一个私服引出的云存储第一案
2013年1月,北京乐动卓越科技有限公司(以下简称“乐动卓越”)推出了一款名为《我叫MT Online》的RPG(角色扮演游戏Role-playing game)卡牌类游戏。由于这款游戏由人气动漫《我是MT》改编,本身就有动漫IP加持,而策划者又在游戏的设计上颇下了一番功夫——不仅把游戏的主要角色根据动漫内容进行了重新设计,还根据《魔兽世界》(注:动漫《我是MT》是游戏《魔兽世界》的同人作品)认真制作了游戏副本,所以一经推出就获得了不俗的反响。仅仅三个月时间,就创造了下载量500万,同时在线100万的成绩。尽管相比于今天的《王者荣耀》、《绝地求生》等游戏,这些数字或许不算什么,但在3G时代的2013年,这个成绩已经相当可观了。凭借着不俗的人气,《我叫MT Online》不仅斩获了众多奖项,还赢得了“国民卡牌游戏”的美誉。
转眼到了2015年,尽管随着4G的兴起,整个游戏行业已经和两年前有了很大的变化,但《我叫MT Online》始终拥有一席之地。当时,该游戏的累计用户已超过一亿,日活和盈利数据都比较可观,一切看来都很好。
有一天,乐动卓越收到了用户的举报,称在某网站上发现了一个和《我叫MT Online》十分类似的游戏《我叫MT 畅爽版》。乐动卓越的人前去一看,果不其然,这款游戏不仅在名字上和自己公司的产品类似,在游戏内容上更是几乎一模一样。在对比内容后,乐动卓越认为《我叫MT 畅爽版》是彻头彻尾的私服,对自己的著作权构成了严重的侵犯。但麻烦的是,虽然他们发现有人侵犯了自己的权利,但却不知道究竟是谁做了这一切——通过各种途径,他们都无法查到这个网站的运营人究竟是何方神圣。唯一调查清楚的是,侵权者把《我叫MT 畅爽版》的游戏内容存储在阿里云公司的服务器,并通过该服务器向用户提供游戏服务。为了阻止侵权行为并找出侵权者,乐动卓越就致函阿里云公司,要求其删除涉嫌侵权内容,并提供服务器租用人的具体信息。然而,乐动卓越的这个请求却遭到了阿里云的拒绝。阿里云给出的理由是,自己作为云服务提供商,必须重视保护用户的数据和隐私。
几经交涉无果,乐动卓越干脆一纸诉状把阿里云告上了法院。请求法院判令阿里云公司断开链接,停止为《我叫MT畅爽版》游戏继续提供服务器租赁服务,并将储存在其服务器上的《我叫MT畅爽版》游戏数据库信息提供给乐动卓越公司,同时赔偿乐动卓越经济损失100万元。
告侵权者不成,就把为侵权者提供云服务的人告了。这个因私服引发的纠纷,就在一个凑巧的时间点上,戏剧性地演变成了“云存储第一案”。
此案一被曝光,就引起了各界的广泛争议。一些观点认为,根据“通知-删除”规则,阿里云应该同意乐动方面的诉求,并应对由于延误处理而对乐动造成的损失给予相应的赔偿。
这里我们稍微花时间解释一下“通知-删除”规则。这个规则最早出现于1998年美国的《千禧年数字版权法》(Digital Millennium Copyright Act,简称DMCA),其本意是针对网上侵权纠纷泛滥的背景下,为网络服务提供者创造一个规避责任的“避风港”。根据这一规则,网络服务提供者在收到权利人的通知之后,应当对侵权信息内容采取删除或断开连接的措施,否则就需要对侵权承担连带责任。这一规则提出之后,立即就在全球范围内产生了很大的影响。后来,在我国的《著作权法》、《信息网络权保护条例》中,都体现了这一规则的精神。
不少人认为,阿里云作为一个网络服务提供者,应当适用“通知-删除”规则,在接到权利人乐动卓越通知后,及时删除侵权信息。而阿里云并没有这么做,所以就应该承担连带责任。而另一些观点则认为,阿里云更多只是一个基础设施的提供商,就好像电力、通信等基础设施的提供者一样,并不能直接掌控其用户的数据,因此很难适用“通知-删除”规则。持这种观点的人认为,如果在没有司法机关通知的前提下,阿里云根据乐动卓越的要求,删除了私服数据,并通报了侵权人信息,就有可能侵犯了云服务用户的数据和隐私。此例若开,可能对全行业的生态产生严重的负面影响。
