(圖片來源:壹圖網)
陳永偉/文
一個私服引出的雲存儲第一案
2013年1月,北京樂動卓越科技有限公司(以下簡稱“樂動卓越”)推出了一款名為《我叫MT Online》的RPG(角色扮演遊戲Role-playing game)卡牌類遊戲。由於這款遊戲由人氣動漫《我是MT》改編,本身就有動漫IP加持,而策劃者又在遊戲的設計上頗下了一番功夫——不僅把遊戲的主要角色根據動漫內容進行了重新設計,還根據《魔獸世界》(注:動漫《我是MT》是遊戲《魔獸世界》的同人作品)認真製作了遊戲副本,所以一經推出就獲得了不俗的反響。僅僅三個月時間,就創造了下載量500萬,同時在線100萬的成績。儘管相比於今天的《王者榮耀》、《絕地求生》等遊戲,這些數字或許不算什麼,但在3G時代的2013年,這個成績已經相當可觀了。憑藉著不俗的人氣,《我叫MT Online》不僅斬獲了眾多獎項,還贏得了“國民卡牌遊戲”的美譽。
轉眼到了2015年,儘管隨著4G的興起,整個遊戲行業已經和兩年前有了很大的變化,但《我叫MT Online》始終擁有一席之地。當時,該遊戲的累計用戶已超過一億,日活和盈利數據都比較可觀,一切看來都很好。
有一天,樂動卓越收到了用戶的舉報,稱在某網站上發現了一個和《我叫MT Online》十分類似的遊戲《我叫MT 暢爽版》。樂動卓越的人前去一看,果不其然,這款遊戲不僅在名字上和自己公司的產品類似,在遊戲內容上更是幾乎一模一樣。在對比內容後,樂動卓越認為《我叫MT 暢爽版》是徹頭徹尾的私服,對自己的著作權構成了嚴重的侵犯。但麻煩的是,雖然他們發現有人侵犯了自己的權利,但卻不知道究竟是誰做了這一切——通過各種途徑,他們都無法查到這個網站的運營人究竟是何方神聖。唯一調查清楚的是,侵權者把《我叫MT 暢爽版》的遊戲內容存儲在阿里雲公司的服務器,並通過該服務器向用戶提供遊戲服務。為了阻止侵權行為並找出侵權者,樂動卓越就致函阿里雲公司,要求其刪除涉嫌侵權內容,並提供服務器租用人的具體信息。然而,樂動卓越的這個請求卻遭到了阿里雲的拒絕。阿里雲給出的理由是,自己作為雲服務提供商,必須重視保護用戶的數據和隱私。
幾經交涉無果,樂動卓越乾脆一紙訴狀把阿里雲告上了法院。請求法院判令阿里雲公司斷開鏈接,停止為《我叫MT暢爽版》遊戲繼續提供服務器租賃服務,並將儲存在其服務器上的《我叫MT暢爽版》遊戲數據庫信息提供給樂動卓越公司,同時賠償樂動卓越經濟損失100萬元。
告侵權者不成,就把為侵權者提供雲服務的人告了。這個因私服引發的糾紛,就在一個湊巧的時間點上,戲劇性地演變成了“雲存儲第一案”。
此案一被曝光,就引起了各界的廣泛爭議。一些觀點認為,根據“通知-刪除”規則,阿里雲應該同意樂動方面的訴求,並應對由於延誤處理而對樂動造成的損失給予相應的賠償。
這裡我們稍微花時間解釋一下“通知-刪除”規則。這個規則最早出現於1998年美國的《千禧年數字版權法》(Digital Millennium Copyright Act,簡稱DMCA),其本意是針對網上侵權糾紛氾濫的背景下,為網絡服務提供者創造一個規避責任的“避風港”。根據這一規則,網絡服務提供者在收到權利人的通知之後,應當對侵權信息內容採取刪除或斷開連接的措施,否則就需要對侵權承擔連帶責任。這一規則提出之後,立即就在全球範圍內產生了很大的影響。後來,在我國的《著作權法》、《信息網絡權保護條例》中,都體現了這一規則的精神。
不少人認為,阿里雲作為一個網絡服務提供者,應當適用“通知-刪除”規則,在接到權利人樂動卓越通知後,及時刪除侵權信息。而阿里雲並沒有這麼做,所以就應該承擔連帶責任。而另一些觀點則認為,阿里雲更多隻是一個基礎設施的提供商,就好像電力、通信等基礎設施的提供者一樣,並不能直接掌控其用戶的數據,因此很難適用“通知-刪除”規則。持這種觀點的人認為,如果在沒有司法機關通知的前提下,阿里雲根據樂動卓越的要求,刪除了私服數據,並通報了侵權人信息,就有可能侵犯了雲服務用戶的數據和隱私。此例若開,可能對全行業的生態產生嚴重的負面影響。
