De laatste zet van de Privacy Guarantor om DeepSeek te blokkeren is een twijfelachtige brief aan providers

Achtergrond

Eind 2024 leek de AI-markt stevig gedomineerd te worden door Big Tech, zonder dat er sprake was van enkele Europese concurrenten. Totdat Deepseek, een Chinese AI, op het toneel verscheen met prestaties en efficiëntie die de tot dan toe onwrikbare zekerheid over de technologische superioriteit van de VS in deze sector in twijfel trokken.

Toen het verrassingseffect eenmaal was uitgewerkt, begonnen concurrenten te reageren door te protesteren tegen de manier waarop deze AI zou worden gebouwd – in wezen, zo beweren ze, ‘parasiteren’ ze op OpenAI – en nationale gegevensbeschermingsautoriteiten startten onderzoeken om te begrijpen of er profielen bestonden van onrechtmatige verwerking van persoonsgegevens. In het bijzonder heeft de Italiaanse autoriteit voor gegevensbescherming op 30 januari 2025 Deepseek opgedragen te stoppen met het verwerken van de gegevens van Italiaanse gebruikers die verbinding maakten met het platform. Deepseek heeft de maatregel echter niet doorgezet, omdat het van mening was dat het niet onder de Italiaanse wetgeving viel. Ook vanuit ons land bleef Deepseek de dienst toegankelijk maken .

Klaar

Gisteren heeft de Autoriteit Persoonsgegevens, vertegenwoordigd door de plaatsvervangend secretaris-generaal en directeur van de afdeling Telematicanetwerken en Marketing, een aangetekende e-mail gestuurd aan de Italiaanse operators en internetproviders met daarin een kopie van het bevel van 30 januari en een uitnodiging om "eventuele competentiebeslissingen" te nemen met betrekking tot het feit dat Deepseek, ondanks het bevel van januari 2025, nog steeds bereikbaar is vanuit Italië.

Een verwarrende boodschap, niet alleen juridisch

Het is volkomen begrijpelijk dat de Garant de niet-naleving van haar bepaling niet op prijs stelde, net zoals het begrijpelijk is dat zij eraan dacht om strenge maatregelen te nemen door toegangsoperatoren op te leggen de verbindingen met het Chinese platform te blokkeren, zoals de Communications Authority dat ook doet met piraterijstreamingsites.

Maar hier is het vreemde: in plaats van expliciet opdracht te geven tot het filteren van de verbindingen van gebruikers, is de autoriteit ‘een heel eind’ gegaan door een nogal dubbelzinnige boodschap te sturen in de vorm van een ‘suggestie’ – een handeling die onbekend is bij het bestuursrecht – die wordt gecommuniceerd door een interne structuur die niet de bevoegdheid heeft om bepalingen uit te vaardigen.

Het is namelijk niet duidelijk wat de afdeling telematicanetwerken en marketing van de Garant bedoelt met de woorden "enige vaststelling van bevoegdheid", aangezien de operators geen autonome bevoegdheid hebben met betrekking tot Deepseek en in het algemeen met betrekking tot andere netwerkbronnen die bereikbaar zijn via hun eigen infrastructuur. We moeten niet vergeten dat wat wij ‘het internet’ noemen niet één enkel object is, maar een verzameling van onafhankelijke maar met elkaar verbonden netwerken. Een beetje zoals Venetië: veel onafhankelijke eilanden die door bruggen met elkaar verbonden zijn.

Met andere woorden: zonder een bevel van een of andere autoriteit kan een operator de privacy van zijn klanten niet schenden door alle verbindingsaanvragen te ‘onderscheppen’ en de verzoeken die betrekking hebben op de beschuldigde site te blokkeren, zoals gebeurt wanneer het nodig is om een ​​site ‘onleesbaar te maken’.

Niet-verantwoordelijkheid van de toegangsbeheerder

Ervan uitgaande dat Deepseek via haar platform een ​​strafbaar feit pleegt, is het voorkomen van voortzetting van het strafbare feit een urgente taak voor de politie en, op zeer korte termijn, voor het Openbaar Ministerie. Uiteraard kunnen operators niet autonoom ingrijpen, maar moeten ze maximaal samenwerken om de opdrachten uit te voeren. van autoriteit.

Sinds 2000, toen Richtlijn 31 inzake elektronische handel werd aangenomen, zijn aanbieders van internettoegang niet langer actief verplicht om toezicht te houden op de gegevens die door hun netwerken gaan, en zijn zij hier ook niet verantwoordelijk voor. Zij moeten zich op die manier onthouden van ingrijpen in het verkeer.

