标签归档:云计算

看脸时代的隐私难题与出路

一、不会“脸盲”的时代

这是一个对“脸盲”不友好的时代,人际交往中我们未必会记得某人的姓名,但却总对面孔印象深刻。“看脸”是日常生活中我们最常用的区分人的方式,但这样的区分方式正在受到来自网络空间的挑战。Deepfake技术横空出世,并且开放了源代码,让视频中的面孔不再真实,几乎成为了人工智能在伦理道德的反面典型。无论是面部特征的肆意收集还是对人脸的替换,都在不断挑战法律与伦理的底线。

人脸识别信息通常会被直接用于身份鉴别,能够取代用户名、密码的组合来验证身份,因此面部特征被广泛运用于核验身份。机场、火车站开始越开越多地部署人脸识别闸机,很多时候不用刷身份证、刷脸即可完成检票,手机刷脸即可完成解锁、支付。银行开户时需要在摄像头前“眨巴”眼睛以确认是本人操作。一些手机游戏也开始启用了人脸识别验证的功能,作为保护未成年人健康上网的举措。根据网络游戏管理的相关规定,对未成年人玩游戏的时间需要进行限制,传统上是通过输入身份证号码的方式验证年龄,但越来越多的未成年人使用家长的身份证来绕开这一限制,这也就需要网络游戏企业去核验真正玩游戏的人。比如《王者荣耀》会将用户真实面部信息与公安数据平台数据源进行比对,并按用户实际年龄段匹配相应的游戏时限。如比对结果不符或用户拒绝验证,健康系统将统一视作12周岁及以下未成年人,纳入相应的防沉迷监管。

人脸识别技术不仅适用于用户主动配合的核验场景,也被用于被动识别的场景。比如很多地方都在路口部署了摄像头以识别闯红灯的行人,并在旁边树立显示屏实时显示闯红灯行人的姓名、身份证号等信息,每每都会引起隐私的争议。在商业领域亦然,广告屏收集用户的面部表情的技术已经出现并且投入运用,实时分析用户对播放广告所反映出的喜怒哀乐。

继续阅读

首例(?)云服务器侵权案:云背后的法律线

  • 案件名称:乐动卓越诉阿里云侵犯著作权案
  • 案号:(2017)京73民终1194号
  • 审理法院:北京知识产权法院
  • 上诉人(一审被告):阿里云计算有限公司
  • 被上诉人(一审原告):北京乐动卓越科技有限公司
  • 裁判日期:2019年6月20日
  • 裁判结果:撤销一审判决,驳回乐动卓越诉讼请求

早在案件一审判决结果公布时,我就从数据角度写过一篇《数据与知识产权分野时》,讨论数据与知识产权的边界:

阿里云作为服务器提供商,在网络世界中所扮演的角色就像是房东一样,对于房客是否在房屋内从事侵犯知识产权的行为没有直接的责任,但也并不是说全无责任,房东在特定的情况下有义务披露房客信息,协助调查维权。如何把握这个度,平衡好信息网络传播权与数据安全就成为了一个关键的问题。

如今案件二审定谳,长达52页的判决书也随之公布,其中有相当的内容值得留意。

继续阅读

数据与知识产权分野时

2017年5月底,北京市石景山区人民法院就北京乐动卓越科技有限公司诉阿里云侵权案进行了一审判决,判决阿里云作为云服务器提供商构成侵权,承担赔偿责任。对于案件本身,因为只是一审,也没有看到裁判文书,所以只能基于新闻报道简单写一点想法,具体的分析也将不涉及案件的具体细节。

一、案情简介

案件的事实大致如下:

  • 原告北京乐动卓越科技有限公司系手游《我叫MT online 》、《我叫MT2》的权利人,2013年1月《我叫MT online》在手机安卓平台上线,2013年3月在苹果IOS平台上线。
  • 2015年8月,有玩家投诉http://www.callmt.com提供《我叫MT畅爽版》的iOS版、安卓版,从该网站下载的游戏,和原告的手游《我叫MT online》,在游戏图标、人物形象、游戏界面、游戏规则、游戏中的文字等方面完全相同。
  • 原告用“Wireshark”网络封包分析软件检测出《我叫MT畅爽版》游戏内容存储服务器的IP地址属于“阿里云”服务。
  • 2015年10月10日、30日,原告两次发函“阿里云”要求删除侵权游戏,并提供“云服务”租赁人联系方式。
  • 乐动卓越认为阿里云的行为构成共同侵权,请求法院判令阿里云断开链接,停止为涉案侵权游戏继续提供服务器租赁服务,将储存在其服务器上的游戏数据库信息提供给乐动卓越,并赔偿经济损失共计100万元。
  • 2016年6月2日,在诉讼过程中,“阿里云”关闭了涉诉IP主机服务,并向法院提供了云服务器租用人信息。

