Notat til ytringsfrihetskommisjonen, skrevet av sekretariatsleder Ivar A. Iversen til kommisjonsmøte 09-10.03.21

 

Notat om EU-kommisjonens forslag til Digital Services Act (DSA)

(Dette er et internt notat til ytringsfrihetskommisjonen, som vi publiserer på vår hjemmeside som følgeskriv til en kronikk i Aftenposten fra kommisjonens leder og sekretariatsleder om DSA. Notatet gir et sammendrag og kommentarer til lovteksten. Merk at det ikke er skrevet av en jurist. Men det kan gi veiledning til de som vil sette seg inn i et komplekst, men viktig lovforslag)

 

Digital Services Act er et lovforslag sendt fra EU-kommisjonen til parlamentet og rådet 15.12.20. Lovteksten er på 60 sider, pluss innledning og vedlegg. Dette notatet gir et forsøksvis nøytralt sammendrag av lovteksten, med noen forklaringer, kommentarer og lenker underveis.

Her er selve lovteksten (og her en kortfattet presentasjon fra kommisjonen).

Her er en utskrift av Margrethe Vestagers korte og konsise tale fra presentasjonen, der hun begrunner loven (hun er visepresident i EU-kommisjonen).

 

Svært kort sammendrag:

Hvis den blir vedtatt, vil loven vil sammen med den nye konkurranseloven (DMA, se under) trolig påvirke nettet og sosiale medier grunnleggende i flere tiår framover. Den vil også bli norsk lov.

Hovedprinsippet for ansvar beholdes: Sosiale medier skal ikke ha et juridisk ansvar for innholdet på egne plattformer, slik redaktører har. Men de må fjerne ulovlig innhold dersom de får beskjed om det fra myndighetene.

Loven prøver å finne løsninger på tre hovedutfordringer ved sosiale medier i dag:

1) Brukernes maktesløshet: Det skal bli enklere å klage på innhold og få det fjernet, men også enklere å klage på fjerninger.

2) Mangelen på innsyn: De store selskapene skal tvinges til å gi langt mer innsyn i sine algoritmer.

3) Effektene sosiale medier har på samfunnet: De store selskapene skal tvinges til å vurdere faren for at plattformene deres for eksempel sprer desinformasjon og ulovlig innhold, og evt endre anbefalingsalgoritmer og annonsesystemer.

Samtidig prøver loven å balansere hensynet til ytringsfriheten ved ikke å innføre nye krav til hva som skal fjernes eller sette tidsfrister for fjerning (slik flere nasjonale lover har gjort, se eget notat). Hva som er ulovlig innhold, skal fortsatt bestemmes i hvert enkelt land.

 

Bakgrunn:

Lovforslaget ble lagt fram sammen med Digital Markets Act, som er forslag til ny konkurranselovgivning for de største nettselskapene (såkalte portvoktere. Den loven har sekretariatet ikke gått inn i foreløpig, men det er noen interessante punkter for oss også her – for eksempel krav om portabilitet, at det skal bli enklere å ta med seg data mellom tjenester). DSA skal supplere og delvis erstatte ehandelsdirektivet (tatt inn i norsk lov gjennom ehandelsloven). Artikkel 12-15 i Ehandelsdirektivet erstattes med DSA.

Loven gjelder alle selskaper som formidler innhold på nettet. Tiltakene er ment å være tilpasset typen tjeneste og størrelsen på selskapene: Det er færre krav til innholdsstyring og rapportering for de som bare leverer nettilkobling enn de som styrer innholdet. Og flest krav til de aller største plattformene.

Dette er et lovforslag fra EU-kommisjonen. Det skal nå diskuteres og vedtas både av parlamentet og rådet (medlemsstatenes regjeringer). Endelig vedtak kan trolig ventes tidligst sommeren 2022. Loven er EØS-relevant og vil trolig bli norsk lov.

Kommunal- og moderniseringsdepartementet har ansvaret for oppfølgingen fra norske myndigheters side, de skrev et posisjonsnotat til kommisjonen i oktober i fjor.

