejde, som i nutidens verden søges organiseret på både nationalt, regionalt (europæisk) og internationalt plan. Standardiseringsorganet Det organ, der godkender og udsender en standard, kan være nationalt, europæisk eller internationalt. Typisk indgår organet i en organisation, der også har indtjening på at sælge den tekst, hvori standarden er nedfældet. Prisen for standarder er typisk høj, da standardiseringsorganerne herved søger at inddække nogle af de omkostninger, der har været forbundet med at producere standarden. Herhjemme står den selvejende institution Dansk Standard (DS) for det nationale standardiseringsarbejde, suppleret med Telestyrelsen og/eller Danmarks Elektrotekniske Komité (DEK). Det europæiske arbejde varetages af bl.a. CEN, CENELEC, ETSI m.fl. På den internationale scene finder man ISO, IEC, ITU-T m.fl. De standarder, der understøtter WWW, vedtages af World Wide Web Consortium, se <www.w3.org>. WWW Consortium står bl.a. for vedligeholdelsen af den vigtige HTML-standard for hypertekst-dokumenter på Internet. En - tilnærmelsesvis fuldstændig - oversigt over de talrige europæiske standardiseringsorganer, der er aktive inden for ICT-området findes i publikationen Standards for a New Age - ICT Standardization in Europe, udgivet af the ICT Standards Board (<www.ict.etsi.org>), 2000. Dansk Standard Dansk Standard (dengang: Dansk Standardiseringsråd) blev oprettet i 1926 under Industriministeriet på foranledning af Industrirådet og DIF. I henhold til de af ministeriet godkendte vedtægter er rådets formål at virke for standardisering i Danmark, bl.a. ved som medlem af ISO, CEN og INSTA "at virke for anvendelsen af International og Europæisk Standard i den udstrækning, det er foreneligt med danske forhold". Rådet fungerer endvidere som dansk WTO-informationscenter og som certificerende organ. Under rådets formål hører også "at virke for anvendelse af henvisninger til Dansk Standard i dansk lovgivning". Endelig er rådet dansk informations- og dokumentationscenter for standardisering. Rådet ledes af et repræsentantskab, et forretningsudvalg og en direktør. I USA er det offentlige standardiseringsarbejde placeret under U.S. Department of Commerce, der herved rådgives af National Institute of Standards and Technology (NIST) - tidligere National Bureau of Standards (NBS). Ifølge en nyere lov skal Department of Commerce "promulgate standards and guidelines pertaining to Federal computer systems, making such standards compulsory and binding to the extent to which the Secretary [i.e. Department of Commerce] determines necessary to improve the efficiency of operation or security and privacy of Federal computer systems", se 40 U.S.C.A. § 759 (d), stk. 1. Arbejdets igangsætning Forslag om vedtagelse af en ny standard rejses typisk i en af de tekniske komitéer (Technical Committees eller TC), der hører til det nationale eller det internationale standardiseringsarbejde. En gruppe af fagfolk konstaterer et behov for et nærmere fastlagt regelsæt og tager herefter kontakt med et standardiseringsorgan. Organet formidler den relevante kontakt med en eksisterende TC for at sikre den fornødne koordination. TC'en uddelegerer arbejdet med at afklare grundlaget for den nye standard samt med at præcisere dens indhold til en arbejdsgruppe eller flere (Working Group eller WG). Eventuelle del-emner behandles i en Sub-Committee (SC). Hver TC, SC eller WG har et sekretariat, som varetages af et af medlemslandene. Nationale komitéer I Danmark er der tekniske komitéer knyttet til tre kompetente organer: Telestyrelsen, der har ansvaret for standarder indenfor telekommunikation: Dansk Elektroteknisk Komité (DEK), der har ansvaret for elektroteknik, og Dansk Standard (DS), der har ansvaret for residualområdet. Herudover forestår DS den formelle godkendelse af de standarder, der udvikles af de øvrige organer. På visse områder, f.eks. byggeriområdet, har DS udliciteret sit arbejde, bl.a. til normstyrelsen under DIF/Ingeniørsammenslutningen, der i praksis udsteder alle praktiske forskrifter af betydning for byggeriet. Åbenhed Åbenhed er en væsentlig ingrediens under vedtagelse af de jure-standarder. DS har klare