‘Infobesity’ – are we drowning in the wealth of information?

The Internet gives us access to a volume of research findings unimaginable just some decades ago. Through electronic communications, primarily the Internet, access is no longer limited by distance. Further, in avoiding printing and shipping costs, electronic soft copies are typically cheaper than hard copy materials, contributing further to accessibility.

In addition, there seems to be a strong, and increasing, emphasis on publishing amongst legal academics, and perhaps also amongst legal practitioners. We have witnessed a dramatic increase in the number of available law journals: “It has been calculated that there were eight law journals in Australia in 1960, nine in 1970, fourteen in 1980 and about 50 in 1994” (John Gava, ‘Scholarship and Community’ (1995) 16 Sydney Law Review 443, 459). In 2011, there were “more than 70 Australian law journals” (Dan Svantesson, ‘Truisms about the Australian publishing climate for law journal articles, and some strategies to cope; or “A Feminist perspective on the human rights of vegetarian child-soldiers in
outerspace” (2011) 10(3) Canberra Law Review (Online) 4, 19). Similarly dramatic figures can be found in the US. One study shows that, the number of US law journals have increased from about 90 in the mid 1930s, to around 900 in 2009 (John Doyle, ‘The Law Reviews: Do Their Paths of Glory Lead but to the Grave?’ (2009) 10 Journal of Appellate Practice and Process 179, 180).

This development may partly be due to the ‘publish or perish’ principle commonly in the consciousness of academics. Other reasons may be found in developments such as increased specialisation sparking the need for specialist journals, and of course the possibility of publishing e-journals with lower costs to operate.

Adding further to the wealth of law journal articles available to us is the fact that research output, not least in the form of journal articles, now often is available for free, either in pre-print versions often found e.g. on the Social Science Research Network (SSRN), or in final versions in databases such as the Australasian Legal Information Institute (AustLII) or in university institutional repositories (see e.g. e-publications@bond).

As a result of all this, we are arguably at the risk of drowning in the mass of publications being produced. In more detail, there are two sides to this risk:

1. that the ‘high quality’ work of authors may drown in publications of ‘lower quality’; and
2. that the reader may drown in irrelevant ‘low quality’ content in the search for ‘high quality’ relevant content.

Thus, the risk affects both authors and readers.

It is of course not possible to scientifically assess what content is of ‘high quality’ and what content is of ‘low quality’. However, it is worth noting that one interesting study shows that 43% of law journal articles, notes and so on end up never being cited in any other law review article or indeed in any court decision (Thomas A. Smith, ‘The Web of Law’ (2007) 44 San Diego Law Review 309, 336). Some critics have gone as far as to suggest that the “most serious concern […] with legal scholarship is that too much of it is useless.” (Harry T. Edwards, ‘Reflections (On Law Review, Legal Education, Law Practice, and My Alma Mater)’ (2002) 100 Michigan Law Review 1999, 2001). Be that as it may, it is undeniable that more legal scholarship (including law journal articles) is produced, than what is ‘consumed’. In any such situation, the importance of connecting the right reader with the right content is high.

Search engines have helped alleviate the risk of drowning in the information ocean. However, they can only partially mitigate the problem as the need for human analysis of the content’s relevance and ‘quality’ remains to a great degree. As pointed out by Robertson and Warren searches in a full-text database “has the potential to find articles with the desired terms, yet which have nothing to do with the required topic.” (Tracy Robertson and Dennis Warren, ‘Online legal
indexes: An abstract likeness or a true portrait?’ (2008) 16 Australian Law Librarian 271 2008, 274).

To conclude, it may be said that unless we act now, the enormous advantages that can be gained from the ever increasing wealth of information available may well be lost in the chaos of information overload (also referred to as ‘infobesity’). To adopt a term that overuse has rendered a mere cliché, what we need is a paradigm shift in how we provide potential readers information about the content of the articles we publish.

In an article recently published in the Alternative Law Journal, I argue that such a paradigm shift can be achieved through the widespread adoption of a more advanced method – what we can call Uniform Summary Statements (USS) – for giving potential readers the possibility to evaluate the content of articles they are considering reading (Dan Svantesson, Improving Accessibility to Research Findings in Law: Uniform Summary Statements, Alternative Law Journal 38(4) (2013); pp. 260-264). Such USS could usefully replace the tired, neglected and misused abstract (commonly limited to around 50 to 250 words) that is an ineffective tool to communicate a sufficiently detailed description of the content of an article.