2017年5月,北京市石景山區人民法院對案件作出了一審判決。法院認定,被告阿里雲因提供的服務器被他人租用來運營私服,且在接到投訴通知後始終未採取適當措施,侵犯了樂動卓越的合法權益,因此需賠償對方26萬元。
判決一出,阿里雲當即表示不服,並提出了上訴。又經過兩年的漫長審理,今年6月,北京知識產權法院終於對該案做出了二審判決。出乎很多人意料,二審結果對一審來了一個徹底的大翻盤。法院認為,阿里雲在本案中所提供的服務系雲服務器租賃服務不屬於《侵權責任法》中規定的網絡服務提供者,也不能採取該條規定的刪除、屏蔽、斷開鏈接等必要措施,因此無法適用“通知-刪除”規則來進行處理。一審法院的認定沒有法律依據,不適當地加重了服務器租賃經營者的運營負擔。據此,二審法院推翻了一審法院的判決,宣判阿里雲無需承擔侵權責任。
“雲存儲第一案”就這樣在180度的大逆轉之下落下了帷幕。
新技術帶來的新問題
自從亞馬遜、谷歌等公司將雲計算服務商業化以來,雲計算就開始在商業世界中迅速普及。這一方面給很多企業,尤其是中小企業創造了便利,讓它們用很少的經費就能享受和大企業一樣的IT服務,但另一方面也產生了大量的問題。
過去,企業之間的各類糾紛大多發生在彼此之間,侵權與被侵權,關係很直接。然而,在企業都選擇了“上雲”之後,這個關係就變了,所有的糾紛都會牽涉到雲服務的提供者。像上面提到的樂動卓越訴阿里雲案,以及被稱為“首例微信小程序案”的刀豆公司訴騰訊案(注:小程序服務平臺本質上也是雲服務,屬於PaaS範疇),都涉及到了雲服務提供者,也都引發了不小的社會關注和爭論。
當涉及雲服務的糾紛開始頻頻出現,現行法律中卻沒有關於雲的明確定性。在這樣的背景下,要明確雲服務者在具體環境中所扮演的角色,判定其應該承擔的責任,確實不是一件容易之事。
那麼,在遭遇糾紛時,我們應該如何判定雲服務提供者的責任呢?在我看來,我們不應該寄希望於法律在短期之內對此作出分類、具有可操作性的指導。其原因有二——
一方面,雲計算的交付模式是極為多樣的,分類難以對其窮盡。雲計算從本質上講就是IT資源的在線化,而IT資源的種類是十分多樣的——網絡、存儲、服務器、虛擬化、操作系統、中間件、運行時間、數據、應用……這些都是IT資源,根據在線化資源的不同組合,雲計算的交付模式可以是千變萬化的。我們熟悉的IaaS、PaaS和SaaS只是其中比較有代表性的幾種,其他的“非典型”交付模式還有很多。如果去根據雲計算的交付模式一一進行規定,那就是“以有涯追無涯”,其工作量是可想而知的。
另一方面,不同情況下面臨的具體問題也不同。像“雲存儲第一案”中,樂動卓越和侵權人之間只是簡單的權利人和侵權人關係,因此阿里雲出於保護用戶隱私的考慮,拒絕樂動卓越的要求可能是合理的。但如果相關的糾紛涉及到了類似公共安全等重大問題,那麼這種處理方法就可能不再符合要求了。
基於以上兩點,在處理涉及雲計算的相關問題時,恐怕很難像處理傳統的互聯網相關案件那樣,先按照相關法律法規的規定,給雲服務提供者界定一個明確的角色,然後按照“通知-刪除”規則或其他的什麼規則來逐一對照,加以處理。
那麼,對於類似的糾紛,又應該如何界定雲服務提供者的責任呢?在筆者看來,有兩條規則恐怕是可以參考的:第一條是“能不能”;第二條是“值不值”。
技術標準——“能不能”
所謂“能不能”,指的是雲服務提供者能不能直接對糾紛所涉及的IT資源進行有效的控制。
儘管正如我們前面所指出的,雲計算的具體交付模式可能千變萬化,但無論哪種交付模式,都是把對IT資源的直接控制權在雲服務提供者和雲服務的用戶之間進行劃分。以我們熟悉的IaaS、PaaS和SaaS這三類交付模式為例:在IaaS模式中,由雲服務商直接控制的主要是網絡、存儲、服務器、虛擬化、操作系統等資源,而中間件、運行時間、數據、應用等IT資源的直接控制權則在用戶手中。在PaaS模式中,服務提供商控制的IT資源要更多,只有數據、應用等IT資源是由用戶直接控制的。而在SaaS中,雲服務提供者則對上述所有的IT資源進行直接控制,用戶只能像傳統的商品消費者那樣,對服務商提供的服務直接消費。
