Entries by Ante Wessels

The German Association of the Automotive Industry (VDA) published a brief position paper on the Cyber Resilience Act in relation to free and open source software. The Cyber Resilience Act (CRA) proposal aims at making products with software and software itself safer. The German car industry’s brief does a great job in explaining the importance of free and open source software (FOSS), and why the approach taken with the legislative proposal will harm the European economy. It’s a short paper, one and a half page, I encourage you to read it. I will discuss the paper and point to a possible solution.

The European Parliament Industry, Research and Energy Committee (ITRE) approved its report on the Cyber Resilience Act (CRA). It also voted for a fast track process. (updated ¹) The CRA is meant to strengthen software security.

Prior to the vote, many individuals and free and open source software organisations were very critical: EFF, FossForce, Bert Hubert 1, Bert Hubert 2, Team NLnet Labs, Apache Software Foundation, Opensource org, GitHub, CNLL, Vrijschrift, major industry associations, overview.

After the vote, organisations are just as critical. FossForce: Bad News for Open Source: EU Committee Approves the Cyber Resilience Act

“I’m discouraged that the proposed legislation has made it this far, and concerned that industry response so far is not robust enough to counter what is likely to be very damaging if it is enacted,” Joe Brockmeier, head of community at Percona said in a statement after the approval was announced.

The German automotive industry is worried about the impact of the legislative proposal. Joomla is. Inter-CMS Working Group:

However, in their current form, the proposed regulations run the risk of reducing software security, as well as undermining the EU’s core aims and values, as we explain below.

I haven’t been involved with the CRA earlier, and others are more knowledgeable regarding this proposal. In this blog I will limit myself to

(i) argue that the ITRE text violates the EU Joint practical guide by putting safeguards in the recitals where they may be completely ineffective and as a result creates legal uncertainty which may be very damaging for the software industry, especially the free and open source software community;

(ii) conclude that fixing the text is of strategic importance; and

(iii) suggest an approach – a shared set of high quality amendments with broad support could make the open source community’s case more compelling.

Algoritmische transparantie is een belangrijk aspect van wetgeving over artificiële “intelligentie” (AI). Helaas beperkt een broncodeclausule voor software in EU-handelsverdragen algoritmische transparantie. Na een korte inleiding over AI en wetgeving, zal ik bepleiten dat de EU deze clausule uit handelsverdragen moet verwijderen. (Engelse versie)

Het EU-handelsakkoord met Japan ondermijnt algoritmische transparantie, schreef Stichting Vrijschrift in 2018 in een brief aan het Nederlandse parlement. De broncodeclausule van de overeenkomst zou de mogelijkheden beperken om software en algoritmen te controleren. ¹

De EU ratificeerde de overeenkomst en ratificeerde meer overeenkomsten met de clausule. Normaal gesproken is met deze bekrachtigingen het lot bezegeld. Maar met het toenemende besef over de ontwrichtende mogelijkheden van AI is er een kans om het debat te heropenen.

We hebben beleidsruimte nodig om AI goed te reguleren.

Algorithmic transparency is a important aspect of artificial “intelligence” (AI) legislation. Unfortunately, a software code clause in EU trade agreements limits algorithmic transparency. After a short introduction to AI and lawmaking, I will argue the EU should reverse course on this clause.

The EU trade agreement with Japan undermines algorithmic transparency, the Vrijschrift foundation wrote in a letter to the Dutch Parliament, in 2018. The agreement’s software code clause would limit the possibilities to audit software and algorithms.

The EU ratified the agreement, and ratified more agreements with the clause. Normally speaking, with these ratifications, the fate is sealed. But with the perplexity about AI’s disruptive capabilities, there may be a window of opportunity to reopen the debate.

We need policy space to properly regulate AI.

De Wereldgezondheidsorganisatie (WHO) heeft een nulontwerp gepubliceerd voor een pandemieverdrag, om te helpen bij het voorkomen van, voorbereid zijn op, en bestrijden van een pandemie. Een nulontwerp is een niet-verplichtend beginpunt voor onderhandelingen.

Een van de hoofdstukken gaat over toegang tot kennis. Dit is een beladen onderwerp omdat bedrijven hun alleenrechten (bijvoorbeeld octrooien) zeker willen stellen en maatschappelijke organisaties wijzen op het belang van betaalbare toegang tot vaccins en medicijnen voor iedereen.

Ik beperk me tot openbaarheid en het toegang tot kennis aspect. Ik heb de citaten vertaald.

Het ontwerp handelsverdrag tussen de EU en Nieuw-Zeeland bevat een ingrijpende verplichting om grensoverschrijdende gegevensstromen toe te staan, die veel verder gaat dan eerdere verplichtingen in handelsverdragen. De verplichting wordt vergezeld door een waarborg – een uitzondering op de verplichting, een carve out – voor de bescherming van persoonsgegevens en privacy. Deze waarborg ziet er sterk uit, vanuit een bepaald perspectief, maar zwak vanuit een ander. Het hoofdstuk over digitale handel heeft ook een clausule over het recht om te reguleren – het recht om wetten te maken. Deze waarborg is zwak.