 

Gjennomgang av selve lovteksten

Her kommer en gjennomgang av loven punkt for punkt. Det er tidvis litt detaljert og teknisk, men er ment som et hjelpemiddel for å få en oversikt over hva som faktisk foreslås. Har skrevet en oppsummerende kursivtekst for hvert kapittel, og har lagt inn noen kommentarer og lenker til reaksjoner på loven underveis. 

 

Kapittel I

Angir virkeområdet for loven og koblinger til andre EU-reguleringer og –direktiver, samt definering av nøkkelbegreper (artikkel 1 og 2).

 

Kapittel II

Hovedprinsippet for loven ligger her: Nettselskapene har ikke ansvar for innholdet på sine plattformer, men de har plikt til å fjerne ulovlig innhold dersom myndighetene ber dem om det.

Her defineres ansvarsområdet for såkalte “intermediary services” (formidlingstjenester). Først defineres de tre hovedkategoriene (på teknisk-byråkratisk: mere conduit, caching og hosting, art 3-5). De to første er type bredbåndsleverandører og lignende.

Alle nettselskaper har generell ansvarsfrihet for innholdet de formidler og har ikke plikt til å overvåke innhold (art 6 og 7). Men hvis de får ordre fra et lands myndigheter om å fjerne innhold, må de gjøre dette og informere om resultatet “uten unødig forsinkelse” (art 8). Dette er den generelle bestemmelsen om “notice and take down”, som også finnes i paragraf 17 i ehandelsloven.1

Tjenestetilbyderne har også plikt til å utlevere informasjon om brukere dersom myndighetene ber om dette (art 9).

 

Kapittel III

Dette er det mest sentrale kapittelet. Her listes alle kravene opp til de ulike selskapene, i en stige på fire trinn (seksjonene under) etter type selskap. De største selskapene får de strengeste kravene. (Se ellers kursiver under hver seksjon for sammendrag)

 

Seksjon 1: Plikter for alle tilbydere av formidlingstjenester 

Alle selskaper må ha en ansvarlig kontaktperson, tilgjengelige brukerbetingelser og publisere rapporter om modereringen sin.

Alle formidlingstjenester må etablere ett enkelt kontaktpunkt overfor myndighetene i EU-landene (art 10); og utnevne en juridisk ansvarlig person i EU (art 11). Disse paragrafene skal bøte på utfordringen med å få tak og ansvarliggjøre selskaper som holder til andre steder i verden, men har tjenester som brukes i Europa.

Tjenestene må ha tilgjengelige brukerbetingelser som gjør det tydelig hvilke restriksjoner som ligger i bruk av tjenesten (art 12). Her er det også lagt inn en henvisning til brukernes “grunnleggende rettigheter”, som kan leses som en forankring i ytringsfriheten.

Tjenestene må minst en gang i året publisere “tydelige, lettforståelige og detaljerte” rapporter om all innholdsmoderering de har utført. Her skal det komme fram hva som er fjernet på grunn av ordre fra myndighetene, og hva som er gjort på eget initiativ (art 13). “Mikro eller små foretak” er unntatt fra dette kravet (13-2).

 

Seksjon 2: Forpliktelser i tillegg til seksjon 1 for ‘hosting services’ og nettplattformer

Alle selskaper som lagrer data må gjøre det mulig å varsle om ulovlig innhold til dem, og melde fra til brukeren dersom de fjerner noe.

Forpliktelsene som kommer her gjelder “hosting services”, inkludert nettplattformer. Altså selskaper som oppbevarer data, ikke bare driver med ren datatrafikk.

Selskapene må gjøre det mulig for alle å varsle om antatt ulovlig innhold. Ordningen må være “lett tilgjengelig og brukervennlig”, og det spesifiseres flere elementer som skal være på plass (art 14).