retningslinier for offentliggørelse af forslag til Dansk og International Standard, der bl.a. fastslår, at enhver, hvis interesse berøres af sagen, kan indsende bemærkninger. Fagtidsskrifter (som f.eks. ugeavisen Ingeniøren) indeholder løbende omtale af igangværende standardiseringsarbejder med opfordring til interesserede parter om at komme med forslag eller indsigelser. Kan sådanne forslag ikke tiltrædes, må dette efter reglerne for DS begrundes. IT-standardisering Det DS-standardiseringsarbejde, der har særlig interesse på IT-området, styres af tre grupper under DS - gruppe S142, S242 og S243. F.eks. arbejder gruppe S243 bl.a. med standarder for elektronisk dataudveksling inden for administration, handel og transport, herunder de EDIFACT-standarder, der danner grundlaget for fremtidens EDI-systemer. 5.3.e. Den EU-retlige dimensionI det økonomiske samfund har standarder flere funktioner. Kompatibilitetsstandarder tjener til at opbygge markeder, hvor der konkurreres på pris. Kvalitetsstandarder kan holde underlødige produkter ude. Da begge dele spiller en stor rolle for virksomhedernes indtjening, er der naturligt fokus på standardiseringsarbejdet. Ethvert højteknologisk samfund og enhver aktør indenfor det teknologiske brancheområde må derfor som en del af sin industripolitik have en standardiseringspolitik. En sådan politik er også blevet en del af Danmarks IT-sikkerhedspolitik, jf. IT-sikkerhedsrådets baggrundspapir herom, s. 25 ff. Problemet har en indlysende EU-retlig dimension, eftersom forskellige, nationale standarder, fører til forskellige markeder og hermed til barrierer for udveksling af varer og tjenester over landegrænser. EN-systemet Et mærkbart udslag af EU's standardiseringspolitik er, at en række nationale standarder i de kommende år vil blive erstattet af europæiske standarder, der bærer præfikset EN ("European Norm"). En EN-standard er godkendt på grundlag af vedtægterne i en af de standardiseringsorganisationer, som EU har indgået aftale med. Et af disse er CEN, der omfatter alle europæiske (EU og EØS) standarder, der ikke dækkes af andre standardiseringsorganer. En anden er CENELEC, der har ansvaret for europæisk standardisering inden for det elektrotekniske område. En EN-standard er kun "bindende" på det folkeretlige plan. Den skal vedtages som national standard, og eventuelle afvigende nationale standarder skal ophæves, før den får virkning som national standard eller national retsforskrift. Den hastighed, hvormed EU-myndighederne frembringer ny lovgivning, står i skarp kontrast til den træghed, hvormed internationale standarder bliver til. Vedtagelsen af en standard kan tage henved 10 år, og på det tidspunkt har teknologien måske bevæget sig langt væk fra det, der var grundlaget for at formulere standarden. Et sådant tidsforbrug er uacceptabelt, bl.a. fordi det vil lægge en dæmper på den industrielle udvikling, som standarden gerne skulle understøtte. Da EN-standarder må vedtages hurtigere, har man indført begrebet "foreløbige europæiske standarder", forkortet ENV (Europäische Norm für Versuchungsweise Anwendung), der efter en tre-årig forsøgsperiode vurderes med henblik på indførelse som endelig EN-standard. Retsgrundlag EU's standardiseringsarbejde understøttes af en række mere eller mindre formaliserede vedtagelser, hvis hovedlinie er, at medlemsstaterne skal undgå nationale sær-standarder på de områder, der har betydning for fællesskabets økonomiske politik. Hovedhjørnestenen i dette system findes i direktiv 98/34/EF, om en informationsprocedure med hensyn til tekniske standarder og forskrifter samt forskrifter for informationssamfundets tjenester (EFT 1998 L 204/37), som ændret ved direktiv 98/48, EFT 1998 L 217/18 (det såkaldte transparensdirektiv) med sigte på det sidste led: "informationssamfundets tjenester". Direktivet tilsigter at koordinere medlemsstaternes forslag om nationale tekniske forskrifter. Dette sker bl.a. gennem en ordning, hvorefter udkast til sådanne forskrifter fremsendes (notificeres) til Kommissionen, se hertil art. 2-4. Kommissionen og medlemsstaterne har herefter frist til at foreslå ændringer af den påtænkte foranstaltning med