Posted on

Neutralitet i ehandelsdirektivet

Christian Engström har skrivit på sin blogg om nätjättars frivilliga moderering av sina plattformar och huruvida det är lagligt eller inte.

Han skriver:

“Men budbärarimmuniteten för nätjättarna är förenad med villkor. Den gäller bara om de verkligen beter sig som neutrala budbärare. Börjar de göra ett redaktionellt urval av vad som får och får sägas på deras plattformar, då rör de sig i riktning mot att vara publicister snarare än budbärare. Då kan de inte längre luta sig mot budbärarimmuniteten, utan måste ta ansvar för precis allt som publiceras hos dem. Vilket som sagt skulle leda till att de får stänga butiken.”

“Enligt de lagar och regler som finns är det redan olagligt för Facebook, Youtube och Twitter att välja ut vilka politiska budskap som får spridas eller inte. Det bryter mot budbärarimmuniteten som är en förutsättning för deras verksamhet.”

Vi har diskuterat detta vidare lite på Facebook, där Christian hänvisade till ehandelsdirektivet och särskilt recital 42 som grund för sitt påstående om att t.ex. Facebook enligt rådande lag förlorar sin budbärarimmunitet ifall man gör någon form av godtycklig moderering som kan tolkas politiskt.

Jag tänkte inte här ge mig in i huruvida det borde vara så eller inte, utan undersöka ifall Christian har rätt om hur lagen ser ut idag. Oavsett hur man vill att den ska se ut, så måste man börja sitt resonemang med hur den faktiskt ser ut, innan man kan diskutera hur och om den ska ändras.

Ehandelsdirektivet

Så låt oss börja med att granska ehandelsdirektivet, den EU-lag som reglerar vilket juridiskt ansvar den som tillhandahåller en digital tjänst har för vad användare gör med tjänsten. Ehandelsdirektivet etablerar tre kategorier av tjänster där tillhandahållaren inte är automatiskt ansvarig för användarnas brott, nämligen “mere conduit”, “caching” och “hosting”. Av de tre är det “hosting” som är intressant för oss, då det är den kategorin som alla tjänster vilka tillåter användare att ladda upp material faller under.

Vad säger då ehandelsdirektivet om villkoren för att “hosting”-tjänster ska vara friskrivna från ansvar för vad deras användare laddar upp? Man kan i korthet säga att de är fria från ansvar så länge de (i) inte känner till det specifika brottsliga materialet, (ii) och vidtar åtgärder så snart de får kunskap om det specifika brottsliga materialet.

Article 14 Hosting

1. Where an information society service is provided that consists of the storage of information provided by a recipient of the service, Member States shall ensure that the service provider is not liable for the information stored at the request of a recipient of the service, on condition that:

(a) the provider does not have actual knowledge of illegal activity or information and, as regards claims for damages, is not aware of facts or circumstances from which the illegal activity or information is apparent; or

(b) the provider, upon obtaining such knowledge or awareness, acts expeditiously to remove or to disable access to the information.

2. Paragraph 1 shall not apply when the recipient of the service is acting under the authority or the control of the provider.

3. This Article shall not affect the possibility for a court or administrative authority, in accordance with Member States’ legal systems, of requiring the service provider to terminate or prevent an infringement, nor does it affect the possibility for Member States of establishing procedures governing the removal or disabling of access to information.

En intressant sidosak är det extra undantag som läggs till i (2), nämligen att allting den användare som står under “hosting”-tjänstens kontroll eller auktoritet gör betraktas som gjort av tjänsten själv, vad gäller åtalsimmunitet. Det skulle eventuellt kunna tolkas som att de individer som t.ex. är “verified” av Twitter står under tjänstens auktoritet, eller att de som har intäktsdelningsprogram med YouTube står under tjänstens kontroll. Jag har inte sett någon utforska det här spåret, och såg inget rättsfall där EU-domstolen tolkat paragrafen heller.

Såhär långt finns definitivt inget krav på neutralitet eller dylikt för “hosting”-tjänster i ehandelsdirektivet. Den tanken smyger sig däremot in i recital 42:

(42) The exemptions from liability established in this Directive cover only cases where the activity of the information society service provider is limited to the technical process of operating and giving access to a communication network over which information made available by third parties is transmitted or temporarily stored, for the sole purpose of making the transmission more efficient; this activity is of a mere technical, automatic and passive nature, which implies that the information society service provider has neither knowledge of nor control over the information which is transmitted or stored.

