Cracking the Webnut – how to make law for the online space

Every day, the debate on Internet regulation becomes more hectic. This is mostly due to the increasingly overlapping interests that populate the web. Not only Oracles, Microsofts and Googles, but also telcos, media providers, “brick and mortar” businesses, salesmen and intermediaries of all kinds. All these actors are now converging on the same stage, and inevitably start competing for the attention of the audience. And as they compete, the theatre takes off to reach the clouds – and not only metaphorically, since cloud computing is changing again the dynamics of competition in this field.

Leaving this stage unregulated would have enormous consequences. In its early, less regulated years, the Internet was defined as “central park after dark”: full of excitement and thrill, for sure, and often beyond real-world legality. But it was not a place where you’d send your kids, nor a place to date your girlfriend. No country for old men, no place where you’d walk with a bag full of cash. Not a place for business meetings or picnics. Not a place where you’d sell your books or play your music.

The hot question today is how much police should we put in the park, and what type of activities should be deemed legal: a very difficult question, because many park visitors are used to quite libertine customs. The current social norms – which compose the netiquette – follow very different standards and criteria than what is deemed acceptable in real life. This is why opinions diverge so significantly on the future of the Net. Those that value the excitement and thrill of central park after dark want to preserve the Net as free and end-to-end as possible, whereas those that start populating cyberspace from real life don’t feel at ease in that world. The more the Internet permeates the life of the average citizens and businesses, the more it leaves the underground world of techies and geeks to enter the living rooms of households, the more regulation advocates gain weight. And this is understandable: as recently recalled by US President Obama, Internet thieves stole IP-protected data for more than $1 trillion dollars worldwide last year. And recent research shows that many companies are subject to tens of thousands of cyber-attacks per day, some of which are very difficult to detect and resist.

However, regulating the Internet is easier said than done. The Internet is a tough nut to crack for governments: it is global, virtual, digital, de-centralised, user-centric, and respects no authority (except perhaps Google). Who can possibly regulate it, and how?

The fundamental regulatory, monitoring and enforcement tool on the Internet is technology, because it is as global, de-centralised and pervasive as the Internet is – legal rules aren’t. As Larry Lessig noted back in the 1990s, in cyberspace it is code, or the technological architecture of the Web, that determines what is possible, much more than law. When preferences and behaviour diverge and enforcement is prohibitively expensive, societies have to build locks and fences to protect property and ensure respect of the rule of law. The Internet, for a long time, was a commons without locks and fences, and the legal rules that would protect basic rights such as copyright or privacy were so far away from the surfers’ ethical code than they got easily circumvented – remember the Brits forcing Indians to swear on the Bible that they would tell the truth during trial? Faced with the need to impose respect of real life rules in a virtual, globalised environments, governments have little choice beyond the implementation of changes in the architecture of cyberspace: it’s like saying, if you want to make sure cell phones don’t ring during a concert, you better isolate the concert hall, rather than put warning signs or even sanctions on the wall. Otherwise, monitoring and enforcing may be prohibitive. The same happens on the Internet: a password is a password, either you know it or you don’t. That’s why code – to quote again Lessig – can achieve the “perfect technology of justice”.

But how far can technology be pushed? The problem with technology is that it is so pervasive that it can be used both as a tool to define Internet users’ rights, and a tool to enforce non-Internet rights on the Web. A clear example of the former is DRM systems, which determine possible uses of given information goods before they are introduced in cyberspace. On the contrary, an example of latter case is the French HADOPI law, where technology is put in the hands of ISPs to inspect packages, detect copyright infringement and – after three warning messages – block the user’s Internet subscription. The first is a case of self-help – something similar to a lock on a door or on a scooter, aimed at avoiding theft in surroundings where law enforcement is insufficient. The second is a case of cyber-police, more similar to dawn raids to inspect company books.

The real battle on the “how” of Internet regulation is being played on this thin red line. Openists claim that technology should not be used to regulate the Internet by adding more intelligence at the core, and certainly not as a weapon in the hands of cyber-policemen. On the other hand, the industry (on the copyright front) and new cybernauts (on the privacy front) want a safer environment.