det formål at fjerne eller mindske de hindringer for den frie vareudveksling, som kan følge af foranstaltningen. En tilsvarende notifikationspligt gælder i henhold til WTO-aftalen, se Erhvervsfremmestyrelsens cirkulære nr. 85 af 16. juni 1995. Ved den ændring af direktivet, der fandt sted ved direktiv 98/48/EF, blev "informationssamfundets tjenester" som nævnt medtaget, se om dette forslag KOM(96) 392 endelig udg. Hermed sigtes til "enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager" (artikel 1, litra a), stk. 2). Som følge heraf er det pålagt medlemsstaterne - i overensstemmelse med direktivets almindelige regler - at udsætte vedtagelsen af lovgivning og bekendtgørelser, der inden for det afgrænsede område ("informationssamfundets tjenester") har karakter af "tekniske forskrifter". Visse lovgivningsområder - herunder lovgivning inden for den finansielle sektor - er dog undtaget. Den "nye metode" På grundlag af forløberen for 1998-direktivet (direktiv 83/189/EØF) indførte Rådet den 7. maj 1985 en ny metode i forbindelse med teknisk harmonisering og standarder, se EFT 1985 C 136/1. Tidligere indeholdt de EU-direktiver, der opstiller krav om tekniske egenskaber eller kvaliteter, en mængde tekniske detailstandarder, der var vanskelige for medlemsstaterne at overskue endsige gennemføre. Den nye metode, der anvendes i relation til tekniske specifikationer, hvortil der knytter sig en sikkerhedsmæssig, sundhedsmæssig eller offentlig interesse, går ud på, at direktiverne alene angiver en række "essential requirements" (f.eks. med relation til sikkerhed mv.), som må opfyldes, uanset om de pågældende produkter handles på tværs af medlemslande. Et produkt, der opfylder disse krav, og som er blevet mærket med det særlige CE-mærke, kan spredes frit over hele Fællesskabet. Mere detaljerede krav til produktets egenskaber kan herefter fastsættes i de tekniske standarder fra de europæiske og internationale standardiseringsorganer. Medmindre andet følger af fællesskabsregler, er sådanne krav ikke bindende. Den nye metode er siden indføjet i de direktiver, der har implementeret standardiseringspolitikken, f.eks. EMC-direktivet jf. nedenfor. Den nye metode (der siden er blevet søgt gjort til en "global metode", se hertil rådets resolution af 21. december 1989, EFT 1990 C 10/01), har hidtil været anvendt i et dusin direktiver, hvoraf nogle tangerer IT-området, således direktiverne om maskiner (89/292/EØF), personligt beskyttelsesudstyr (89/686/EØF), visse medicinske instrumenter (90/385/EØF), ikke-automatiske vejeinstrumenter (90/384/EØF), og telekommunikationsudstyr (91/263/EØF). Se generelt hertil Christopher Kuner i 2 Business Law International (2000), 102 ff. Ved EF-domstolens præjudicielle afgørelse af 26. september 2000 (i sag C-443/98) er det i øvrigt bestemt, at en national domstol under behandlingen af en kontraktsretlig sag mellem private ikke må anvende en national teknisk forskrift i en periode, hvor vedtagelsen af udsat efter direktivets såkaldte stand-still-procedure. Standardiseringsbeslutningen Af særlig betydning for IT-området er den beslutning, rådet traf den 22. december 1986 om standardisering inden for informationsteknologi og telekommunikation (87/95/EØF), EFT 1987 L 36/31. Ifølge beslutningens artikel 5 træffer medlemsstaterne de fornødne foranstaltninger til, at der i offentlige indkøbsaftaler vedrørende informationsteknologi henvises til europæiske standarder, foreløbige europæiske standarder og godkendte internationale standarder. Dette indebærer bl.a., at Fællesskabet og medlemsstaternes respektive regeringer skal anvende ISO's standarder inden for IT-behandling. I konsekvens heraf skal medlemsstaternes statsinstitutioner ved anskaffelser af IT kræve europæiske eller andre internationale standarder på IT-området overholdt, efterhånden som disse specificeres. Anvendelsesområder De førnævnte standardiseringskrav er bl.a. udmøntet i de EU-retlige regler om offentlige myndigheders indkøb, jf. nærmere afsnit 12.2.d. EU-direktiverne om offentlige indkøb, der omtales nærmere i kapitlet om overdragelse, forpligter offentlige myndigheder i EU til at anvende tekniske forskrifter, der