摘要:
在企业上云的浪潮下,云服务提供者不断升级出面向各个行业的解决方案以及基于云计算的传统技术升级服务,其独特的技术架构和技术特征也给该主体的责任界定带来了挑战。对云服务提供者责任的认定应当从技术本质出发,基于其提供的服务类型并结合比例原则,明确与其能力相符的责任范围。
作者 | 李平 腾讯法务部法务总监
王燕婷 腾讯法务部法律顾问
关键词:云服务提供者;单纯性技术服务提供者;一般性技术服务提供者;避风港原则;必要措施
阿里云案二审认定提供云服务器租赁服务的服务提供者不适用「通知删除」制度,引起各界对网络服务提供者的概念、避风港原则适用范围的热议,以及对以服务器租赁为代表的云服务提供者民事责任范围的关注和探讨。网络服务提供者范围的明晰、云服务提供者法律义务的梳理、法律责任的明确不仅关乎着云服务商管理制度的建设,甚至还可能决定云服务行业本身的形态和模式;因此有必要系统地梳理云服务提供者提供的服务内容并相应地明确其应当承担的责任边界,以更好的规范和保障云服务市场的发展。
云服务提供者作为新型服务的提供者,具有新颖性和特殊性,但就其本质而言,其提供的服务仍属于互联网服务、网络服务范畴,即云服务提供者亦是一种网络服务的提供者。但我国立法实践一直未对网络服务提供者这一概念作出明确的界定并达成共识,亦未对网络服务提供者的责任范围进行明晰。主要原因是网络服务提供者伴随着网络技术的产生而诞生,而网络技术的高速发展使得新型的网络服务提供者不断增多,立法无法及时作出更新及明确的释义。因此,在展开云服务提供者相关责任的论述前,我们有必要明确网络服务者的类型以确定云服务提供者的落入范围。
一、网络服务从广义上可以分为内容服务提供者和技术服务服务提供者,而技术服务提供者则可进一步分为单纯性技术服务和一般性技术服务。单纯性技术服务提供者仅提供技术服务,对基于其技术提供的内容服务没有直接控制权,而一般性技术服务则对基于其技术而提供的内容服务可能具有直接控制权。
(一)网络内容服务提供者与网络技术服务提供者
网络服务从广义上可以分为内容服务和技术服务两大类,内容服务提供者对其上传的内容承担直接责任毋庸置疑。但对于技术服务提供者,理论上仅提供技术服务,即提供工具和媒介,基于技术中立、囿于其对内容的不可控性,不应对「内容」承担责任。然而,随着互联网技术的进步和发展,一些技术服务者通过技术手段控制内容,脱离了单纯的网络技术服务提供者,成为与内容有关的技术服务提供者,则衍生了对其控制的内容承担责任之必要性。如「提供信息存储空间服务」和「提供搜索或链接服务」,均在互联网红利的浪潮中得到了更新和迭代,出现了竞价排名等可能超出单纯技术服务范畴的服务。以信息存储空间服务提供者为例,服务商不再单纯地从为其他内容服务提供者提供存储空间并从内容服务提供者支付的费用中获利,而是更进一步的基于存储空间服务本身进行获利,如基于用户存储的视频内容对其他用户的吸引获得更多用户流量和用户红利。
(二)单纯性技术服务提供者与一般性技术服务提供者
在内容服务和技术服务的区分基础上,我们可以将技术服务分为单纯性技术服务和一般性技术服务。单纯性技术服务提供者仅提供技术服务,对基于其技术提供的内容服务没有直接控制权,而一般性技术服务则对基于其技术而提供的内容服务可能具有直接控制权。根据「谁控制风险,谁承担责任」的风险分配原则,尽管这两类技术服务者不是侵权行为的直接行为人,但可能因具有控制权而对该侵权内容承担不同程度的帮助侵权民事责任。
二、因云服务的分散性存储、私密性、底层性等技术特点,云服务提供者其属于单纯性技术服务提供者
1、云服务的主要类型
云服务主要包括以IaaS、PaaS和SaaS为代表的云计算服务和以云解析为代表的传统基础互联网技术,属于单纯性技术服务。关于IaaS服务和PaaS服务,前者提供的是机房、数据中心等硬件基础设施服务,后者提供的是应用程序运行环境,提供应用程序部署与管理服务。云服务提供者在这两种模式下仅提供单纯的技术服务,自动响应客户的指令并对客户的指令提供自动化的支持。无法对使用该等底层技术服务的客户所开发的网站或应用程序进行直接的控制,对基于其技术而提供的内容不具有直接控制权,亦无法直接接触服务对象的内容信息。关于SaaS服务,云服务提供者在该模式下自行开发软件供客户使用,客户无需像IaaS和PaaS那样自行对操作系统、存储和应用开发进行控制,只需要购买软件的账号即可使用全套服务。