I EU-kommissionens pressmeddelande sammanfattar man det som att “only services who play a neutral, merely technical and passive role towards the hosted content are covered by the liability exemption”. Här har man tagit in ordet “neutral”, trots att det inte finns med i texten alls. Upplagt för förvirring!

Ehandelsdirektivet i Sverige

I Sverige implementerades ehandelsdirektivet genom Lag om elektronisk handel och andra informationssamhällets tjänster. Den del som intresserar oss nu är paragraf 18:

En tjänsteleverantör som lagrar information som lämnats av en tjänstemottagare skall inte på grund av innehållet i informationen vara skyldig att ersätta skada eller betala sanktionsavgift, under förutsättning att leverantören
1. inte känner till att den olagliga informationen eller verksamheten förekommer och, när det gäller skyldighet att ersätta skada, inte är medveten om fakta eller omständigheter som gör det uppenbart att den olagliga informationen eller verksamheten förekommer, eller
2. så snart han får sådan kännedom eller medvetenhet utan dröjsmål förhindrar vidare spridning av informationen.

Vad som sägs i första stycket gäller inte om den tjänstemottagare som lämnat informationen handlar under tjänsteleverantörens ledning eller överinseende.

Så långt är vad som står i lagen i princip exakt vad som stod i ehandelsdirektivets artikel 14, så inte särskilt intressant. I promemorian som föregick lagen diskuteras frågan om ansvarsfrihet utifrån recital 42 i ehandelsdirektivet:

I ingresspunkt 42 framhålls att de undantag från ansvar som fastställs enligt detta direktiv endast omfattar fall när tjänsteleverantörens verksamhet är begränsad till den tekniska processen att driva och erbjuda tillgång till ett kommunikationsnät där information som görs tillgänglig av tredje part vidarebefordras eller tillfälligt lagras, i uteslutande syfte att göra överföringen effektivare. Ansvarsfriheten gäller endast, sägs det vidare, när verksamheten är av rent teknisk, automatisk och passiv natur, vilket innebär att tjänsteleverantören varken har kännedom om eller kontroll över vidarebefordrad eller lagrad information. Vidare påpekas i ingresspunkt 43 att en tjänsteleverantör bara kan åberopa ansvarsfriheten i artikel 12 och 13 när han på intet sätt befattar sig med den vidarebefordrade informationen, vilket bl.a. kräver att han inte ändrar den information han vidarebefordrar. (s.73)

Intressant här är att man gör en åtskillnad mellan kraven på “mere conduit”- och “caching”-tjänster å ena sidan, och “hosting”-tjänster å andra sidan. De tidigare regleras av artiklarna 12 och 13 i ehandelsdirektivet, medan “hosting”-tjänster som vi sett regleras i artikel 14. Det görs tydligt att “hosting”-tjänster får befatta sig med informationen som förmedlas, utan att detta nödvändigtvis gör att immuniteten förloras.

I den svenska promemorian håller man sig också borta från ordet “neutralitet”, som EU-kommissionen introducerade i sitt pressmeddelande. Ingen vidare tolkning görs av vad “kontroll” över information betyder, heller.

EU-domstolen tolkar recital 42

Hur har EU-domstolen tolkat den här situationen? Hur neutral måste en “hosting”-tjänst förhålla sig?

Vi har två rättsfall att förhålla oss till: Google France och L’Oreal.
I det förstnämnda säger domstolen följande:

113    In that regard, it follows from recital 42 in the preamble to Directive 2000/31 that the exemptions from liability established in that directive cover only cases in which the activity of the information society service provider is ‘of a mere technical, automatic and passive nature’, which implies that that service provider ‘has neither knowledge of nor control over the information which is transmitted or stored’

114    Accordingly, in order to establish whether the liability of a referencing service provider may be limited under Article 14 of Directive 2000/31, it is necessary to examine whether the role played by that service provider is neutral, in the sense that its conduct is merely technical, automatic and passive, pointing to a lack of knowledge or control of the data which it stores.

(min emfas)

Här gör domstolen kopplingen mellan recital 42’s “merely technical, automatic and passive” och konceptet neutralitet. Men det är alltså egentligen inte någon innehållsmässig neutralitet man talar om, utan en aktionsmässig. Frågan som ställs är alltså vilken relation man intar till vad användarna laddar upp, inte huruvida man behandlar användarna lika.

Man kan absolut argumentera för att många plattformar på nätet sedan länge lämnat en roll som kan beskrivas som passiv. Se t.ex. samarbeten mellan YouTube och Youtubers, uttalat medvetna förändringar av rekommendationsalgoritmer för att gynna visst innehåll som är mer kommersiellt värdefullt, et cetera. Men detta har inte rättssystemet uttolkat åt oss än.