Deciding how to regulate the Internet is also crucial to determining “who” should regulate. A broad definition of acceptable protection measures (e.g. DRM); reasonable traffic management practices (such as competitively neutral traffic prioritization and application blocking); and codes of conducts for various Internet players can only take place through co-regulation, with Internet players taking the lead, and governments certifying the compatibility of those solutions with public goals. To the contrary, invasive technology-based enforcement of (often obsolete) real life rules must be mandated by governments and enforced by legal or administrative authorities (see the HADOPI 2 law, which requires a decision in court).

How will we solve the puzzle? The compromise is hard to strike, but I see trends emerging. The most reassuring one is a call for global co-regulation to define what is acceptable on the Internet – provided that users are adequately represented in this co-regulatory effort. Co-regulation should lead to a better definition of users’ rights (including the “Internet freedoms”), reasonable traffic management practices, and non-discrimination obligations at all layer of the IP-based architecture. Governments around the world should then commit to respecting and enforcing these rules.

To the contrary, any rule that goes too far from netiquette will be doomed to failure. As a clear example, recent studies show that HADOPI is already being massively circumvented and pirates are on the rise in France. Political scientists call this “compliance trap”: never play with techies, they’ll find a way to cheat you up. Cyber-police is not a good way to crack the webnut: these technical solutions, in turn, are quite easily cracked.

Andrea Renda
Andrea Renda är Senior Research Fellow vid Centre for European Policy Studies (CEPS) i Bryssel, där han driver programmet för myndighets- och lagstiftningsfrågor. Andrea Renda är konsult åt bland annat Europakommissionen, -parlamentet och Världsbanken samt professor i Ekonomisk laganalys och konkurrenslagstiftning vid LUISS Guido Carli-universitetet i Rom.

7

Kommentarer

  1. Per ÖVERSÄTT för bövelen, du skriver ju på svenska i avannonseringen.

    • Per Strömbäck

      Ja, det här är ett test (se min kommentar på bloggen) – men om många protesterar så kör jag en svensk version också.

      • neej Per, det är nog sådana här ”experter” vi skall se upp med, den som inte är ”inbjuden” kan inte förstå vad karln pratar om, det brukar bli så, när ”herrelösa pengar”i Bryssel står för fiolerna. ”Ser han inte lite skum ut också” Tack å lov har vi SDM som reder ut begreppen.
        Nej ett inlägg av Henrik Pontén skulle pigga upp.

        • Per Strömbäck

          Njae, jag är glad att Netopia får chansen att presentera en så inflytelserik forskares text, det bör berika debatten i Sverige. Ska tänka lite på det där med Pontén.

  2. Scary Devil Monastery

    ”…reasonable traffic management practices, and non-discrimination obligations at all layer of the IP-based architecture.”

    Innan snubblar han litet, men där trillade han av tåget. ”all layer of the IP-based architecture” betyder definitionsmässigt att man avlyssnar all information som skickas i realtid. De flesta applikationer som hanterar information säkert krypterar och döljer idag lager 3-7.

    Vad han säger är i rent praktiska termer att banktransaktioner och hantering av information säkert över internet måste avskaffas. Det finns ingen utväg annat än det för att uppnå syftet att övervaka det som skickas.

    Innan dess tar han upp hur internet fungerar – och missar helt att det ”vanliga” internet idag är ungefär som en vanlig storstad. Iakttag vanlig försiktighet, surfa inte till skumma sidor och klicka på länkar, så klarar du dig normalt sett fint. Men för att göra bruk av Renda’s egna termer, vad händer i verkliga världen om allmogen envisas med att besöka de skummare kvarteren efter mörkrets inbrott, nakna förutom en skylt där deras namn, årliga inkomst och hemadress finns tydligt skriven?

    Samma som sker när de på internet, bildligt talat, iförda den klädseln dansar i trafiken i slumkvarteren på med en bindel för ögonen och högljutt förkunnar sina personliga detaljer till alla med en megafon.