In 2012 besloot de Europese Commissie dat Nieuw-Zeeland persoonsgegevens adequaat beschermt. In het geval van Nieuw-Zeeland doet de kracht van de verplichting om gegevensstromen toe te staan en van de uitzondering op de verplichting er daarom misschien niet zoveel toe.

De EU-commissie heeft echter de intentie uitgesproken om de ingrijpende verplichting en de sterke/zwakke uitzondering ook te gebruiken in handelsverdragen met landen zonder adequate gegevensbescherming. Dit lijkt onverstandig.

Hieronder ga ik in op de clausule over het recht om te reguleren, de verplichting om gegevensstromen toe te staan en de uitzondering daar op, en signaleer ik spanningen tussen supranationalisering en democratie.

Dit blog is een vertaling / bewerking van een eerdere engelstalige versie.

The draft EU - New Zealand trade agreement contains a sweeping cross-border data flow commitment, which goes way beyond such commitments in earlier trade deals. The commitment comes with a safeguard – an exception to the commitment, a carve out – for the protection of personal data and privacy. This safeguard seems strong from one angle, and weak from an other. The digital trade chapter also has a weak right to regulate clause.

In 2012 the European Commission decided that New Zealand adequately protects personal data. As a result, in the case of New Zealand, the strength of the data flow commitment and of the exception to the commitment may not matter much.

However, the EU commission expressed its intention to use the sweeping commitment and the strong / weak exception also in free trade agreements (FTAs) with countries without adequate data protection. This seems imprudent.

Below I will discuss the right to regulate clause, the commitment, and the exception, and will note tensions between supranationalisation and democracy.

Vrijschrift has responded to the European Commission’s public consultation “A renewed trade policy for a stronger Europe”.

During the Corona virus pandemic the ratification process of the EU-Canada trade agreement CETA is ongoing. This blog discusses CETA in the light of the pandemic and concludes that we need a fundamentally more resilient society, with more agency – and that we may have a one time chance now. We have to rethink international rules that limit policy space, and not ratify trade agreements, like CETA, that do. At the very least, investor-to-state dispute settlement (ISDS) has to be removed.

The proposed EU-Vietnam trade agreement contains weak safeguards for data protection. Basically, they are just as weak as the safeguards in the EU-Japan trade agreement. This is all the more frustrating as the EU commission knows how to do better. In January 2018 it adopted a proposal for a stronger safeguard, which consumer and digital rights organisations supported. ¹ However, after two years, the commission still hasn’t used the better safeguard in trade agreements. It is unknown whether the new commission will adopt it.

The European Parliament plenary vote on the EU-Vietnam agreement is expected February 10-13 2020. If we want to take fundamental rights seriously, the Parliament should reject the agreement. That opens the possibility to use the better safeguard in a new version of the agreement.

The London School of Economics and Political Science’s draft human rights impact assessment on the EU-Mercosur trade agreement totally skips the rights to freedom of expression, privacy, and protection of personal data.

At a seminar Koen Lenaerts, President of the Court of Justice of the European Union, spoke about the Court’s landmark Opinion on investor-to-state dispute settlement (ISDS) in the EU-Canada trade agreement CETA.

Most interesting I find what he didn’t speak about. After the Opinion, law professors had pointed out the Court suggests that the EU and EU countries can refuse to pay ISDS damages awards. But Lenaerts did not speak about that.

De Tweede Kamer zal binnenkort een beslissing nemen over ratificatie van het EU handelsverdrag met Canada, CETA.

CETA ondermijnt de bescherming van persoonsgegevens, versterkt de positie van bedrijven die misbruik van het octrooisysteem willen maken en belemmert hervorming van auteurs- en octrooirecht (zie eerdere brief Vrijschrift aan Tweede Kamer). ¹

Wat supranationale investeringsbescherming (ISDS / ICS) ² betreft is de situatie na een uitspraak van het Hof van Justitie van de Europese Unie veranderd. In dit blog licht ik toe waarom CETA na deze uitspraak vitale belangen, de internationale rechtsorde, en rechtszekerheid voor investeerders ondermijnt.

De Afdeling advisering van de Raad van State heeft haar advies gepubliceerd over het EU handelsverdrag met Canada, CETA. Ik beperk me tot het deel over investor-to-state dispute settlement (ISDS / ICS).

ISDS geeft bedrijven het recht om buiten de lokale rechter om staten aan te klagen. Supranationale tribunalen nemen de beslissing.

The EU Court of Justice finds the investor-to-state dispute settlement (ISDS) mechanism in the EU - Canada trade agreement CETA compatible with the EU treaties. With its ruling the Court creates a form of oversight over ISDS. It hopes to exert power over the enforcement of ISDS awards, and so to curtail the system. The Court does not trust ISDS, as reformed by the EU; the Court trusts its own oversight.

However, as explained below, the Court’s interesting approach has serious drawbacks. That leaves one option on the table: get rid of the toxic ISDS system. The first step to take now is to reject ISDS in CETA.