er udtryk for gennemførelse af europæiske standarder. Denne forpligtelse er i dansk ret indført ved § 5 i bekendtgørelse nr. 132 af 28. februar 1991 om anvendelse af standarder ved offentlige indkøb af informationsteknologi og ved fastsættelse af visse tekniske forskrifter. Reglerne søger tillige at tjene som løftestang for udbredelsen af de pågældende standarder, da det offentliges efterspørgsel kan forventes at smitte af på markedet som helhed. Bevillingsfunktioner Også når EU optræder som bevillingsmyndighed for forskning, søger man at konsolidere de europæiske standarder. Dette krav stilles typisk som vilkår for bevillinger under Kommissionens RACE og ESPRIT-projekter. Dernæst har EU ganske ofte støttet forskning, der tager sigte på standardiserings-følsomme teknologier. Produktsikkerhed Et tredje område for EU-standardiseringsarbejdet finder man i de EU-regler, der er under udarbejdelse om produktsikkerhed. Ifølge § 7 i lov om produktsikkerhed anses et produkt for sikkert, hvis det - i mangel af lovgivningskrav - er i overensstemmelse med en dansk standard, der er baseret på en harmoniseret europæisk standard, eller tekniske specifikationer på unionsplan, eller i mangel heraf: en dansk standard. Tilsvarende regler ligger til grund for lov om elektromagnetisk kompatibilitet, nr. 216 af 10. april 1991 om beskyttelse mod elektromagnetiske forstyrrelser (EMC-loven), jf. nærmere afsnit 15.6.c. I 1996 har Kommissionen fremlagt en grønbog om "Standardization and the Global Information Society: The European Approach" (COM(96) 359 final). Hvor tidligere initiativer har haft til formål at sikre de fornødne incitamenter og retlige rammer for standardiseringen, har denne grønbog til formål at afklare, hvorledes man sikrer de bedst mulige standarder for informationssamfundet. Grønbogen anbefaler bl.a. (afsnit 10), at de eksisterende standardiseringsorganer skal udvide deres arbejdsområde, og at de offentlige myndigheder, der anvender standarder, skal afklare disses forhold til konkurrencereglerne i TEF art. 81 og 82. 5.3.f. RetsvirkningerDet ligger i kravet om, at standarden "ikke er obligatorisk", at den norm, den udtrykker, ikke i sig selv er juridisk forpligtende. Dette udgangspunkt modificeres dog dels ved den gennemslagskraft, der ligger i et standard-efterspørgende marked, dels af, at lovgivningen hyppigt inkorporerer standarder som en del af retsgrundlaget. Derfor er det vigtigt, at vedtagelse af standarder opfylder visse parlamentariske grundbetingelser. - ved lov En standard kan for det første opnå retsvirkninger ved lov. Talrige tekniske forskrifter inden for byggeri og anlæg henviser til DS-standarder, og som nævnt vil EU's standardiseringspolitik frembringe flere regler af denne karakter, jf. nærmere i afsnit 5.3.e. I enkelte tilfælde sker det, at standarder ophøjes til bekendtgørelser. Det gælder f.eks. for bygningsreglementet og for stærkstrømsreglementet af 1962. - ved aftale I takt med, at en række standarder har vundet indpas som funktionelle forudsætninger for moderne IT-produkters funktionsduelighed, er et produkts overensstemmelse med disse standarder (ofte betegnet med udtrykket kompatibilitet) blevet en aftaleparameter. Det kræver f.eks. ikke særlig vedtagelse at støtte krav på, at en Internet-browser eller et Internet-mail-program opfylder gældende standarder for kommunikation på Internet. I offentlige udbudsaftaler optræder henvisningen til offentliggjorte standarder ikke alene som en aftalt betingelse; en sådan inkorporering er pålagt efter de EU-retlige regler om offentlige indkøb, jf. nærmere afsnit 23.2.c. - som udfyldning Selv om en standard ikke i sig selv kan derogere et andet retsgrundlag, kan den efter omstændighederne anvendes som udfyldende retsgrundlag, f.eks. i relation til upræcise lovbestemmelser. Når kbl. § 1 lader loven vige for "handelsbrug eller anden sædvane", er det den faktiske adfærd - ikke standarden - der kvalificerer. Omvendt kan der nævnes eksempler på talrige standarder, der må anses for bortfaldet ved desvetudo. Standardens juridiske gennemslagskraft beror altså på dens udbredelse og væsentlighed. U 1989.1039 H angik forudsætningerne for et løfte om at udbedre mangler ved et byggeri, der bestod i, at en bygge-standard ikke var overholdt. Overtrædelsen havde kun begrænset betydning. Flertallet i Højesteret ville derfor ikke tilsidesætte aftalen, medens et mindretal ville. Ved dommen i TBB 1999.7 V fandtes det ikke godtgjort, at sælgeren af nogle afløbsbrønde havde indestået for, at leverancerne kunne opfylde tyske normkrav. Brøndene skulle leveres til en byggeplads i Tyskland, men der var ikke indgået udtrykkelig aftale om, at de tyske normkrav skulle opfyldes. I FKNbrtn. 