2017年5月,北京市石景山区人民法院对案件作出了一审判决。法院认定,被告阿里云因提供的服务器被他人租用来运营私服,且在接到投诉通知后始终未采取适当措施,侵犯了乐动卓越的合法权益,因此需赔偿对方26万元。
判决一出,阿里云当即表示不服,并提出了上诉。又经过两年的漫长审理,今年6月,北京知识产权法院终于对该案做出了二审判决。出乎很多人意料,二审结果对一审来了一个彻底的大翻盘。法院认为,阿里云在本案中所提供的服务系云服务器租赁服务不属于《侵权责任法》中规定的网络服务提供者,也不能采取该条规定的删除、屏蔽、断开链接等必要措施,因此无法适用“通知-删除”规则来进行处理。一审法院的认定没有法律依据,不适当地加重了服务器租赁经营者的运营负担。据此,二审法院推翻了一审法院的判决,宣判阿里云无需承担侵权责任。
“云存储第一案”就这样在180度的大逆转之下落下了帷幕。
新技术带来的新问题
自从亚马逊、谷歌等公司将云计算服务商业化以来,云计算就开始在商业世界中迅速普及。这一方面给很多企业,尤其是中小企业创造了便利,让它们用很少的经费就能享受和大企业一样的IT服务,但另一方面也产生了大量的问题。
过去,企业之间的各类纠纷大多发生在彼此之间,侵权与被侵权,关系很直接。然而,在企业都选择了“上云”之后,这个关系就变了,所有的纠纷都会牵涉到云服务的提供者。像上面提到的乐动卓越诉阿里云案,以及被称为“首例微信小程序案”的刀豆公司诉腾讯案(注:小程序服务平台本质上也是云服务,属于PaaS范畴),都涉及到了云服务提供者,也都引发了不小的社会关注和争论。
当涉及云服务的纠纷开始频频出现,现行法律中却没有关于云的明确定性。在这样的背景下,要明确云服务者在具体环境中所扮演的角色,判定其应该承担的责任,确实不是一件容易之事。
那么,在遭遇纠纷时,我们应该如何判定云服务提供者的责任呢?在我看来,我们不应该寄希望于法律在短期之内对此作出分类、具有可操作性的指导。其原因有二——
一方面,云计算的交付模式是极为多样的,分类难以对其穷尽。云计算从本质上讲就是IT资源的在线化,而IT资源的种类是十分多样的——网络、存储、服务器、虚拟化、操作系统、中间件、运行时间、数据、应用……这些都是IT资源,根据在线化资源的不同组合,云计算的交付模式可以是千变万化的。我们熟悉的IaaS、PaaS和SaaS只是其中比较有代表性的几种,其他的“非典型”交付模式还有很多。如果去根据云计算的交付模式一一进行规定,那就是“以有涯追无涯”,其工作量是可想而知的。
另一方面,不同情况下面临的具体问题也不同。像“云存储第一案”中,乐动卓越和侵权人之间只是简单的权利人和侵权人关系,因此阿里云出于保护用户隐私的考虑,拒绝乐动卓越的要求可能是合理的。但如果相关的纠纷涉及到了类似公共安全等重大问题,那么这种处理方法就可能不再符合要求了。
基于以上两点,在处理涉及云计算的相关问题时,恐怕很难像处理传统的互联网相关案件那样,先按照相关法律法规的规定,给云服务提供者界定一个明确的角色,然后按照“通知-删除”规则或其他的什么规则来逐一对照,加以处理。
那么,对于类似的纠纷,又应该如何界定云服务提供者的责任呢?在笔者看来,有两条规则恐怕是可以参考的:第一条是“能不能”;第二条是“值不值”。
技术标准——“能不能”
所谓“能不能”,指的是云服务提供者能不能直接对纠纷所涉及的IT资源进行有效的控制。
尽管正如我们前面所指出的,云计算的具体交付模式可能千变万化,但无论哪种交付模式,都是把对IT资源的直接控制权在云服务提供者和云服务的用户之间进行划分。以我们熟悉的IaaS、PaaS和SaaS这三类交付模式为例:在IaaS模式中,由云服务商直接控制的主要是网络、存储、服务器、虚拟化、操作系统等资源,而中间件、运行时间、数据、应用等IT资源的直接控制权则在用户手中。在PaaS模式中,服务提供商控制的IT资源要更多,只有数据、应用等IT资源是由用户直接控制的。而在SaaS中,云服务提供者则对上述所有的IT资源进行直接控制,用户只能像传统的商品消费者那样,对服务商提供的服务直接消费。
