标签归档:云计算

首例(?)云服务器侵权案:云背后的法律线

  • 案件名称:乐动卓越诉阿里云侵犯著作权案
  • 案号:(2017)京73民终1194号
  • 审理法院:北京知识产权法院
  • 上诉人(一审被告):阿里云计算有限公司
  • 被上诉人(一审原告):北京乐动卓越科技有限公司
  • 裁判日期:2019年6月20日
  • 裁判结果:撤销一审判决,驳回乐动卓越诉讼请求

早在案件一审判决结果公布时,我就从数据角度写过一篇《数据与知识产权分野时》,讨论数据与知识产权的边界:

阿里云作为服务器提供商,在网络世界中所扮演的角色就像是房东一样,对于房客是否在房屋内从事侵犯知识产权的行为没有直接的责任,但也并不是说全无责任,房东在特定的情况下有义务披露房客信息,协助调查维权。如何把握这个度,平衡好信息网络传播权与数据安全就成为了一个关键的问题。

如今案件二审定谳,长达52页的判决书也随之公布,其中有相当的内容值得留意。

继续阅读

数据与知识产权分野时

2017年5月底,北京市石景山区人民法院就北京乐动卓越科技有限公司诉阿里云侵权案进行了一审判决,判决阿里云作为云服务器提供商构成侵权,承担赔偿责任。对于案件本身,因为只是一审,也没有看到裁判文书,所以只能基于新闻报道简单写一点想法,具体的分析也将不涉及案件的具体细节。

一、案情简介

案件的事实大致如下:

  • 原告北京乐动卓越科技有限公司系手游《我叫MT online 》、《我叫MT2》的权利人,2013年1月《我叫MT online》在手机安卓平台上线,2013年3月在苹果IOS平台上线。
  • 2015年8月,有玩家投诉http://www.callmt.com提供《我叫MT畅爽版》的iOS版、安卓版,从该网站下载的游戏,和原告的手游《我叫MT online》,在游戏图标、人物形象、游戏界面、游戏规则、游戏中的文字等方面完全相同。
  • 原告用“Wireshark”网络封包分析软件检测出《我叫MT畅爽版》游戏内容存储服务器的IP地址属于“阿里云”服务。
  • 2015年10月10日、30日,原告两次发函“阿里云”要求删除侵权游戏,并提供“云服务”租赁人联系方式。
  • 乐动卓越认为阿里云的行为构成共同侵权,请求法院判令阿里云断开链接,停止为涉案侵权游戏继续提供服务器租赁服务,将储存在其服务器上的游戏数据库信息提供给乐动卓越,并赔偿经济损失共计100万元。
  • 2016年6月2日,在诉讼过程中,“阿里云”关闭了涉诉IP主机服务,并向法院提供了云服务器租用人信息。

石景山法院依据《信息网络传播权保护条例》 认为:

  • 阿里云作为服务器提供商,虽然其不具有事先审查被租用的服务器中存储内容是否侵权的义务,但在他人重大利益因其提供的网络服务而受到损害的时候,其作为服务器服务的提供者应当承担其应尽的义务,采取必要的、合理的、适当的措施积极配合权利人的维权行为,防止权利人的损失持续扩大。
  • 而纵观全案确认的事实,被告阿里云对于乐动卓越的通知一直持有消极态度,从乐动卓越第一次发出通知,到诉讼中阿里云采取措施,阿里云在长达八个月的时间里未采取任何措施,远远超出了反应的合理时间,主观上其未意识到损害后果存在过错,客观上导致了损害后果的持续扩大,阿里云对此应当承担相应的法律责任。

在《信息网络传播权保护条例》中,规定了“对提供信息存储空间或者提供搜索、链接服务的网络服务提供者,权利人认为其服务所涉及的作品、表演、录音录像制品,侵犯自己的信息网络传播权或者被删除、改变了自己的权利管理电子信息的,可以向该网络服务提供者提交书面通知,要求网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接。”据此,石景山法院判令阿里云公司赔偿乐动卓越公司经济损失及合理费用约26万元。

在案件后,阿里云立即表示要提起上诉,并发表了声明,声称保护用户数据隐私是自己的第一原则,作为云服务提供商,无权审查任何用户的数据。只有在收到司法部门的正是裁决和通知后,才会协助调查。

继续阅读

定义云计算

云计算

美国商务部旗下的国家标准与技术研究所(National Institute of Standards and Technology),前几天发布了一个关于云计算定义的最终版本:在其编号为SP 800-145的专题文件中,将云计算定义为:

Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

This cloud model is composed of five essential characteristics, three service models, and four deployment models.

云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如,网络、服务器、存储设备、应用程序以及服务)的公共集合。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。

这个云模型有五个基本特征,三个服务模型,四个配置模型。

其中云计算的五个基本特征是:

  1. 按需自主(On-demand  self-service);
  2. 隨時隨地用任何網路裝置存取(Broad network access);
  3. 资源集合(Resource pooling),我不确定这样翻译是正确的;
  4. 快速灵活(Rapid  elasticity);
  5. 可监控的服务(Measured service)。

云计算的三种服务模式是:SaaS/PaaS/IaaS,继续了原有分类。SaaS主要指用户使用提供商的运行于云端的应用,可以从不同端口访问,包括浏览器或其他程序界面,比如网页端电子邮箱;PaaS允许用户在云端使用编程语言、库、服务器以及其他工具,而非只是应用;IaaS在云端提供处理、存储、网络等网络基础设施服务。

四个配置模型,没什么好解释的:

  1. 私有云(Private cloud);
  2. 社区云(Community  cloud);
  3. 公共云(Public cloud.);
  4. 混合云(Hybrid  cloud.)。