很顯然,由於不同交付模式下雲服務提供者對IT資源的直接控制程度不同,在發生相關問題時,其進行檢查、干預的能力也不盡相同。以樂動卓越訴阿里雲案為例,在該案中,阿里雲提供的是IaaS服務,由其直接控制的IT資源是相當有限的,和案件相關的數據並不在範圍之內。因此即使作為服務者,它要對涉案的侵權內容進行檢查、干預也是比較困難的。
雖然從理論上講,阿里雲掌握著整個雲服務的“總開關”,可以徹底斷絕疑似侵權人的侵權行為,但這樣的控制力無疑是“大殺器”,不能輕易使用。如果在接到司法機關的明確通知之前,貿然進行這樣的行動,則不僅可能擴大傷害、造成誤傷,還可能樹立一個破壞用戶數據隱私的不良榜樣。
以上說法的表述或許有些抽象。為了便於理解,我們可以想象一個類似的情形。從某種意義上講,電力服務也是一種具有云性質的服務,所有的其他服務都是基於這一服務進行的。如果我們現在發現了某一網站存在侵權,那麼當然可以通過斷掉這個網站所在區域的電力供應來停止侵權,但這樣帶來的負面影響很可能會大過侵權本身的影響。從這個角度看,通過斷電來阻止網站上發生的侵權顯然是不合適的。同樣的,讓雲服務提供者通過斷掉用戶所有的服務來阻止其侵權行為也是一樣的道理,雖然從理論上可行,但其額外產生的成本則可能是巨大的。
從這個意義上講,在一般情況下,如果雲服務提供者不直接掌握對某種IT資源的直接控制權,那麼讓它來為因這種IT資源引發的問題來承擔責任,恐怕是不合適的。
經濟標準——“值不值”
所謂“值不值”,是一個經濟上的標準,指的是雲服務提供者採取相關措施所帶來的成本究竟能不能抵償未來產生的預期成本。在法律經濟學中,這個標準有個響亮的名字,叫做“漢德法則”。
“漢德法則”是在著名的“美國政府訴卡羅爾拖船公司案”中最早提出的。這個案子是這樣的:1947年的一天,卡羅爾公司的一艘駁船Anna C被人意外解開了纜繩,因而從原本停泊的位置漂出了海岸。在這個過程中,Anna C意外撞上了邊上停泊的一艘油輪,發生了嚴重的損壞。當時,沒有人發現這場事故。終於在21個小時之後,Anna C沉入了海底,上面整整一船美國政府的麵粉也隨之泡了湯。美國政府一怒之下,就將卡羅爾公司告上了法院。
雖然卡羅爾拖船案的案情並不算複雜,但涉案主體卻不少,彼此之間的關係也比較複雜。毫無疑問,全部的事情是因卡羅爾公司的Anna C而起,但如果沒有油輪的撞擊,則不會發生後面的事故。而即使有了油輪的撞擊,如果在後面的21個小時中,有卡羅爾公司或者美國政府的人發現了這一切,及時將麵粉搶救出來,也不會造成後來那麼重大的損失。一時之間,孰是孰非,每個涉案主體應該承擔怎樣的責任,讓人難以判斷。
處理這個案件的正是漢德法官。為了撥開了事實的重重干擾,他借用了經濟學上的效率標準作為了判案的準則。他提出,要看一個當事人究竟應不應該為事故承擔責任,只需要看三個變量:避免事故的成本(簡記為B)、發生意外的概率(簡記為P),以及發生事故後的成本(簡極為L)。如果避免事故的成本小於事故可能帶來的預期成本,即B<PL,那麼就說明當事人沒有盡到自己的注意義務,他就需要對事故承擔責任。反之,則說明當事人已經盡到了自己的注意義務,無需對事故負責。根據這一標準,他對該案中所有當事人的責任進行了區分。首先,卡羅爾拖船公司因為疏忽,造成Anna C從停泊位置漂走,從而導致了撞船事故的發生,在撞船事故發生後又沒有及時檢查貨物,導致了承運貨物的沉沒。在撞船和沉沒過程中,其注意成本都要遠遠小於預期的損失成本,但它卻沒有盡到注意義務,所以應該為這兩起事件負責。其次,撞擊Anna C的油船顯然應該為撞擊事故負責,但由於它並不知道船上的貨物值這麼多錢,也不知道Anna C在經受撞擊之後,會這麼長時間無人照看,因此無需對後面的沉船事故負責。再次,作為貨物的委託人,美國政府沒有實施任何即使成本很小的注意行為,因此也需要對Anna C的最終沉沒和貨物的損失負一定的責任。