很显然,由于不同交付模式下云服务提供者对IT资源的直接控制程度不同,在发生相关问题时,其进行检查、干预的能力也不尽相同。以乐动卓越诉阿里云案为例,在该案中,阿里云提供的是IaaS服务,由其直接控制的IT资源是相当有限的,和案件相关的数据并不在范围之内。因此即使作为服务者,它要对涉案的侵权内容进行检查、干预也是比较困难的。
虽然从理论上讲,阿里云掌握着整个云服务的“总开关”,可以彻底断绝疑似侵权人的侵权行为,但这样的控制力无疑是“大杀器”,不能轻易使用。如果在接到司法机关的明确通知之前,贸然进行这样的行动,则不仅可能扩大伤害、造成误伤,还可能树立一个破坏用户数据隐私的不良榜样。
以上说法的表述或许有些抽象。为了便于理解,我们可以想象一个类似的情形。从某种意义上讲,电力服务也是一种具有云性质的服务,所有的其他服务都是基于这一服务进行的。如果我们现在发现了某一网站存在侵权,那么当然可以通过断掉这个网站所在区域的电力供应来停止侵权,但这样带来的负面影响很可能会大过侵权本身的影响。从这个角度看,通过断电来阻止网站上发生的侵权显然是不合适的。同样的,让云服务提供者通过断掉用户所有的服务来阻止其侵权行为也是一样的道理,虽然从理论上可行,但其额外产生的成本则可能是巨大的。
从这个意义上讲,在一般情况下,如果云服务提供者不直接掌握对某种IT资源的直接控制权,那么让它来为因这种IT资源引发的问题来承担责任,恐怕是不合适的。
经济标准——“值不值”
所谓“值不值”,是一个经济上的标准,指的是云服务提供者采取相关措施所带来的成本究竟能不能抵偿未来产生的预期成本。在法律经济学中,这个标准有个响亮的名字,叫做“汉德法则”。
“汉德法则”是在著名的“美国政府诉卡罗尔拖船公司案”中最早提出的。这个案子是这样的:1947年的一天,卡罗尔公司的一艘驳船Anna C被人意外解开了缆绳,因而从原本停泊的位置漂出了海岸。在这个过程中,Anna C意外撞上了边上停泊的一艘油轮,发生了严重的损坏。当时,没有人发现这场事故。终于在21个小时之后,Anna C沉入了海底,上面整整一船美国政府的面粉也随之泡了汤。美国政府一怒之下,就将卡罗尔公司告上了法院。
虽然卡罗尔拖船案的案情并不算复杂,但涉案主体却不少,彼此之间的关系也比较复杂。毫无疑问,全部的事情是因卡罗尔公司的Anna C而起,但如果没有油轮的撞击,则不会发生后面的事故。而即使有了油轮的撞击,如果在后面的21个小时中,有卡罗尔公司或者美国政府的人发现了这一切,及时将面粉抢救出来,也不会造成后来那么重大的损失。一时之间,孰是孰非,每个涉案主体应该承担怎样的责任,让人难以判断。
处理这个案件的正是汉德法官。为了拨开了事实的重重干扰,他借用了经济学上的效率标准作为了判案的准则。他提出,要看一个当事人究竟应不应该为事故承担责任,只需要看三个变量:避免事故的成本(简记为B)、发生意外的概率(简记为P),以及发生事故后的成本(简极为L)。如果避免事故的成本小于事故可能带来的预期成本,即B<PL,那么就说明当事人没有尽到自己的注意义务,他就需要对事故承担责任。反之,则说明当事人已经尽到了自己的注意义务,无需对事故负责。根据这一标准,他对该案中所有当事人的责任进行了区分。首先,卡罗尔拖船公司因为疏忽,造成Anna C从停泊位置漂走,从而导致了撞船事故的发生,在撞船事故发生后又没有及时检查货物,导致了承运货物的沉没。在撞船和沉没过程中,其注意成本都要远远小于预期的损失成本,但它却没有尽到注意义务,所以应该为这两起事件负责。其次,撞击Anna C的油船显然应该为撞击事故负责,但由于它并不知道船上的货物值这么多钱,也不知道Anna C在经受撞击之后,会这么长时间无人照看,因此无需对后面的沉船事故负责。再次,作为货物的委托人,美国政府没有实施任何即使成本很小的注意行为,因此也需要对Anna C的最终沉没和货物的损失负一定的责任。