I propose that a USS should include the following eleven types of information:

  1. Title of the article
  2. Name of author(s)
  3. Author affiliation(s);
  4. The subject of the article;
  5. The aim of the article;
  6. The method used;
  7. The results/conclusions reached by the author;
  8. An outline of what jurisdictions the article relate to (where applicable);
  9. A list of key cases (where applicable);
  10. A list of key legislation, international instruments or the like (where applicable); and
  11. A list of key academic publications discussed (where applicable).

For most articles, it ought to be possible to limit the USS to two pages.

Automated reasoning

Does this conversation embody artificial intelligence at it’s finest as of today? Perhaps in a near future we could look forward to hearing the parties opinions on the topic of ‘Automation of legal reasoning’ (ref. Wahlgren, P., Automation of legal reasoning; A study on Artificial Intelligence and Law, Kluwer Law and Taxation Publishers, Juristförlaget, Stockholm, 1992).

Sök ADBJ:s stipendium för uppsats!

Har du skrivit uppsats inom området Juridik och IT under 2013? I så fall, sök ADBJ:s stipendium för uppsats!

Svenska Föreningen för IT och Juridik (ADBJ) välj ut årligen den bästa uppsatsen inom området juridik och IT.

Stipendiet kan sökas av student eller handledare åt student för examensarbete som inte är äldre än ett år räknat från sista ansökningsdag. Stipendiet utgår med 10 000 kronor till en stipendiat.

Sista ansökningsdag: 20 januari 2014
Dokument att bifoga: examensarbetet, ett intyg från handledaren
Skickas till: kansliet@adbj.se med ärenderaden ”Stipendium för uppsats” (gärna i PDF-format)

Mer information finns på ADBJ:s webbplats.

Re-thinking extraterritoriality in data privacy law

The most important question for non-EU businesses and organisations watching the development of the new data privacy framework for the EU is whether that framework will affect those businesses and organisations. It seems clear that the proposed Regulation will do so indirectly in many ways; for example, through restrictions on the export of personal data.

However,  the question of whether the new data privacy framework will directly affect non-EU  businesses and organisations, by being binding on them, has gained surprisingly scant attention.

The approach taken to extraterritoriality, both in the current data privacy Directive and in the proposed Regulation, is binary. All or nothing. If a non-EU business or organisation meets the ‘extraterritoriality test’, it is bound by the full force of the Regulation.

This unsophisticated approach is problematic. It simply does not make sense to apply the same standard of extraterritoriality to provisions such as Article 5 (requiring e.g. that personal data is processed lawfully, fairly and in a transparent manner), and to Article 35 (demanding the designation of a potentially costly data protection officer). While it may be reasonable to ask a foreign company to abide by a country’s rules discouraging or penalising unauthorised and unreasonable disclosure or other use of personal data based on a certain degree of contact between that company and that country (eg a transaction involving the collection of personal data), the same degree of contact may not justify that country imposing on the company the duty of designating a data protection officer. The first type of rule is similar in nature to rules found in other areas of law, such as the law of defamation. In a sense, they are private in nature, while rules such as e.g. requiring a data protection officer are of a, comparatively heavy-handed, public law nature.

In an article recently published in International Data Privacy Law, I have put forward a proposal for an alternative approach to delineating the extraterritorial scope of data privacy laws (Dan Svantesson, A “layered approach” to the extraterritoriality of data privacy laws, International Data Privacy Law (2013) 3(4); pp. 278-286). I will here summarise the key  points of that approach.