SaaS的最佳实例包括Cloudera、Hadoop、Salesforce、Microsoft Dynamics CRM服务等。[1]目前SaaS模式主要服务于企业管理软件领域,如购买CRM软件账号以使用云服务提供者开发的CRM软件进行客户关系管理等,相关账号和内容的控制者也属于使用SaaS服务的客户。因此,SaaS服务具有一定特殊性,如服务商提供的软件本身存在侵权的,应当承担直接侵权的责任;若SaaS软件提供如属于网络视频等内容服务的,也应当根据其技术承担相应的责任(事实上此时提供服务者已经属于内容服务提供者而非云服务的范畴,应当将其归入网络内容服务提供者的范畴)。因此从目前国内外各大云服务商提供的SaaS服务以及产品类型发展趋势来看,SaaS服务提供者一般也无法实现对客户经营内容的直接控制,基于目前的技术形态及商业形态,本文仍将暂其纳入单纯性技术服务提供者的范畴。
关于云解析等基于云计算的传统互联网技术服务,因其仅提供对网站的域名和IP地址进行转换等类似的互联网基本技术,同样属于底层技术服务,仅提供技术通道自动进行域名与IP地址间的转换,不涉及对内容的控制。
2、云服务的技术特点[2]
数据存储分散性。是指云服务提供者对于数据的存储是采取碎片化的存储方式。有别于传统的专有、固定的硬件存储模式,云计算服务采用的是「资源池」的模式,即将所有的存储设备、空间以共享资源池的方式统一管理。利用虚拟化技术,将资源分享给不同用户。
数据的私密性。是指云服务中相关数据的秘密性,相关法律法规、行业监管及客户采取的各种加密措施均要求云服务提供者未经授权不得访问、修改、披露、利用、转让、销毁客户数据,并要求其采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性与可用性。
服务底层性。云计算是一种新型的底层技术架构,自动响应客户的指令并对客户的指令提供自动化的支持、自动通过技术通道进行域名与IP地址间的转换,一般无法对使用该等底层技术服务的客户所开发的网站或应用程序进行直接的控制,对基于其技术而提供的内容不具有直接控制权。
三、云服务提供者提供单纯性技术服务的特点决定其不适用「通知删除」制度,仅承担与其技术本质比例相符的采取「必要措施」义务。
1、「通知删除」制度的目的在于实现侵权内容的「定位删除」。
该制度旨在信息技术产业发展和保护版权人利益之间寻找平衡点,既避免网络服务提供者承担过多的责任,最终把成本转嫁到用户身上,又防止侵权者通过网络大肆侵犯版权人利益,阻碍其创作热情的利益平衡。[3]因此,适用通知删除制度的前提是技术服务提供者对具体的侵权内容主观上「明知或应知」,且客观上具有控制力,能够采取删除、屏蔽、断开具体侵权内容的链接,阻止具体侵权内容的进一步扩散,实现「定位删除」的效果。
2、提供单纯性技术服务的云服务提供者,不适用「通知删除」制度。
对于云服务提供者而言,其提供的技术服务是其在新型的数据中心网络拓扑结构连接大规模计算节点的基础上,利用虚拟化技术、海量数据存储与处理技术、调度算法技术等技术架构实现上述技术服务、技术资源的按需分配和自治分配。上述服务是针对所有服务对象自动提供的技术服务,即通过事先搭建好的软硬件等技术设施自动地接收服务对象发出的指令和请求,并被动地响应请求并进行处理。云服务提供者并不能对服务对象的开发信息、内容信息进行干预和处理。甚至可以这样说,正因为云服务提供者无法接触到服务对象的内容信息、商业信息,才保证了企业上云的安全性和可靠性,这也是云计算诞生和发展的基本前提。
此种单纯性技术服务模式下,云服务提供者不具备审核、干预信息的能力和条件,服务对象的内容被完全封装在「密闭的空间」中,即云服务提供者对内容不具有直接控制权,适用单纯性技术服务提供者的责任规制,除非云服务提供者同时终止所有内容的接入和传输,否则其无法通过断开具体侵权内容而对服务内容进行精准、有效的控制。[4]此时云服务提供者所提供的服务如同基础网络运营商,为所有用户提供着最基本的技术服务,如果要求其承担「通知删除」义务,虽然符合适当性原则,但明显有违必要性原则和狭义比例原则。
3、云服务提供者应当采取的必要措施须与其技术特点相适应,符合比例原则的有关指向。