Enerzijds is het zo dat een exploitant alleen ingrijpt in de verbindingen van gebruikers als er een wet is die daarin voorziet. Aan de andere kant is de exploitant alleen (mede)verantwoordelijk voor wat zijn klanten doen als hij besluit om te 'onderscheppen' wat erdoorheen gaat en zelf te bepalen wat erdoor mag en wat niet.

De niet-toepasselijkheid van de Digital Services Regulation (DSA)

Sommigen wijzen erop dat er veel is verwaterd en dat de principes van de eerbiedwaardige e-commerce-richtlijn niet langer van toepassing zijn.

Tegenwoordig bepaalt artikel 7 van de Verordening Digitale Diensten dat aanbieders “spontaan” maatregelen kunnen nemen om te voldoen aan de EU-“wetgeving”. De uitnodiging van de Garant aan de exploitanten om "zichzelf vragen te stellen" en "zichzelf antwoorden te geven" zou derhalve zijn grondslag vinden in deze regel.

Echter, Artikel 7 kan, net als alle Europese en internationale wetten, niet in strijd zijn met de Italiaanse grondwet en in dit specifieke geval met artikel 15. Deze wet beschermt de vertrouwelijkheid van communicatie door de tussenkomst van de rechterlijke macht te vereisen in gevallen waarin het noodzakelijk is om in te grijpen in iemands privéleven.

Als de Italiaanse wet voorschrijft dat voor het "onderscheppen" van internetverkeer naar bepaalde websites een bevel van de autoriteiten nodig is, is het duidelijk dat de exploitant in zijn eentje hierover niets kan beslissen. Het is immers volkomen duidelijk dat ‘ingrijpen in het verkeer’ zonder uitdrukkelijk bevel een systematische schending van de vertrouwelijkheid van de communicatie betekent, dat wil zeggen (minstens) een misdrijf begaan.

Het is dan ook geen toeval dat zowel afluisteren en andere op een vertrouwelijke lijst vermelde "verplichte diensten", als DNS-hijacking die wordt gebruikt om sites te blokkeren die onderworpen zijn aan maatregelen van de rechterlijke macht en onafhankelijke autoriteiten, enkel en alleen worden uitgevoerd als reactie op een expliciete en gemotiveerde maatregel.

Omdat we nog steeds binnen het bereik van de Verordening Digitale Diensten vallen, moet de mogelijkheid om artikel 9 van de betreffende verordening op Deepseek toe te passen, eveneens worden uitgesloten. Ten eerste omdat de wet ook in dit geval vereist dat eerst een autoriteit een bevel heeft uitgevaardigd en vervolgens, inhoudelijk, dat het bevel betrekking heeft op "illegale inhoud".

In het geval van de door de Garant geformuleerde uitnodiging is het, naast het feit dat de volgorde van de autoriteit ontbreekt, evident dat het niet om inhoud gaat, aangezien de aan Deepseek betwiste schending van de wet betrekking heeft op het verzamelen van gegevens die duidelijk geen "inhoud" zijn.

Waarom heeft de Garant niet bevolen om de verbindingen met Deepseek te filteren?

Op dit punt is het logisch om ons af te vragen waarom de Garant de meest ingewikkelde weg heeft gekozen om het doel te bereiken, terwijl hij de meest comfortabele weg had kunnen kiezen en, zeker wetende wat de redenen hiervoor waren, alle operatoren rechtstreeks had kunnen verplichten het verkeer van Italiaanse gebruikers te "onderscheppen" en de verbindingen met het Chinese platform te blokkeren.

Je zou kunnen zeggen – maar dat is een grap – dat hij wellicht niet in de paradox wilde vervallen van een onafhankelijke autoriteit die zichzelf een ‘garant voor de privacy’ noemt en in plaats daarvan maatregelen neemt die de privacy schenden.

Gebrek aan jurisdictie

Realistischer is waarschijnlijk dat de Autoriteit zich er volledig van bewust was dat de Italiaanse wetten (net als die van elk ander land) geldig zijn tot aan de staatsgrens en daar ophouden als er geen overeenkomst is met het andere betrokken land.

Dit concept wordt ‘jurisdictie’ genoemd en is van fundamenteel belang om het correct functioneren van de betrekkingen tussen landen te garanderen, omdat het voorkomt dat men de soevereiniteit van anderen ‘schendt’ (en als dit gebeurt, betekent dit dat er oorlog uitbreekt).

Dus als een platform – wat voor soort platform dan ook – in een specifiek rechtsgebied opereert en zijn gebruikers het platform vanuit andere landen bereiken, is de enige wet die niet van toepassing is, de wet van het land waar de individuele gebruikers vandaan komen. Het is geen toeval dat Deepseek, op basis van een wettelijke basis, heeft verklaard dat het niet in Italië actief is (het heeft geen geregistreerd kantoor, geen vaste vestiging, de website is niet in het Italiaans) en beschouwt zichzelf daarom niet als onderworpen aan onze regelgeving.