  • Data privacy laws always incorporate a diverse range of legal rules. Thus, it is misguided and naive to think that the same rule of extraterritoriality can be applied to all these types of rules.
  • Thus, I propose that we dissect our data privacy law and assign all substantive rules to one of the following three ‘layers’:
    1. The abuse-prevention layer;
    2. The rights layer; and
    3. The administrative layer.
  • As already noted, data privacy laws commonly contain provisions seeking to discourage or even penalise unauthorised and unreasonable disclosure or other use of personal data, in a manner similar to how eg defamation law seeks to prevent abuse. Such rules ought to clearly fall within the abuse-prevention layer.
  • Within the rights layer we can comfortably place data privacy rules such as the right of access and the right of correction commonly found in data privacy laws.
  • As already hinted at, in the administrative layer, we should place data privacy rules such as the requirements of a designated data protection officer found in the proposed EU data privacy Regulation.
  • We can then assign a different extraterritorial test for each layer, with a more restrictive test for layer two than for layer one, and even more restrictive test for layer three.

Experience has taught us that the current approaches to extraterritoriality in data privacy law simply do not work. They are clumsily managing to be both overzealous and inadequate at the same time. Thus, this conundrum must be solved through the development of new approaches, such as the ‘layered approach’ advocated above.

For more about extraterritoriality issues in data privacy law, see e.g.: Dan Svantesson, Extraterritoriality in Data Privacy Law, Ex Tuto Publishing (November 2013)

Upcoming Events

Some interesting events related to the field of IT law in the spring:

Event: International Conference on Multisensory Law
Organised by: University of Zurich
Time & Place: January 27-28 2014, Zurich
More information: http://www.rwi.uzh.ch/oe/zrf/abtrv/brunschwig/konferenzen/2014/Zuerich_en.html

Event: Information Influx Conference
Organised by: Institute for Information Law, University of Amsterdam
Time & Place: 2-4 July 2014, Amsterdam, the Netherlands
More information & call for papers: http://informationinflux.org/

Call for Papers: 10th International Conference on Internet, Law & Politics (IDP 2014) A decade of transformations. Barcelona, 3-4 July, 2014

The 10th International Conference on Internet, Law and Politics is seeking papers about:

(1) Privacy and data protection;
(2) Copyright and industrial property rights;
(3) E-commerce and consumers;
(4) Cybercrimes; and
(5) E-Government Internet and Politics.

You can find more information here.

Sammanfattning 2013 Konferens Persondataskydd – ännu en gång

Här följer en kort sammanfattning av några presentationer vid konferensen Persondataskydd – ännu en gång, Rättsläget i avvaktan på resultatet av EU:s reformarbete, 19 november 2013. Hela programmet finns här (pdf) och presentationer är publicerade här.

Cecilia Magnusson Sjöberg öppnade konferensen.

Staffan Wikell, SKL, presenterade EU:s reformarbete. Efter en kort genomgång av nuvarande lagstiftning diskuteras Kommissionen:s förslag. De grundläggande principerna i förslaget är samma som tidigare. Förslaget var resultatet av ett samarbetet mellan Kommissionen, näringslivet, forskare och medlemsstaterna som hade pågått under 2 år. Anledningen varför förslaget avser en förordning i stället för ett direktiv var den bestående fragmentering av regelverket som bygger på dataskyddsdirektivet från 1995. Med 91 artiklar har förslaget dubbel så många bestämmelse som dagens dataskyddsdirektiv.

När förslaget behandlades i LIBE utskottet (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) las ursprungligen ca 3000 ändringsförslag fram. LIBE ville stärka individernas rättigheter, vilket ledde till många diskussioner både inom utskottet och i medierna. Den 21 oktober 2013 beslutade LIBE om sitt betänkande som innehåller 104 ändringar till KOM förslaget.

De viktigaste ändringar i förslaget gäller bl.a. den registrerades rättigheter genom att rätt till information ökas, dataportabilitet införs och rätt till radering utvidgas. Genom förordningen kommer både dataskyddsdirektivet och den svenska personuppgiftslagen upphöra att gälla. Förslaget innehåller en blandning av allmänna bestämmelser och detaljreglering. Delegerade akter infördes som ger Kommissionen rätt att lagstifta i viss mån. Dessa har kritiserats och i LIBE betänkandet minskas antalet från 26 till runt 7.

En annan nyhet i förslaget är den territoriella räckvidden; förordningen kommer även gälla för registeransvariga som inte är etablerade inom EU, men som erbjuder produkter eller tjänster som rikas till konsumenter inom EU.