1985.36 henviste sælgeren af en stereo-forstærker til en ikke sædvanligt anvendt DIN-norm ved sin angivelse af udgangseffekten. Dette fandtes misvisende og udgjorde dermed en mangel. ISO 9000-serien På IT-området kan standarder navnlig få juridisk betydning i relation til vurderingen af en ydelses kvalitet og pålidelighed. ISO har i den række standarder, der er publiceret i DS/ISO 9000-serien (EN 29000), dels formuleret krav til kvalitetsstyringssystemer i kontraktsituationer, dels givet retningslinjer til brug i de mange situationer, hvor en virksomhed eller organisation ønsker at udvikle et kvalitetsstyringssystem og gennemføre det i praksis. Disse standarder er imidlertid processtandarder, der først og fremmest siger noget om leverandøren og kun indirekte noget om det produkt, han leverer. Et eksempel på en produktstandard, der kan tænkes at få betydning ved overdragelse af IT, er ISO 9126 (EN 29.126) fra 1990: "Information technology - software product evaluation - quality characteristics and guidelines for their use" og ISO 9127 (EN 29.127) fra 1989: "Information processing systems - user documentation and cover information for consumer software packages". ISO 9126 angiver seks kvalitetsegenskaber ved software, ISO 9127 opstiller en række krav til de brugervejledninger, der ledsager standardprogrammel. I det omfang, disse standarder vinder indpas, vil de utvivlsomt kunne påvirke de typeforudsætninger, der gør sig gældende i sådanne køb. Dette synes dog endnu ikke sket. ISO 9000-serien har været genstand for en righoldig litteratur, se bl.a. Bøje Larsen: ISO 9000 forfra og bagfra (1996). 5.3.g. Immaterialretlige spørgsmålUdgangspunktet Behovet for at udvikle åbne systemer og interoperable komponenter har ført til et skisma mellem standardisering og retsbeskyttelse. Problemet opstår i relation til to aspekter af en standardiseringsproces: Selve den sproglige beskrivelse, hvor ophavsrettens regler kan spille ind, og den tekniske fremgangsmåde, hvor patent- og brugsmodelsystemet kan få betydning. - ophavsret Når man har diskuteret, om standarder overhovedet burde kunne beskyttes ophavsretligt som litterære værker, bygger indvendingen herimod på principper svarende til de, der har ført til, at offentlige retsakter ikke ophavsretsbeskyttes, se f.eks. Joseph Farrell i 30 Jurimetrics Journal 35 (1989). Efter gældende ret er det dog udgangspunktet, at en standard, som udstederen effektivt søger at håndhæve en ophavsret til, også er undergivet en sådan beskyttelse. Men tendensen går også på dette område i retning af, at rettighedshaverne i givet fald undlader at håndhæve disse rettigheder, en praksis, der f.eks. ses ved at talrige standarder foreligger tilgængelige fra standardiseringsorganisationernes hjemmesider. - Ophl. § 9 Ophl. § 9 fastslår, at love, administrative forskrifter, retsafgørelser og lignende offentlige aktstykker ikke er genstand for ophavsret; men udgangspunktet for denne bedømmelse er, om standarden har normerende karakter; ikke om den tillægges en normerende virkning. Og da standarden pr. definition ikke er gennemtvingelig, må den betragtes som et faktisk fænomen, nemlig som manifestationen af den enighed, der er nået i standardiseringsorganet om, hvorledes man vil gribe et bestemt problem an. Det er almindeligt antaget, at juridiske aftaledokumenter ikke er genstand for ophavsret, se herved Koktvedgaard (1999), s. 54. Man kan overveje, om tilsvarende betragtninger finder anvendelse i relation til vedtagne de jure standarder, uht. disse standarders ydre og funktionelle lighedspunkter med aftalen: De er resultatet af en forhandling, og