一个原本环环相扣,关系复杂的案件,就在汉德法官如庖丁解牛般的分析之下,这么轻松解决了。这个案例后来就成了美国司法史上处理侵权案例的经典判例,其中提出的权衡注意成本与可能损失的法则也以“汉德法则”之名被流传了下来,并被此后的法官一再援引。
在笔者看来,这个帮助汉德法官成功处理“卡罗尔拖船案”的“汉德法则”,同样也可以帮助我们处理像云计算服务商的责任等问题。在乐动卓越诉阿里云案中,即使阿里云拒绝采取行动,其所带来的预期成本也相对较小,而如果采取行动,则可能牵涉数据隐私等一大堆问题,所以可能付出非常高的成本。根据“汉德法则”,在两相权衡之下,阿里云就不应该根据乐动卓越的要求,采取删除数据、公布云服务使用者身份。
不过,如果我们将案件的事实略作一些改动,相应的责任划分就可能要发生改变。首先,如果阿里云不仅是一个纯粹的IaaS平台,而且还扮演了内容服务商的角色,可以比较容易地监控、修改用户信息,那么它避免事故的成本就降低了。此时,汉德法则规定的B<PL的条件就更可能出现,它也就更可能需要为云平台上发生的侵权行为承担连带责任。其次,如果乐动卓越在向阿里云提出删除信息等要求之前,进行了更为详尽的通知,给出了侵权人进行侵权的明确证据,那么对于阿里云来讲,就需要调高对事故发生概率的判断,汉德法则规定的B<PL也会更容易出现。此时,如果它再拒绝采取相应的措施,就应当为此付出相应的责任。再次,如果这次案件中发生的并不是简单的民事侵权行为,而是涉及到公共安全等的重大事件,不及时处理可能会产生恶劣影响,那么阿里云所面对的事故损害成本就加大了。同样的,这也会让B<PL的情况更容易出现,此时阿里云需要承担责任的可能也会随之上升。
“反通知”的可能应用
通过前面的分析,我们知道,虽然云服务等新业态的出现给我们带来了很多的新问题,但只要牢牢把握住“能不能”、“行不行”这两个原则,就可以比较轻松地穿透复杂的案情,界定云服务提供者提供的角色。我们可以看到,对于像IaaS、PaaS这些云交付模式的服务商并不能直接控制内容制作的云交付模式,让服务商按照“通知-删除”规则所规定的那样,接到投诉就对相关内容进行删除,即便不是不可能的,其成本也是巨大的。从这个角度看,我们不应该把过多的任务甩给云服务提供者,否则就可能阻碍整个云服务行业的健康发展。
不过,这个问题只考虑到了问题的一半,即对云服务提供者进行了照顾。在现实中,遭受侵权的权利人往往也是很无助的。由于涉案的信息都在云上,因此没有云服务提供者的帮助,他们就很难获得有效的取证。例如在乐动卓越诉阿里云案中,乐动卓越甚至连是谁在设立私服侵犯自己利益都不知道,在这种情况下,它当然也很难对阿里云做出有效的通知;这样一来,就形成了一个悖论:权利人因为难取证,所以很难发出有效通知。而云服务提供者由于没有收到有效的通知,所以就难以对侵权问题作出及时的回应。如果这个悖论不打破,那么即便我们单方面保证了云服务提供者的利益,让这个行业发展起来了,它也是一个糟糕的、藏污纳垢的行业,是没有希望的。
那么,以上的问题应该如何破解呢?重要的是,要建立起投诉者与被投诉者之间的直接沟通渠道,并建立起一套“反通知”机制。具体来讲,当云服务提供者收到了投诉后,应该将投诉转送给被投诉一方,并要求其及时对投诉内容作出回复。云服务提供者可以根据被投诉者提供的反通知来对相关的问题进行判断,再作出处理决定。在必要时,云服务提供商可以申请司法机关的帮助和介入。
例如,在乐动卓越诉阿里云案中,阿里云就可以将乐动卓越方面的投诉转达给私服所有人欧某,并要求其说明情况,否则就对其停止服务。如果有这样的沟通,那么阿里云就可以避免后来的官司,也可以及时制止私服对乐动卓越的侵害。事实上,由于取证的困难,私服搭建者欧某直到乐动卓越发现问题后两年才被捕,而在这个期间内,他对乐动卓越造成的损失原本都是可以避免的。
(经济观察网)