De universele (niet-)misdaad

Een andere mogelijkheid is dat de manier waarop Deepseek omgaat met de gegevens van Italiaanse burgers die Deepseek gebruiken, een misdrijf van onrechtmatige verwerking van persoonsgegevens oplevert. Sinds 1930 bevat het Wetboek van Strafrecht een bepaling die voorziet in een ‘universele misdaad’. Artikel 6 bepaalt namelijk dat een misdrijf in Italië wordt gepleegd als "de handeling waaruit het misdrijf is voortgekomen, geheel of gedeeltelijk" in Italië heeft plaatsgevonden of als het uiteindelijke feit hier heeft plaatsgevonden.

Het probleem is in dit geval dat het niet eenvoudig is om deze regel toe te passen op het beheer van een platform waar dan ook. Dit zou bijvoorbeeld gemakkelijker kunnen gebeuren in het geval van online smaad, waarbij de reputatieschade in Italië ontstaat. Voor Deepseek zou het veel minder eenvoudig zijn om artikel 6 van het Wetboek van Strafrecht toe te passen. De servers van Deepseek staan ​​in de VS (het IP-adres van deepseek.com is 104.18.27.90, wordt beheerd door Cloudflare en staat in de VS) en de gegevens komen van daaruit in China terecht. In dit geval zouden de gegevensverwerkingen feitelijk buiten Italië beginnen en eindigen en zou alles buiten de nationale jurisdictie plaatsvinden.

Zijn de exploitanten medeplichtig aan de misdaad?

Mocht de Garant ondanks alles terecht verklaren dat de verwerking van de persoonsgegevens “onrechtmatig” is, dan heeft hij geen bevoegdheid om hiertegen op te treden. Wanneer er sprake is van een misdrijf, is het openbaar ministerie de enige die kan ingrijpen. De bescherming van rechten valt immers onder de exclusieve verantwoordelijkheid van de rechterlijke macht, terwijl het uitvoeren van onderzoeken de verantwoordelijkheid is van de strafrechtbank. Het informeren van de exploitanten had dus een manier kunnen zijn om hen op zijn minst als ‘medeplichtigen’ tot ‘medeverantwoordelijken’ te maken – strikter gesproken spreekt artikel 110 van het Wetboek van Strafrecht van ‘medeplichtigheid aan het misdrijf’. Met andere woorden: wij hebben u laten weten dat Deepseek een misdaad begaat. U heeft niets gedaan en bent daarom medeplichtig.

Maar zelfs in dit geval lijkt het onwaarschijnlijk dat deze hypothese standhoudt: zelfs als de operators daadwerkelijk geïnformeerd zijn dat Deepseek de Italiaanse wet overtreedt, kunnen ze om de meermaals uitgelegde redenen niet autonoom opereren en kunnen ze dus geen deel uitmaken van de "criminele vereniging".

De bekentenis van het falen van de EU-regels

In werkelijkheid, en ongeacht de uitkomst, is het verhaal van de uitnodiging die de Garant naar de exploitanten stuurde, opnieuw een bewijs van hoe de staten (leden van de EU) de uitoefening van de soevereine bevoegdheid om recht te spreken, eerst hebben overgedragen aan subjecten - zoals onafhankelijke autoriteiten - die geen deel uitmaken van de rechterlijke macht en vervolgens aan private entiteiten - platforms, exploitanten en "vertrouwde flaggers", nieuwe informanten - die de uitoefening ervan met een grote mate van autonomie beheren.

Deze stille verschuiving heeft twee bijwerkingen: enerzijds wordt de effectiviteit van het materiële recht ondermijnd, waardoor het verandert in een louter morele aanbeveling; Anderzijds roept het verontrustende vragen op over de democratische verantwoording van wie daadwerkelijk beslissingen neemt die fundamentele vrijheden beperken.

Zelfs als het effectief zou zijn, zou het mechanisme van ‘morele overreding’ dat op regulering wordt toegepast uiteindelijk een model van geprivatiseerde, informele en potentieel willekeurige rechtvaardigheid legitimeren – waarin de wet wordt vervangen door druk, het bevel door ‘advies’ en de rechter door de aanbieder.

Een model dat even efficiënt is als het gevaarlijk ver verwijderd is van de rechtsstaat.

*Andrea Monti is advocaat, schrijver en wetenschapper op het gebied van hightechrecht. Hij houdt zich bezig met bioinformatica, telecommunicatierecht en informatietechnologie.