Konferensen fortsatte med en paneldiskussion där Karl-Fredrik Björklund, Staffan Malmgren, Jane Reichel, Daniel Westman och Staffan Wikell diskuterade vad som är bäst respektive sämst med EU:s reformarbete.

Daniel Westman tyckte att fokus på frågorna om personlig integritet ökas pga förslaget vilket är en bra effekt som kan leda till större praktiskt genomslag av regelverket. En nackdel med förslaget är dock att den innebär en one-size-fits-all lösning; dataskydd ses som en rättighet i sig inte som en instrument vilket påverkar effektiviteten i lagstiftningen negativt. Lagstiftning borde i stället tar sikte på vissa beteenden och omfattar en blandning av allmänna bestämmelser och specifika regleringar för vissa verksamheter, t.ex. registerlagar för privata aktörers verksamheter.

Jane Reichel såg som fördel med förslaget en större enhetlighet inom EU och större harmonisering vilket leder till bättre rörlighet. En nackdel är dock den starka myndighetsstruktur som föreslås genom utökade kompetenser och möjligheter för dataskyddsmyndigheter. Tillsammans med en ny mekanism för enhetlighet (consistency mechanism) där frågor kan ställas till Kommissionen hur regelverket ska tolkas, blir perspektivet mycket snävt endast på dataskydd och ta inte hänsyn till andra relaterade områden. Detta leder till en annan typ av fragmentisering. På så sätt kan det talas om “administrative activism” i stället för “judicial activism”.

Karl-Fredrik Björklund ansåg det bästa med förslaget är harmonisering, en förstärkt roll av personuppgiftsombud som en slags internrevisor med ökade kompetenskrav. Dessa krav behöver inte vara juridiska eller tekniska, men något som visar att personuppgiftsombudet har förståelse för hanteringen av personuppgifterna i verksamheten. Det som är sämst med förslaget är mindre flexibilitet, t.ex. ingen möjlighet för missbruksprinciper som finns i dag enligt svensk lag.

Staffan Malmgren tyckte att det bästa med förslaget är att det tar hänsyn till den tekniska utvecklingen, bl.a. genom dataportabilitet och juridiska krav på det vilket betyder att datamodellerna måste anpassas och uppfyller en viss standard. Det som är sämst är osäkerheten kring undantagen speciellt med tanke på yttrandefriheten. I dag är regelverket väl utvecklat och speglar en balans som funnits mellan personlig integritet och yttrandefrihet. Hur förslaget påverkar denna balans är oklart i dags läget. Staffan förslår även en “agil lagstiftningsteknik” som tar hänsyn till beteenden som regleras just nu i förslaget kanske är föråldrade när förordningen väl antagits.

Staffan Wikell ansåg en utmaning med förslaget är att regelverket egentligen tar sikte på företag, även om de gäller också inom den offentliga sektorn. Yttranderiheten kommer finnas kvar, men oklart hur, eftersom den svenska personuppgiftslagen kommer upphöra att gälla försvinna, så en ny svensk lagstiftning behövs i detta avseende.

Efter panelen diskuterade lagstiftaren, forskare, Tillsynsmyndigheten, praktikern, journalisten och domaren vad som står högst på agendan.

Mats G. Hansson, Centre for Research ethics and Bioethics (CRB) framhävde vikten av identifikation och värdering av riskfaktorer, t.ex. genetisk risk, livsstil, miljö, socioekonomi, för preventiv förebyggande av sjukdomar. Medicinsk forskning har alltid byggt på frivillig riskexponering, men kräver användning av register, enkäter, osv. Statistik möjliggör att vissa idéer angående samband mellan orsaker och sjukdom prövas. Därför behövs sjukdomsspecifika register, populationsbaserade register och persondata i medicinska journaler. Utmaningen med dataskyddsreglering är att ändamålen inte alltid är specifierbara eftersom nya ändamål kan dyka upp i framtid forskning. Samtycke och förtroende är mycket viktiga för användning av registrerna. Ska dock i så fall ett nytt samtycke inhämtas varje gång forskningen leder till nya ändamål? Ju mer specifika ändamålsangivelse behövs enligt lag desto sämre nytta kan registren ha för forskningen. Med andra ord, möjligheterna försämras trots att integritetsskyddet är inte optimalt heller. Ett brett ändamål är inte nödvändigtvis lika med ett vagt ändamål.
Det behövs standarder för datasäkerhet, transparans och öppenhet för vilka syften och metoder forskningen bedrivs på.