Det är slutligen viktigt att poängtera att vad domstolen här säger inte är att immuniteten försvinner i alla fall bara för att plattformen inte är neutral i några särskilda fall, bara att immuniteten försvinner gällande dessa senare fall. Det betyder alltså att plattformen aldrig kan åtalas för en användares brott när den tagit bort material, bara när den låtit det vara kvar.

I fallet L’Oreal tolkade generaladvokat Jääskinen recital 42 lite annorlunda. Han tolkar det som att recital 42 egentligen inte rör “hosting”-tjänster alls, utan “mere conduit”- eller “caching”-tjänster, som regleras i artiklarna 12 och 13 av ehandelsdirektivet.

140. When anchoring the limitation of liability criteria of the hosting provider to ‘neutrality’, the Court has referred to recital 42 of Directive 2000/31. I share the doubts expressed by eBay as to whether this recital 42 at all concerns hosting referred to in Article 14.

141. Even if recital 42 of the directive speaks of ‘exemptions’ in plural, it would seem to refer to the exemptions discussed in the following recital 43. The exemptions mentioned there concern – expressly – ‘mere conduit’ and ‘caching’. When read this way, recital 42 becomes clearer: it speaks of the ‘technical process of operating and giving access to a communication network over which information made available by third parties is transmitted or temporarily stored, for the sole purpose of making the transmission more efficient’ (my emphasis). To my mind, this refers precisely to ‘mere conduit’ and ‘caching’, mentioned in Articles 12 and 13 of Directive 2000/31.

142. Rather, in my view, it is recital 46 which concerns hosting providers mentioned in Article 14 of Directive 2000/31, as that recital refers expressly to the storage of information. Hence, the limitation of liability of a hosting provider should not be conditioned and limited by attaching it to recital 42. It seems that if the conditions set out in Google France and Google for a hosting provider’s liability are confirmed in this case to apply also to electronic marketplaces, an essential element in the development of electronic commerce services of the information society, the objectives of the Directive 2000/31 would be seriously endangered and called into question.

(min emfas)

I domstolens utlåtande kan vi sen läsa:

116    Where, by contrast, the operator has provided assistance which entails, in particular, optimising the presentation of the offers for sale in question or promoting those offers, it must be considered not to have taken a neutral position between the customer-seller concerned and potential buyers but to have played an active role of such a kind as to give it knowledge of, or control over, the data relating to those offers for sale. It cannot then rely, in the case of those data, on the exemption from liability referred to in Article 14(1) of Directive 2000/31.

Nu gäller detta explicit bara marknadsplatser på nätet, och inte “hosting”-tjänster i allmänhet. Men det kan ändå vara intressant att ta del av.

I en studie från 2017 skriver Christina Angelopoulos, expert på vilket ansvar plattformar har för upphovsrättsintrång som deras användare begår:

In conclusion, according to existing indications, neutrality does not seem to demand the complete passivity from storage providers. While the borderline that turns a neutral host into an active content provider therefore remains a fuzzy one, it appears that Web 2.0 providers cannot per se be excluded. Instead, the case law would indicate that, as long as they don’t contribute to the creation of the relevant content or provide assistance geared at optimising the presentation of or promoting that content then they are sufficiently neutral. Certainly, this appears to be the approach most commonly endorsed by the national courts of the Member States.

Ultimately, perhaps the connection of neutrality, under CJEU case law, with the function of intermediation and its dependence on the notions of knowledge and control would suggest that what the Court is in fact attempting through its introduction is a differentiation between ‘true intermediaries’, which remain uninvolved in the third party wrong despite the use of their services for the commission of that wrong (and which therefore should enjoy immunity) and service providers which, to a greater or lesser extent, are involved in the wrong in such a way that it might be understood to be their own (which therefore do not deserve protection). Seen under this lens, the CJEU’s bid for neutrality is probably best interpreted as an attempt to depend liability on the mental attitude of the intermediary towards the primary wrong. The description of neutrality as the status of being ‘of a mere technical, automatic and passive nature’ suggests that what is important is, not so much what the intermediary does, but the way in which it goes about doing it: passively, through an automatic technical process set in place prior to the infringement, offered to all indiscriminately and exploited by the direct infringer, or as a result of a conscious decision to take part in somebody else’s wrongdoing. It is worth noting that, as shall be seen below, the national rules on accessory liability confirm the relevance of the mental element to the diagnosis of liability-carrying participation.