Hvis selskapet fjerner innhold, er de pålagt å varsle den som har publisert innholdet senest på samme tidspunkt som innholdet fjernes og gi en “klar og spesifikk” begrunnelse (art 15). Det gis en ganske detaljert beskrivelse av hva begrunnelsen skal inneholde, blant annet en oppskrift på hvordan man kan klage på slettingen. Begrunnelsene skal ligge offentlig tilgjengelig for alle i en database EU-kommisjonen skal administrere, uten personlige data.

 

Seksjon 3: Ytterligere forpliktelser for alle nettplattformer (i tillegg til seksjon 1 og 2)  

Nettplattformer må blant annet ha klageordninger for fjerning av innhold, samarbeide med faktasjekkere og lignende, stenge ute folk som poster mye ulovlig og gi brukerne innsyn i hvem som annonserer hos dem.

Det følgende gjelder bare selskaper som leverer åpent tilgjengelig innhold på nettet (ikke hosting og ren datatrafikk). Mikro- og små plattformer er også unntatt (art 16).

Plattformene må ha et internt system for behandling av klager på fjerning av innhold. Det skal være mulig å klage inntil seks måneder etter at innhold er fjernet eller man er utestengt (art 17). Brukerne skal også ha mulighet til å klage til en ikke-rettslig instans som ikke kontrolleres av selskapet (art 18, dette kan sees på som en måte å innføre noe a la Facebooks tilsynsråd, eller PFU, for alle nettplattformer).

Plattformene skal prioritere klager på innhold fra såkalte ‘trusted flaggers’ (kan oversettes med sertifiserte varslere, art 19). Dette er en type status for eksempel faktisk.no har hos Facebook i dag. Disse varslerne (som kan være aktivister/organisasjoner) skal godkjennes av tilsynsmyndigheter i de ulike medlemslandene. Det er flere regler for hvordan de skal godkjennes og evt klages på og fratas statusen.

Plattformene pålegges å stenge ute brukere som “ofte publiserer åpenbart ulovlig innhold” (art 20). Folk som misbruker klageordningen skal også stenges ute fra denne. Det er flere krav til hvilket grunnlag disse beslutningene skal tas på.

Hvis plattformen får mistanke om at en “alvorlig forbrytelse som innebærer fare for liv eller trygghet” skjer eller er i ferd med å skje, må den varsle myndighetene (art 21).

Hvis det skjer handel på plattformen, er plattformen pålagt å samle inn og kontrollere ulike typer informasjon om selgerne for å sikre at disse ikke er svindlere (art 22).

Nettplattformer har også ytterligere krav til hva som skal være med i årsrapportene om innholdsmoderering (art 23, ref art 13), blant annet om hvordan automatisert moderering brukes.

Hvis plattformene viser annonser på sine sider, så må det være synlig for brukerne hva som er annonser, hvem som er ansvarlig for annonsen og “meningsfull informasjon” om hvordan annonsen er målrettet (art 24). (Her mener bla EUs eget privatlivstilsyn, EDPS, at loven burde gått lenger og foreslått et forbud mot målrettede annonser basert på innsamlede brukerdata.)

 

Seksjon 4: Forpliktelser i tillegg til seksjon 1-3 for veldig store nettplattformer for å håndtere systemisk risiko

Den kanskje viktigste delen av loven: Veldig store nettplattformer (heretter kalt kjempene) må gjøre risikovurderinger av egne produkter og innføre tiltak for å dempe risiko for at for eksempel desinformasjon spres eller folks grunnleggende rettigheter krenkes. De må gi innsyn til både brukere, tilsynsmyndigheter, revisorer og forskere om hvordan algoritmer fungerer. 

Kjempene er definert som selskaper som brukes av mer enn 45 millioner brukere i snitt per måned i EU-landene (art 25, det er tatt utgangspunkt i ti prosent av befolkningen, slik at tallet kan justeres opp etter hvert). Per i dag er dette trolig Facebook, YouTube, Amazon og TikTok, muligens også Instagram, PornHub og Google Maps.