    Både i verkliga livet och på nätet finns skumma platser och fällor att undvika om man inte vill råka illa ut. I verkliga livet vet vi sedan länge att det inte går att avkriminalisera en stad. Oavsett hur mycket resurser man lägger ned. Alltså lär vi våra barn elementära försiktighetsregler och klarar oss därigenom normalt sett bra.

    Men på internet är det fasaväckande vad gemene man avslöjar om sig själv och sina personliga detaljer. Under de årtionden som man har utvecklat säkerhetslösningar har det gång på gång visat sig att den enda i längden hållbara lösningen är att enskild person måste bli riskmedveten på samma sätt som han är i verkliga livet. Annars håller det inte. Man kan i längden inte hjälpa en person som väljer onödigt risktagande som en livsstil.

  3. Scary Devil Monastery

    @Per

    ”Njae, jag är glad att Netopia får chansen att presentera en så inflytelserik forskares text, det bör berika debatten i Sverige.”

    Jag ser det som litet oroväckande att han kallas för inflytelserik då han i breda ordalag ställer frågor som antingen har självklara svar rent tekniskt, eller som i en demokrati inte bör ställas om det inte är just demokratin man vill bli av med.

    Vissa uttalanden får mig att undra hur mycket av hans kunskap om internets demografi som kan betraktas som ”arm-chair theoretics”…bland annat hans aningen flummiga filosofi om hur mycket man kan skydda folk mot dem själva.
    Faktum är att mina 80-åriga föräldrar inte har och aldrig har haft problem med internet. Mina yngre släktingar, från 10 år och upp, har inte och har aldrig haft problem med internet.

    Jag känner faktiskt inte en enda person som haft problem med internet.
    ”No country for old men”? Den satsen kan i sig bara besvaras med ”I call BULL!”.

    Naturligtvis kan man råka illa ut. Men de som likt den stackars pensionär som blev lurad på sitt livs besparingar av ett nigeriabrev är samma personer som i alla tider blivit lurade på det samma av bondfångare vid dörren.

    Det är svårt att säga vad exakt Ronda är ute efter i sin argumentation. I det han säger ”any rule that goes too far from netiquette will be doomed to failure” har han i sig självt redan utdömt totalt sitt tidigare påstående: ”…and non-discrimination obligations at all layer of the IP-based architecture…”, samt i stora delar ”…A broad definition of acceptable protection measures (e.g. DRM)…”.

    Nackdelen med exempelvis DRM ur mångas synvinkel är att det hittills ofta har stört eller sabbat stora delar av specialanpassade (eller dåligt uppdaterade) system. I värsta fall (Sony rootkit) kan det aktivt destruera datorns förmåga att fungera. I många andra fall kan det sänka datorns kapacitet mätbart. Som ett resultat har DRM av alla typer fått ett hittills väl förtjänat uselt rykte och bruket i sig kan mycket väl betraktas som ett brott mot netiquette.
    (En direkt följd av att idioter i hast skriver programvara menad att ingripa på systemnivå utan att testa den ordentligt vilket gjort mycket av den mer intrusiva DRM’en jämställd med de mer skadliga datorvirusen som florerar.)

    Säger ronda något tänkvärt? en hel del, men vissa saker han säger får en att undra om han någonsin använt en browser utanför ett slutet intranät. Hans uttalanden bör betraktas med bitvis skarp kritik.

  4. ”Deciding how to regulate the Internet is also crucial to determining “who” should regulate”

    The main thing to determine is – in who’s benefit should the Internet evolve – To the benefit of an industry with increasingly fascist attitudes and with the influence and power to enforce fascist laws/regulations or in the benefit of ”the greater good” – ie the general public? – Regulations per definition always mean limitations in the freedom and rights of the general public

    It baffles me how it seems so easy to suggest – introduce and implement regulations for the Internet which would be unthinkable in the real world – It’s even more stunning how laws can be passed just on lose assertions from this industry and how it’s possible to set aside important democratic values to protect these schizophrenic multinational companies

Kommentera artikeln