(min emfas)

Som författaren här är inne på (och jag nämnde ovan) så reglerar inte recital 42 i ehandelsdirektivet generell immunitet från åtal för användares brottsliga handlingar, utan specifik immunitet i de fall där tjänsteleverantören inte spelat en “technical, automatic and passive” roll. Vad recital 42 kan ge oss är alltså inte en situation där en plattform blir av med sin åtalsimmunitet för att man tar bort enskilda användares uppladdningar, utan för att man medverkar till uppladdningar som är brottsliga.

Den intressantaste frågan för mig är ifall t.ex. YouTube är medansvariga för ifall deras partners begår brott i sina videor?

Digital Services Act – det nya ehandelsdirektivet

Så långt ehandelsdirektivet. Men det är ju på väg ut, och har alltså marginell relevans för framtiden. Inom något år kommer direktivet att ersättas av Digital Services Act, . Hur regleras den här frågan där?

I Digital Services Act läggs en ny kategori tjänster som kan vara immuna från åtal för deras användares brott till listan med “mere conduit”, “caching” och “hosting”, nämligen “platforms” som är en underkategori till “hosting” med ytterligare krav på sig. Läs mer här. Det som är intressant i nuläget är dock artikel 5, som motsvarar ehandelsdirektivets artikel 14.

Article 5: Hosting

  1. Where an information society service is provided that consists of the storage of information provided by a recipient of the service the service provider shall not be liable for the information stored at the request of a recipient of theservice on condition that the provider:(a)does not have actual knowledge of illegal activity or illegal content and, as regards claims for damages, is not aware of facts or circumstances from which the illegal activity or illegal content is apparent; or(b)upon obtaining such knowledge or awareness, acts expeditiously to remove or to disable access to the illegal content.

2. Paragraph 1 shall not apply where the recipient of the service is acting under the authority or the control of the provider.

3. Paragraph 1 shall not apply with respect to liability under consumer protection law of online platforms allowing consumers to conclude distance contracts with traders, where such an online platform presents the specific item of information or otherwise enables the specific transaction at issue in a way that would lead an average and reasonably well-informed consumer to believe that the information, or the product or service that is the object of the transaction, is provided either by the online platform itself or by a recipient of the service who is acting under its authority or control.

4. This Article shall not affect the possibility for a court or administrative authority, in accordance with Member States’ legal systems, of requiring the service provider to terminate or prevent an infringement.

Här har det inte tillkommit något krav på passivitet eller neutralitet. Vad står det i skälen till lagen då? Där hittade vi ju ehandelsdirektivets recital 42 om passivitet.

Recital 18: The exemptions from liability established in this Regulation should not apply where, instead of confining itself to providing the services neutrally, by a merely technical and automatic processing of the information provided by the recipient of the service, the provider of intermediary services plays an active role of such a kind as to give it knowledge of, or control over, that information. Those exemptions should accordingly not be available in respect of liability relating to information provided not by the recipient of the service but by the provider of intermediary service itself, including where the information has been developed under the editorial responsibility of that provider.

Recital 20: A provider of intermediary services that deliberately collaborates with a recipient of the services in order to undertake illegal activities does not provide its service neutrally and should therefore not be able to benefit from the exemptions from liability provided for in this Regulation.

Recital 25: In order to create legal certainty and not to discourage activities aimed at detecting, identifying and acting against illegal content that providers of intermediary services may undertake on a voluntary basis, it should be clarified that the mere fact that providers undertake such activities does not lead to the unavailability of the exemptions from liability set out in this Regulation, provided those activities are carried out in good faith and in a diligent manner. In addition, it is appropriate to clarify that the mere fact that those providers take measures, in good faith, to comply with the requirements of Union law, including those set out in this Regulation as regards the implementation of their terms and conditions, should not lead to the unavailability of those exemptions from liability. Therefore, any such activities and measures that a given provider may have taken should not be taken into account when determining whether the provider can rely on an exemption from liability, in particular as regards whether the provider provides its service neutrally and can therefore fall within the scope of the relevant provision, without this rule however implying that the provider can necessarily rely thereon.

(min emfas)

Tillsammans med artikel 6 är det tydligt att Digital Services Act tillåter en plattform att moderera innehåll i enlighet med sina användarvillkor, åtminstone så länge man är någorlunda konsekventa.

Slutsats

Jag drar slutsatsen att Christian har fel, och att plattformar både under ehandelsdirektivet och Digital Services Act generellt har rätten att ta bort vilket innehåll de vill, utan att förlora immunitet från åtal för brottsligt material. Däremot förlorar de detta skydd för innehåll till vilket de intar en aktiv relation; de kan alltså åtalas för att lämna något uppe som är brottsligt, ifall de inte har en neutral relation till detta material.