Kjempene skal hvert år gjennomføre risikovurderinger som tar for seg den systemiske risikoen tjenestene kan medføre. Vurderingen skal inneholde alle disse risikoene (art 26):

  1. a) Spredning av ulovlig innhold
  2. b) Negative effekter for utøvelse av grunnleggende rettigheter: privatliv og familie, ytrings- og informasjonsfrihet, antidiskriminering og barns rettigheter (her henvises det til EU-charteret).
  3. c) Bevisst manipulasjon av tjenestene, inkludert falske kontoer og bots, som kan ha negativ effekt for offentlig helse, barn, den offentlige samtalen eller valgprosesser og offentlig sikkerhet

Kjempene må vurdere hvorvidt systemene for innholdsmoderering, anbefalingssystem og systemene for annonseplassering og –spredning påvirker risikoen.

Videre må kjempene gjennomføre “fornuftige og effektive” tiltak for å dempe risikoen(e). Det listes opp fem eksempler på hva dette kan være, for eksempel endring av anbefalingsalgoritmer og begrenset visning av annonser (art 27).

Kjempene må en gang i året underlegge seg en ekstern og uavhengig revisjon, som de selv betaler for (art 28). Denne skal vurdere hvorvidt de har fulgt alle kravene i kapittel III.

Hvis kjempene bruker anbefalingssystemer (altså algoritmer som velger hva slags innhold brukerne ser), må de opplyse i brukervilkårene hvilke hovedkriterier de bruker for å velge ut innhold. De må også tilby brukerne mulighet til å endre kriteriene – og tilby minst en mulighet som ikke er basert på “profilering” (art 29). Det skal være lett for brukerne å endre innstillingene for hvilket innhold de får se.

Hvis kjempene viser annonser, må de lage en offentlig database som er tilgjengelig i minst ett år etter annonsen er vist (art 30). Den skal inneholde: Innholdet i annonsen, juridisk avsender, hvor lenge annonsen ble vist, om den ble målrettet og i så fall hvordan, antall som så den og antall som fikk den målrettet (uten at personlige data om brukerne eksponeres).

Alle EU-land (og Norge) skal utpeke egne “Digital Services Coordinator” (DSCer, mer om dette i kapittel IV under). Dette er en tilsynsmyndighet som kjempene må utlevere data til. DSCene har krav på innsyn i alle data de trenger for å undersøke om kjempene følger loven (art 31). I tillegg må kjempene utlevere data til såkalte “vetted researchers” (sertifiserte forskere) som ønsker å undersøke systemrisikoen til selskapene. Det følger med regler for hvordan disse forskerne skal sertifiseres. (Denne datatilgangen er av flere trukket fram som en helt sentral nyvinning for å sikre reelt innsyn.)

Kjempene må utnevne en eller flere “compliance officers” som skal sikre at reglene følges og skal samarbeide med tilsynsmyndighetene (art 32).

Kjempene må lage rapporter om sletting osv (ref art 13) hvert halvår, istedenfor en gang i året (art 33), i tillegg til årlige rapporter om risikovurdering, revisjon og oppfølging av dette.

 

Seksjon 5: Due diligence-forpliktelser

Hvis det er krise, kan staten kreve å få spre informasjon på sosiale medier.

Her kommer først litt teknisk om harmoniserte EU-standarder (art 34). Så en formalisering av rammeverket rundt såkalte “codes of conduct” (frivillige bransjestandarder/etiske rammeverk som det er laget flere av i EU-regi de siste årene, art 35). Så et pålegg til kommisjonen om å initiere etiske rammeverk for nettannonsering (art 36).

Til slutt kommer “atomknappen”: Utforming av en såkalt kriseprotokoll for “ekstraordinære omstendigheter som påvirker offentlig sikkerhet eller helse” (art 37). Denne protokollen skal inneholde krav om at informasjon fra offentlige myndigheter vises på prominent plass og at arbeidet med rapportering og sletting osv trappes opp. Som eksempler på slike kriser vises det i innledningen til loven (pkt 71, side 35) blant annet til pandemier og terrorhandlinger, der det er behov for rask spredning av pålitelig informasjon.