一個原本環環相扣,關係複雜的案件,就在漢德法官如庖丁解牛般的分析之下,這麼輕鬆解決了。這個案例後來就成了美國司法史上處理侵權案例的經典判例,其中提出的權衡注意成本與可能損失的法則也以“漢德法則”之名被流傳了下來,並被此後的法官一再援引。
在筆者看來,這個幫助漢德法官成功處理“卡羅爾拖船案”的“漢德法則”,同樣也可以幫助我們處理像雲計算服務商的責任等問題。在樂動卓越訴阿里雲案中,即使阿里雲拒絕採取行動,其所帶來的預期成本也相對較小,而如果採取行動,則可能牽涉數據隱私等一大堆問題,所以可能付出非常高的成本。根據“漢德法則”,在兩相權衡之下,阿里雲就不應該根據樂動卓越的要求,採取刪除數據、公佈雲服務使用者身份。
不過,如果我們將案件的事實略作一些改動,相應的責任劃分就可能要發生改變。首先,如果阿里雲不僅是一個純粹的IaaS平臺,而且還扮演了內容服務商的角色,可以比較容易地監控、修改用戶信息,那麼它避免事故的成本就降低了。此時,漢德法則規定的B<PL的條件就更可能出現,它也就更可能需要為雲平臺上發生的侵權行為承擔連帶責任。其次,如果樂動卓越在向阿里雲提出刪除信息等要求之前,進行了更為詳盡的通知,給出了侵權人進行侵權的明確證據,那麼對於阿里雲來講,就需要調高對事故發生概率的判斷,漢德法則規定的B<PL也會更容易出現。此時,如果它再拒絕採取相應的措施,就應當為此付出相應的責任。再次,如果這次案件中發生的並不是簡單的民事侵權行為,而是涉及到公共安全等的重大事件,不及時處理可能會產生惡劣影響,那麼阿里雲所面對的事故損害成本就加大了。同樣的,這也會讓B<PL的情況更容易出現,此時阿里雲需要承擔責任的可能也會隨之上升。
“反通知”的可能應用
通過前面的分析,我們知道,雖然雲服務等新業態的出現給我們帶來了很多的新問題,但只要牢牢把握住“能不能”、“行不行”這兩個原則,就可以比較輕鬆地穿透複雜的案情,界定雲服務提供者提供的角色。我們可以看到,對於像IaaS、PaaS這些雲交付模式的服務商並不能直接控制內容製作的雲交付模式,讓服務商按照“通知-刪除”規則所規定的那樣,接到投訴就對相關內容進行刪除,即便不是不可能的,其成本也是巨大的。從這個角度看,我們不應該把過多的任務甩給雲服務提供者,否則就可能阻礙整個雲服務行業的健康發展。
不過,這個問題只考慮到了問題的一半,即對雲服務提供者進行了照顧。在現實中,遭受侵權的權利人往往也是很無助的。由於涉案的信息都在雲上,因此沒有云服務提供者的幫助,他們就很難獲得有效的取證。例如在樂動卓越訴阿里雲案中,樂動卓越甚至連是誰在設立私服侵犯自己利益都不知道,在這種情況下,它當然也很難對阿里雲做出有效的通知;這樣一來,就形成了一個悖論:權利人因為難取證,所以很難發出有效通知。而云服務提供者由於沒有收到有效的通知,所以就難以對侵權問題作出及時的迴應。如果這個悖論不打破,那麼即便我們單方面保證了雲服務提供者的利益,讓這個行業發展起來了,它也是一個糟糕的、藏汙納垢的行業,是沒有希望的。
那麼,以上的問題應該如何破解呢?重要的是,要建立起投訴者與被投訴者之間的直接溝通渠道,並建立起一套“反通知”機制。具體來講,當雲服務提供者收到了投訴後,應該將投訴轉送給被投訴一方,並要求其及時對投訴內容作出回覆。雲服務提供者可以根據被投訴者提供的反通知來對相關的問題進行判斷,再作出處理決定。在必要時,雲服務提供商可以申請司法機關的幫助和介入。
例如,在樂動卓越訴阿里雲案中,阿里雲就可以將樂動卓越方面的投訴轉達給私服所有人歐某,並要求其說明情況,否則就對其停止服務。如果有這樣的溝通,那麼阿里雲就可以避免後來的官司,也可以及時制止私服對樂動卓越的侵害。事實上,由於取證的困難,私服搭建者歐某直到樂動卓越發現問題後兩年才被捕,而在這個期間內,他對樂動卓越造成的損失原本都是可以避免的