de hensyn, der begrunder den ophavsretlige udelukkelse (ønsket om at udbrede og forbedre teksten), taler tilsvarende for at være tilbageholdende med retsbeskyttelsen. Spørgsmålet har aldrig været prøvet ved domstolene. Det spiller formentlig ind for svaret, om det involverede standardiseringsorgan søger at fastholde en ophavsret til dokumentet, f.eks. for at finansiere de ofte betydelige omkostninger til mødeafholdelse og trykning. Er dette tilfældet, taler meget for at fastholde det almindelige ophavsretlige udgangspunkt. Er standarden derimod lagt ud til fri afbenyttelse, f.eks. fra standardiseringsorganets hjemmeside, taler meget for at lade reglerne om juridiske kontraktsdokumenter finde tilsvarende anvendelse. - patentret mv. Standarder, der beskriver en teknisk metode eller proces, kan tænkes at anvise fremgangsmåder mv., der er genstand for patentbeskyttelse. Når en sådan konflikt forekommer er der ingen tvivl om, at patentsystemet vinder, medmindre man i den enkelte situation befinder sig inden for et af de områder, der dækkes af patentudelukkelse, herunder visse ikke-erhvervsmæssige og forskningsmæssige anvendelser, jf. PL § 3, stk. 3. Patentsystemet har således ikke undtagelsesregler svarende til ophl. § 9. Dette betyder, at standarden da kun kan bruges, såfremt patenthaveren meddeler sit samtykke hertil. I IT-praksis er problemet navnlig opstået i relation til standarder for telekommunikation. Skal rettighedshaveren kunne opretholde et patent i en standard (f.eks. et teknisk krav om, at alle GSM-basisstationer skal følge dette sorteringsprincip), vil han komme til at "eje" den pågældende teknologi. Og hvis ikke dette ejerskab modificeres, f.eks. gennem tvangslicens-lignende foranstaltninger, vil man opnå en situation, der er direkte i strid med de hensyn, standardiseringen tilsigtede. ISO og IEC ISO og IEC har længe haft vedtagne regler for immaterielle rettigheder i standarder, se herved ISO's Rules for reference to patented items in International Standards. EU-Kommissionen har ved forskellige lejligheder anbefalet, at standarder ikke gøres til genstand for immaterialrettigheder, og at standardiseringsorganerne i tilfælde, hvor sådanne rettigheder er uundgåelige, sikrer, at markedet har mulighed for på rimelige betingelser at få licens på dem. Dermed indfører man en form for "frivillig tvangslicens": De således fastsatte spilleregler binder på forhånd deltagerne i standardiseringsarbejdet til at fraskrive sig den adgang, de ellers ville have haft, til at udøve deres aftalefrihed i afgørelsen af, hvem der skulle tildeles licens til de pågældende patenter. Vil rettighedshaveren ikke give licens, kan dette etablere en dominerende stilling, der kan forfølges konkurrenceretligt efter TEF (Amsterdam-traktaten) art. 82 (tidligere TEF art. 86). 1992-henstillingen En række af disse problemer blev lagt frem med Kommissionens meddelelse af 27. oktober 1992 om Intellektuel Ejendomsret og Standardisering, KOM(92) 445, endelig udg. Heri henstiller Kommissionen bl.a., at standarder benyttes på fair, rimelige og ikke-diskriminerende vilkår, hvad enten brugerne deltager i standardiseringsorganets arbejde eller ej, og at indehavere af immaterialrettigheder sikres rimelige vilkår mht. royalties mv., idet disse efter bedste evne må bestræbe sig på at identificere eventuelle immaterialrettigheder. ETSI Spørgsmålet har givet anledning til en intens debat ved den europæiske standardiseringsorganisation for telekommunikation, ETSI. Denne diskussion er indtil videre afsluttet ved ETSI's vedtagelse af en Intellectual Property Rights Policy, dateret 24. november 1994, der slår fast, at indehavere af immaterielle rettigheder (kaldet IPR) "should be adequately and fairly rewarded for the use of their IPRs in the implementation of standards". Ifølge reglerne er alle medlemmer af ETSI forpligtede til at orientere ETSI om essentielle immaterialrettigheder, som de er eller burde være opmærksomme på (pkt. 4.1) inden rimelig tid. Hvis et medlem selv fremlægger forslag til en teknisk løsning i en standard, skal medlemmet selv give oplysning om immaterialrettigheder, som måtte være essentielle herfor (pkt. 4.2). Viser det sig, at tredjemand råder over en immaterialrettighed, skal direktøren for ETSI omgående tage kontakt til denne med henblik på at få oplyst, om tredjemand er indstillet på uigenkaldeligt at give standarden i licens på rimelige og ikke-diskriminerende vilkår (pkt. 6.1). Nægtes dette, tages der skridt til at reformulere standarden, således at den pågældende immaterialret ikke længere bliver essentiel. Den seneste udgave af disse regler foreligger på hjemmesiden <www.etsi.org/ipr>. Ifølge ETSI's politik herom indebærer offentliggørelsen af en ETSI-standard ikke nogen garanti for, at standarden krænker eksisterende immaterialrettigheder. Ser man imidlertid sagen fra immaterialrets-indehaverens synspunkt, kan det også føles urimeligt, at en teknologisk løsningsmetode, som har været kostbar at udvikle, og som samtidigt har så betydelige økonomiske nyttevirkninger for brugeren, skal ophøjes til standard og dermed falde i almenhedens ejendom ("public domain") med det resultat, at den præsterede investering reelt er tabt. ETSI-reglerne er landet på en kompromis-løsning, der indebærer, at de pågældende standarder stilles til rådighed - sædvanligvis mod betaling - under en mild form for tvang udfoldet mellem ETSI-partnerne. ETSI's standardiseringspolitik kan siges at angå det problem, der opstår, når en vedtagen - de jure - standard er eller bliver genstand for en industriel eneret. At dette grænseområde volder problemer skyldes patenteringsprocessen: På det tidspunkt, hvor en standard diskuteres af et standardiseringsorgan med henblik på eventuel senere vedtagelse, kan det tænkes, at en producent, der deltager i standardiseringsarbejdet, netop planlægger at søge patentbeskyttelse på det princip (f.eks. en metode til at komprimere data under anvendelse af en bestemt protokol), som standarden vil omfatte. Men da akterne i patentsagen først bliver offentligt tilgængelige 18 måneder efter ansøgningstidspunktet (inden for hvilket tidspunkt ansøgningen må betragtes som virksomhedens erhvervshemmelighed), vil producenten ikke ønske at få disse oplysninger ud i standardiseringsforhandlingerne, som netop udføres i et samvirke mellem virksomheden og dens konkurrenter! At ETSI-politikken har givet anledning til en så forholdsvis omfattende debat skyldes, at de jure-standarder ofte er i public domain (ganske som lovgivning og anden officiel information er det). Derimod er det den almindelige opfattelse, at private virksomheders eneretsstandarder netop kan holdes i ejerskab, idet sådanne standarder til gengæld ikke blåstemples som officielle, f.eks. i forbindelse med offentlige myndigheders indkøb. Supplerende litteraturIT-rettens retskildelære er i litteraturen primært behandlet i relation til konkrete problemstillinger. En god oversigt over selvreguleringens problemer findes i Åke Nilsons korte oversigtsartikel History - Is Self-Regulation a New Concept?, trykt i 6 The EDI Law Review 183 ff. (2000). Det europæiske standardiseringsområde belyses gennem DG XIII-publikationen Standardisering inden for informationsteknologi og telekommunikation (1988) og i EU-Kommissionens grønbog om standardisering, KOM(90) 456. Se også Rudolf Skantz: Standardiseringsarbeidet i EU og EFTA-landene (trykt i Complex 5/91, s. 199 ff.), Georges Ferné i 6 CLSR (March-April 1991), s. 2 ff. og Florence Nicolas: Fælles standarder for erhvervslivet (Kommissionen, 1992). Visse EU-retlige sider af standardiseringsarbejdet behandles af Elisabeth Thuesen i Julebog fra Juridisk Institut ved Handelshøjskolen i København 1999, s. 109 ff. De parlamentariske aspekter af standardiseringsarbejde er behandlet i Robert G. Dixon, Jr. : Standards development in the private sector - thoughts on interest representation and procedural fairness. Boston (1978). Herudover kan henvises til Florence Nicolas & Jacques Repussard: Fælles standarder for erhvervslivet. Udgivet af Europakommissionen (Luxembourg, 1994), samt den omfattende redegørelse hos Harm Schepel & Joseph Falke: Legal aspects of standardisation in the Member States of the EC and EFTA, vol. I - III (Luxembourg, 2000). Indholdsfortegnelse | Forrige kapitel | Næste kapitel |