 

Kapittel IV Implementering, sanksjoner og oppfølging

Hvordan loven skal følges opp. Hvert land skal utpeke tilsynsmyndigheter. Det blir trolig Irland som får den største jobben. Selskaper som bryter loven, kan bøtelegges med inntil seks prosent av årsomsetningen (GDPR-maksnivået er fire prosent, til sammenlikning). Det er langt mer omfattende regler også her for de digitale kjempene.

 

Seksjon 1: Regler for tilsyns/håndhevingsmyndigheter

Alle medlemsland skal utpeke en eller flere tilsynsmyndigheter som skal følge opp DSA. Én av disse skal få status som “Digital Services Coordinator” (DSC) og være hovedmyndigheten som koordinerer arbeidet nasjonalt og inngår i EU-nettverket av tilsyn (art 38).

De øvrige artiklene i denne seksjonen tar for seg tilsynenes uavhengighet (art 39) og jurisdiksjon (art 40): Denne paragrafen fastslår at det er tilsynet i landet hvor et selskap har hovedkontor eller plasserer sin ansvarlige representant, som skal føre tilsyn. Det vil trolig bety at det blir myndighetene i Irland og Luxembourg som får hovedjobben (Facebook, Google, Apple og Amazon er etablert der, pga skattereglene. Franske myndigheter jobber nå for å endre dette, slik at hvert enkelt land kan straffe selskapene).

Videre gjennomgås tilsynenes myndighet (art 41) og mulighet til å ilegge selskaper straff (hvert medlemsland straffer selskapene i sine land, maks bøtenivå er 6 prosent av selskapets årsinntekt, art 42). Brukerne skal ha rett til å klage på selskapene til tilsynene (art 43) og tilsynene må utgi årsrapporter (art 44). Tilsynene kan be andre lands tilsyn etterforske et selskap dersom myndigheten ligger et annet sted enn der mistanken oppstår (art 45) og de kan sette i gang felles etterforskninger ().

 

Seksjon 2: Europeisk styre for digitale tjenester

En uavhengig rådgivningsgruppe på EU-nivå (European Board for Digital Services), ledet av EU-kommisjonen, skal bistå de ulike tilsynsmyndighetene (art 48). Det listes opp ulike måter de kan bistå på (art 49).

 

Seksjon 3: Egne håndhevingsregler for veldig store plattformer

Denne seksjonen tar for seg egne regler for de digitale kjempene (ref kap III, seksjon 4). Disse er underlagt langt mer detaljerte regler for hva som skal skje dersom EU-kommisjonen eller tilsynsmyndighetene mistenker at de utgjør en systemisk risiko. Veldig kort oppsummert er rekkefølgen først økt overvåkning fra tilsynene, krav om handlingsplan, ny revisjon og krav om nye svar (art 50).

EU-kommisjonen kan selv gripe inn overfor kjempene og gjøre egen etterforskning og innføre midlertidige tiltak, pålegge bindende forpliktelser og overvåke etterlevelsen (art 51-57). Om ingenting virker, kan kommisjonen gi selskapene bøter (inntil seks prosent av omsetning dersom de bryter loven, inntil en prosent dersom de gir villedende informasjon, samt dagbøter art 58-60). Til slutt følger en del prosedyrekrav (art 62-66).

 

Seksjon 4: Felles kjøreregler

Et par utfyllende regler om informasjonsdeling mellom tilsynene (art 67) og plattformbrukernes rett til å organisere seg for å forsvare sine rettigheter (art 68).

 

Seksjon 5: Delegerte rettsakter

Et par påkrevde paragrafer for å gi EU-kommisjonen myndighet til å vedta utfyllende lovgivning (art 69 og 70).

 

Kapittel V: Final provisions

Gjenstående formalia (art 71-74)