石景山法院依据《信息网络传播权保护条例》 认为:

  • 阿里云作为服务器提供商,虽然其不具有事先审查被租用的服务器中存储内容是否侵权的义务,但在他人重大利益因其提供的网络服务而受到损害的时候,其作为服务器服务的提供者应当承担其应尽的义务,采取必要的、合理的、适当的措施积极配合权利人的维权行为,防止权利人的损失持续扩大。
  • 而纵观全案确认的事实,被告阿里云对于乐动卓越的通知一直持有消极态度,从乐动卓越第一次发出通知,到诉讼中阿里云采取措施,阿里云在长达八个月的时间里未采取任何措施,远远超出了反应的合理时间,主观上其未意识到损害后果存在过错,客观上导致了损害后果的持续扩大,阿里云对此应当承担相应的法律责任。

在《信息网络传播权保护条例》中,规定了“对提供信息存储空间或者提供搜索、链接服务的网络服务提供者,权利人认为其服务所涉及的作品、表演、录音录像制品,侵犯自己的信息网络传播权或者被删除、改变了自己的权利管理电子信息的,可以向该网络服务提供者提交书面通知,要求网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接。”据此,石景山法院判令阿里云公司赔偿乐动卓越公司经济损失及合理费用约26万元。

在案件后,阿里云立即表示要提起上诉,并发表了声明,声称保护用户数据隐私是自己的第一原则,作为云服务提供商,无权审查任何用户的数据。只有在收到司法部门的正是裁决和通知后,才会协助调查。

继续阅读

定义云计算

云计算

美国商务部旗下的国家标准与技术研究所(National Institute of Standards and Technology),前几天发布了一个关于云计算定义的最终版本:在其编号为SP 800-145的专题文件中,将云计算定义为:

Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

This cloud model is composed of five essential characteristics, three service models, and four deployment models.

云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如,网络、服务器、存储设备、应用程序以及服务)的公共集合。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。

这个云模型有五个基本特征,三个服务模型,四个配置模型。

其中云计算的五个基本特征是:

  1. 按需自主(On-demand  self-service);
  2. 隨時隨地用任何網路裝置存取(Broad network access);
  3. 资源集合(Resource pooling),我不确定这样翻译是正确的;
  4. 快速灵活(Rapid  elasticity);
  5. 可监控的服务(Measured service)。

云计算的三种服务模式是:SaaS/PaaS/IaaS,继续了原有分类。SaaS主要指用户使用提供商的运行于云端的应用,可以从不同端口访问,包括浏览器或其他程序界面,比如网页端电子邮箱;PaaS允许用户在云端使用编程语言、库、服务器以及其他工具,而非只是应用;IaaS在云端提供处理、存储、网络等网络基础设施服务。

四个配置模型,没什么好解释的:

  1. 私有云(Private cloud);
  2. 社区云(Community  cloud);
  3. 公共云(Public cloud.);
  4. 混合云(Hybrid  cloud.)。

总之,这应该是目前关于云计算的最权威的定义了,是未来许多研究、写作的基础。

云计算的法律问题

在云端

根据NIST的严格定义:“云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如,网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。”通常来讲,云计算可以被分为SaaS(软件即服务),PaaS(平台即服务),IaaS(基础设施即服务)三类:

  • SaaS是目前最常见的云计算服务,甚至早在云计算这个概念被接受之前就已经广为使用,我们所使用的网页邮箱就是这种模式,无论是Gmail,Hotmail,还是163的邮箱。直接可以使用ICP在云端的资源,随意收发邮件而不用去关心数据存于何方,在本地只需要浏览器即可操作。现在Google Docs,豆瓣FM等一系列在线服务则将越来越多的服务之间送上云端,或许很快连我们的单机游戏都需要在线运行。
  • PaaS较之SaaS并不常见,需要提供一个在线平台,而平台之上需要代码可以运行。典型例子就是Google App Engine,当年上推没少用它。我不能确定Web QQ,iTunes能否算得上是PaaS,但PaaS在云时代应该就像是操作系统一样,也是各大厂商的一大战场。
  • 至于IaaS,这才像是未来科技,所谓用多少CPU资源交多少钱,用多大内存交多少钱,按需使用付费,就像用电那样使用网络上的计算/存储资源。基本淘汰计算机硬件,或许计算机硬件未来只会剩下屏幕、键盘与鼠标,重新回到终端机时代,当然,这需要高速互联网,网速也许会超越现在计算机内部的数据传输速度。最近出现的onlive服务,就是IaaS的典型代表,玩家可以不再使用本机的硬件功能,而直接使用云端的运算能力进行游戏(融合了IaaS与SaaS),那些配置很高的游戏就也能在手机等移动设备上运行。

云计算目前最需解决的法律问题并非是安全、隐私、管辖这些,而是首先云计算是什么,其上涉及哪些法律关系,如果不解决这些问题,那对其余问题的回答只能是不得要领。

无论是哪一种的云计算模式,都至少会存在用户与云提供商,以及网络内容服务商(ICP)。有时云提供商与网络内容服务商是重合的。他们之间通过债权债务关系连接在一起,用户与ICP之间通过用户协议连接在一起,ICP与云提供商也存在合同关系。再一次,用户协议对于权利义务的划分起到了关键作用,但很难找到比这些用户协议更霸王条款的合同了,就算上十次3·15晚会都不嫌多,(更多见《用户协议?谁看啊?》)。

比用户协议更棘手的是知识产权问题,这里不谈“避风港原则”等云提供商可能需要承担的责任,单就云端提供SaaS服务的代码的知识产权,就足够喝半壶的了。这也是SaaS最核心的法律问题,所谓SaaS到底是一种什么样的服务,用户通过用户协议获得了何种权利?

SaaS的云端以软件形式提供服务,云端软件的开发者是软件的著作权人,通过授权或其它许可方式将软件的使用权让与ICP,或其本身就是ICP,而用户通过用户协议使用云端服务。在这个过程中,用户有了云端软件的使用权。

根据一种学说,用户获得云端软件使用权的模式应该叫做“电子出租”,是传统著作权法中出租的上网版(具体参见《网络法律评论(第十卷)》,《SaaS法律问题研究》),但这种观点争议极大.《计算机软件保护条例》中的出租权指“有偿许可他人临时使用软件的权利,但是软件不是出租的主要标的的除外”。这需要满足“有偿”(不一定是指付费),而且在云计算中只是提供部分代码的使用权,就像一栋公寓楼的所有者出租一间公寓一样。但是,还是需要解决这公寓到底是什么的问题,因为出租出去的并不只是无形的软件著作权。

解决这种软件使用权转移过程中的标的问题,首先这种标的物并不能被简单的归为民法中的有体物或者无体物,更何况关于有体物与无体物这两个概念的辨析也不是很清晰(可以看看吴汉东的论文),尤其是牵扯互联网之后。我更情愿将我毕业论文中关于虚拟财产的定性搬过来,毕竟,虚拟财产与云计算有很多重合的部分,这又来的我熟悉的领域。甚至我认为云计算都可以算是虚拟财产的一个子集。

对于IaaS来说,更多的是提供一种运算能力和存储能力,通常人们喜欢把使用IaaS比做用电。那么,电在民法中可以被视为物,在刑法中被视为财物,那么,IaaS所提供的这种计算与存储能力应该也差不多吧。IaaS还有一个问题是超级运算能力监管的问题,如果这种硬件能力被用于破解密码,黑客攻击,该当如何?但既然将使用IaaS比做用电,我们没有理由去监管发电厂的电是否去去印假钞,或者是去生产毒品。主要是因为发电厂没有这个能力,但对于数据处理,IaaS提供商却有能力发现其经手数据的内容。是否需要监控?这又牵扯到对用户隐私的监控问题……

在写作关于云计算法律问题的时候,就发现需要首先解决一些虚拟财产的问题,但现实是更基础的问题都没解决,想要探讨云计算中的法律问题缺乏必要的基础,如果要蛮干的话只能是缺乏依据,要不就是导致论文过于冗长。本来打算这篇博客能够给我一个较为清楚的思路,但现在看起来是达不到了。