Magnus Stenbeck, Karolinska Institutet, talade om registerforskning. Landskapet med register är komplicerad i dag; bortsett från hälsodataregistret från Socialstyrelsen, har SCB ca 40 nationella register och surveys. Utöver det finns i dag ca 12 andra statliga centrala register samt ca 100 nationella kvalitetsregister inom hälso- och sjukvården. För att tydliggöra landskapet har en portal skapats, registerforskning.se, där etiska principler och regler samt resurser tillgängliggörs.

I samband med förslaget undrar Magnus hur Artikel 6.2 ska tolkas. Artikel 6.2 hänvisar till Artikel 83:

Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

Betyder det att Artikeln 6 inte behöver tillämpas inom forskning? Artikel 83 saknar dock en reglering av etikprövning, vilket Sverige föreslog som tillägg men som togs bort i slutgiltiga förslaget.

Utöver det saknas en motsvarighet till 9 § 2 st personuppgiftslag i LIBE förslaget, men finns i Ministerrådets förslag:

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Samtidigt pågår en svensk utredning om Registerbaserad forskning med stärkt integritetsskydd som förväntas lämna sitt förslag under sommaren 2014.

Efter forskningen hade tillsysnsmyndigheten ordet. Kristina Svahn Starrsjö, Datainspektionens (DI) generaldirektör, presenterar det som står högst i agendan för DI. Enligtverksamhetsplanen för 2013 är det bl.a. BYOD (bring your own device), smarta elnät, kameraövervakning, molntjänster och e-förvaltning. DI:s beslut angående Salem kommun:s användning av Google Apps har överklagats och förhandlingarna pågår. En ny kamerövervakningslag har trätt i kraft och lett till nya uppgifter för DI (som har tagits över från JK).

Från perspektivet från näringslivet berättade Caroline Olstedt Carlström, Klarna och Forum för dataskydd, om utmaningarna som finns på tapeten just nu. Transparans är mycket viktigt från ett praktiskt perspektiv, det ska vara tydligt vad man gör med personuppgifter. Privacy by design utgör en extra utmaning, speciellt vid upphandlingar. Gallring och anonymisering är en ytterligare utmaning eftersom persondatahantering kan vara komplext, inte minst med tanke på loggar. En fråga i samband med gallring är också om man ska loggar när man gallrar.

Det är viktigt att finna lämpliga modellösningar. Juridiska lösningar ibland enklare än praktiska implementering, t.ex. följer alla anställda de interna reglerna. Caroline nämner Neelie Kroes tweet “Want to stop your house getting burgled? You need a lock, not a lawyer.” En spännande utveckling i samband med EU förslaget är LIBE kommitteen:s förslag på visualisering.

Per Furberg talade om myndigheters utmaningar just nu. En viktig punkt när det gäller dataskydd är infrastruktur: Hur ska en helt elektronisk värld sorteras in under reglerna för persondataskydd? När virtuella rum skapas, kan PUL tillämpas rakt av i dessa?

En viktig fråga är vart finns datat? Vem är personuppgiftsansvarig för vilket data? Per tar upp examplet med e-legitimationer och visar vart data kan finnas när någon använder en eID tjänst. Per ser behovet av ett “tredimensionellt persondataskydd”.

Henrik Jermsten påpekade vissa frågor från domarens perspektiv. Dataskyddsreglering är speciellt på så sätt att den gäller både för enskild och offentlig verksamhet; inte många andra rättsområden där det finns samma lagstiftning. Dataskyddsdirektivet från 1995 var en av de första direktiven som Sverige genomförde efter landet biträdde EU. Detta ledde till bl.a. att förarbetena är fattiga på exempel. Henrik nämner flera intressanta rättsfall, t.ex. HFD fallet där försäkringskassan var ansvarig för personuppgifter i sms-tjänsten som gäller sjukskrivningar, även om FK faktiskt inte hade tillgång till uppgifterna. Ett annat fall rörde Tingsrätten på gotland som la ut uppropslistor på sin webbplats. Syftet var insyn och information till allmännheten, men DI tyckte annorlunda. Beslutet av Kammarrätten är nu överklagad till HFD.