如阿里云案所述:「阿里云作为云服务器租赁服务对存储的信息内容无法直接控制,从技术上也无法删除、屏蔽和断开链接,除非「关停服务器」,而后者过于严厉。」同时,该案也进一步指出:「转通知体现网络服务提供者‘警示’侵权人的意图,从一定程度上有利于防止损害扩大,可以成为‘必要措施’使网络服务提供者免责。若通知有效,要求阿里云履行转通知的义务才是比较公允合理的必要措施。」[5]因此提供单纯性技术服务的云服务提供者如果采取了转通知措施的,则可认为其因采取了必要措施而免责。
在转通知提供单纯性技术服务的云服务提供者应采取的必要措施之一的基础上,对于必要措施的其他类别和范围,可参考比例原则的相关指向。具言之,在具体的「必要措施」界定中,应当考量:一是该必要措施是否满足适当性原则,即施加该必要措施要求是否具有目的正当性,能否实现有效制止侵权行为的目的;二是该必要措施是否满足必要性原则,即需要确定是否存在既能实现目的且所造成的损害也更轻微的其他手段;三是该必要措施是否满足狭义比例原则,即须进一步衡量采用该最和缓手段所造成的不利益与其所追求的目的之间是否成比例。如果不利益远远超过可实现的目的,则违反公平原则,该必要措施并不适当。即,应当根据云服务提供者的技术实质确定与其能力范围比例相符的必要措施范围,符合适当性、必要性和狭义比例的基本原则。
四、基于云服务提供者采取措施的有限性、处理投诉纠纷的社会成本重复性等原因,权利人应当向对内容具有直接控制力的具体服务提供者采取侵权投诉等权利维护行为,而非向云服务提供者发出相关处理要求。
一般而言,一项上云的网络服务的提供涉及到用户、具体服务提供者、云服务等基础服务提供者三个主体;以一款部署在云端的阅读类APP为例,相关主体包括用户、APP提供者、云服务提供者。当用户发现APP上存在侵害其著作权等权利的作品时,根据《信息网络传播权保护条例》(「以下简称《条例》」)的规定,用户可通知APP提供者要求删除侵权内容。但实践中,频繁出现用户不向APP提供者通知转而要求提供底层服务的云服务提供者处理相关侵权内容,主要原因在于云服务商均为知名集团(如亚马逊云、阿里云、腾讯云)而APP提供者可能只是知名度较低的网络公司,用户认为向云服务提供者投诉后可能处理流程更快、其权利可能更能得到保障。此种现象显然给云服务提供者带来了极大的困难,与具有完善的侵权投诉处理流程、可迅速定位到具体侵权作品和侵权链接的APP提供者相比,云服务提供者不能也无法实现按照用户的要求定位处理某个具体的侵权作品、侵权链接。
且云服务提供者在处理侵权行为时存在阻止侵权行为的「技能」困难、客户服务质量保证与客户信息安全保障的冲突和决策具体措施困难的情况。在当前用户频繁要求提供底层服务的云服务提供者处理APP上侵权内容的背景下,用户仅因云服务提供者知名度较高就要求云服务提供者解决投诉问题,或是仅因提高解决效率就向APP提供者和云服务提供者同时投诉,给云服务提供者带来了较大困难。且实际上,云服务提供者收到用户投诉后也仅能采取APP提供者进行转通知等必要性相当的措施,即最终仍需由APP提供者进行处理,但此种多头处理的方式将造成社会资源和社会成本的浪费。因此相关制度、司法乃至立法应当积极鼓励用户向APP提供者投诉,APP提供者完善的侵权投诉处理流程、迅速定位到具体侵权作品和侵权链接的能力,均可快速实现按照用户的要求定位处理某个具体的侵权作品、侵权链接,处理成本和处理时间明显低于仅可采取转通知措施的云服务提供者。
五、综上,云服务提供者作为广义概念的网络服务提供者,应当依法承担相应的民事法律责任。但因其云计算技术架构的特殊性和基础性,应当在区分不同类型的云服务提供者基础上,基于其技术能力、业务模式的特殊性,确定与其相适应的、比例相符的责任。
–END–
参考文献:
[1]【美】黄铠:《云计算系统与人工智能应用》,机械工业出版社2018年5月版,第25页。
[2]谢兰芳、付强:《云计算服务提供者侵权责任类型化》,载《河南财经政法大学学报》2018年第2期。
[3]陈瑜:《中美避风港规则比较研究》,载《法制与社会》2013年3月刊,第8页。
[4]徐伟:《网络服务提供者侵权责任理论基础研究》,吉林大学2013年博士研究生论文,第103页。
[5]详情参见北京卓越公司诉阿里云信息传播权侵权纠纷,案号(2017)京73民终1194号。