Om dataskyddsförordningen antas blir det mindre utrymme för svenska domstolar att tolka. Flera utredningar just nu handlar om dataskydd, t.ex. informationshanteringsutredningen som ska se över registerlagstiftnigen.

Dag Wiese Schartum avslutade dagen med ett både teoretiskt och praktiskt perspektiv. Dataskydd har olika problemområden.

Materiella problem utgörs av starka motstridiga intressen, dynamisk utveckling av teknik och samhället, ett globalt behov for normer och faktumet att integritet gäller alla delar av samhället.

De regulatoriska problem handlar om rollen de nationella parlamenten ska ha, om vi talar om rättsenhet eller “juridisk interoperabilitet”, abstrakta regler eller särregulering. Implementeringsproblemen visar på skillnaden mellan law in books vs law in action. Abstrakta regler är för jurister och experter, konkreta regler kan å andra sidan förstås av alla.

I enlighet med Charles Clark uttalande “the answer to the machine is in the machine” finns flera tekniska lösningarförslag: privacy by design (PbD) och privacy enchancing technologies (PET) borde vara integrerad i systemlösningar. Lagreglering räcker inte här, det krävs IKT verktyg för systemutveckling av PET (risikoutvärdering) och gemensamma IKT komponenter för PbD (samtycke, insyn).

Handhevingsproblemer omfattar bl.a. att manuell kontroll aldrigkan blir tillfredställande och att en effektiv automatiserad kontroll kräver rättslig regulering. Läringsproblemen innebär samtidigt att ställa frågan om persondataskyddslagstiftning har den önskade effekten. I detta sammanhang ska man fundera över vilka kriterierna är för success och hur kan de mätas?

Persondataskydd är en omfattande uppgift. Effektiv regulering är omöjlig utan

- mer konrete regler
- evaluering av aktiv förberedning av lagstiftning och implementering
- aktivt användning av IKT

Utvecklingen inom persondataskydd är väldigt högt på agendan just nu. I samarbete med mig har Advokatfirman Delphi nyligen lanserat en blogg om personlig integritet och den pågående lagstiftningsprocessen inom EU.

Mac Users to Pay More?

The era of “Big Data” and predictive analytics has resulted in the ability to scan large amounts of data in order to extract knowledge and predictive meaning. Price discrimination has been described as the charging of different prices to various customers for the same goods or services (see Andrew Odlyzko, Privacy, Economics and Price Discrimination on the Internethttp://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882, page 2, last accessed 2013-10-08).  Orbitz Worldwide Inc. is a travel company that provides an on-line service for the booking of hotel rooms and other travel arrangements. An article in the Wall Street Journal has highlighted the fact that in Orbitz has analysed its customer data and identified the fact that Apple Mac users generally spend approximately 30% more a night on hotels and other travel options than Windows users (see further http://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882).

This has resulted in Orbitz showing different hotel offers to Mac and PC visitors, the former usually being offered a costlier alternative. While Orbitz mentioned that it is not showing the same room to different users for different prices, thereby highlighting that classic price discrimination is not being practiced, this is a technological advance that could be put to practice as the knowledge gained from the practice of predictive analytics becomed more and more valuable.

Utmaningar vid värdering av elektroniska bevis

Det danska nyhetsorganet Version2 ställer aktuella frågor om svårigheter med och utmaningar vid rättslig värdering av elektroniska bevis. I en nyligen genomförd intervju med Er förtrolige om ämnet ventilerades några tankar: http://www.version2.dk/artikel/cyberkriminalitet-udfrodrer-retssystemet-paa-begge-sider-55209

Debate Article by Carl Bildt

Recently the Swedish Minister of Foreign Affairs Carl Bildt published a debate article in the New York Times. In the article entitled “The Internet and the Rule of Law” he set out some core principles that should be taken into account when state surveillance occurs on the Internet. The article can be found in its entirety on the following link:


Copyright © blawblaw
Nyheter om, från och kring institutet för rättsinformatik

Byggt på Notes Blog Core
Powered by WordPress