总之,这应该是目前关于云计算的最权威的定义了,是未来许多研究、写作的基础。

云计算的法律问题

在云端

根据NIST的严格定义:“云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如,网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。”通常来讲,云计算可以被分为SaaS(软件即服务),PaaS(平台即服务),IaaS(基础设施即服务)三类:

  • SaaS是目前最常见的云计算服务,甚至早在云计算这个概念被接受之前就已经广为使用,我们所使用的网页邮箱就是这种模式,无论是Gmail,Hotmail,还是163的邮箱。直接可以使用ICP在云端的资源,随意收发邮件而不用去关心数据存于何方,在本地只需要浏览器即可操作。现在Google Docs,豆瓣FM等一系列在线服务则将越来越多的服务之间送上云端,或许很快连我们的单机游戏都需要在线运行。
  • PaaS较之SaaS并不常见,需要提供一个在线平台,而平台之上需要代码可以运行。典型例子就是Google App Engine,当年上推没少用它。我不能确定Web QQ,iTunes能否算得上是PaaS,但PaaS在云时代应该就像是操作系统一样,也是各大厂商的一大战场。
  • 至于IaaS,这才像是未来科技,所谓用多少CPU资源交多少钱,用多大内存交多少钱,按需使用付费,就像用电那样使用网络上的计算/存储资源。基本淘汰计算机硬件,或许计算机硬件未来只会剩下屏幕、键盘与鼠标,重新回到终端机时代,当然,这需要高速互联网,网速也许会超越现在计算机内部的数据传输速度。最近出现的onlive服务,就是IaaS的典型代表,玩家可以不再使用本机的硬件功能,而直接使用云端的运算能力进行游戏(融合了IaaS与SaaS),那些配置很高的游戏就也能在手机等移动设备上运行。

云计算目前最需解决的法律问题并非是安全、隐私、管辖这些,而是首先云计算是什么,其上涉及哪些法律关系,如果不解决这些问题,那对其余问题的回答只能是不得要领。

无论是哪一种的云计算模式,都至少会存在用户与云提供商,以及网络内容服务商(ICP)。有时云提供商与网络内容服务商是重合的。他们之间通过债权债务关系连接在一起,用户与ICP之间通过用户协议连接在一起,ICP与云提供商也存在合同关系。再一次,用户协议对于权利义务的划分起到了关键作用,但很难找到比这些用户协议更霸王条款的合同了,就算上十次3·15晚会都不嫌多,(更多见《用户协议?谁看啊?》)。

比用户协议更棘手的是知识产权问题,这里不谈“避风港原则”等云提供商可能需要承担的责任,单就云端提供SaaS服务的代码的知识产权,就足够喝半壶的了。这也是SaaS最核心的法律问题,所谓SaaS到底是一种什么样的服务,用户通过用户协议获得了何种权利?

SaaS的云端以软件形式提供服务,云端软件的开发者是软件的著作权人,通过授权或其它许可方式将软件的使用权让与ICP,或其本身就是ICP,而用户通过用户协议使用云端服务。在这个过程中,用户有了云端软件的使用权。

根据一种学说,用户获得云端软件使用权的模式应该叫做“电子出租”,是传统著作权法中出租的上网版(具体参见《网络法律评论(第十卷)》,《SaaS法律问题研究》),但这种观点争议极大.《计算机软件保护条例》中的出租权指“有偿许可他人临时使用软件的权利,但是软件不是出租的主要标的的除外”。这需要满足“有偿”(不一定是指付费),而且在云计算中只是提供部分代码的使用权,就像一栋公寓楼的所有者出租一间公寓一样。但是,还是需要解决这公寓到底是什么的问题,因为出租出去的并不只是无形的软件著作权。

解决这种软件使用权转移过程中的标的问题,首先这种标的物并不能被简单的归为民法中的有体物或者无体物,更何况关于有体物与无体物这两个概念的辨析也不是很清晰(可以看看吴汉东的论文),尤其是牵扯互联网之后。我更情愿将我毕业论文中关于虚拟财产的定性搬过来,毕竟,虚拟财产与云计算有很多重合的部分,这又来的我熟悉的领域。甚至我认为云计算都可以算是虚拟财产的一个子集。

对于IaaS来说,更多的是提供一种运算能力和存储能力,通常人们喜欢把使用IaaS比做用电。那么,电在民法中可以被视为物,在刑法中被视为财物,那么,IaaS所提供的这种计算与存储能力应该也差不多吧。IaaS还有一个问题是超级运算能力监管的问题,如果这种硬件能力被用于破解密码,黑客攻击,该当如何?但既然将使用IaaS比做用电,我们没有理由去监管发电厂的电是否去去印假钞,或者是去生产毒品。主要是因为发电厂没有这个能力,但对于数据处理,IaaS提供商却有能力发现其经手数据的内容。是否需要监控?这又牵扯到对用户隐私的监控问题……

在写作关于云计算法律问题的时候,就发现需要首先解决一些虚拟财产的问题,但现实是更基础的问题都没解决,想要探讨云计算中的法律问题缺乏必要的基础,如果要蛮干的话只能是缺乏依据,要不就是导致论文过于冗长。本来打算这篇博客能够给我一个较为清楚的思路,但现在看起来是达不到了。

“云时代”的法律

云的时代来了,至少是正在来临,作为一项新技术,不可避免的会产生些纠纷,给法律带来挑战。法律有必要提前准备,不至于届时束手无策。但现实残酷,法律目前针对传统互联网带来的问题尚未消化干净,就需要去面对云计算这种更加抽象的互联网模式。

从行政法来说,云计算的出现让传统互联网管理模式显得格格不入,网络审查技术让我们在云时代中很难分到一杯羹,即使是各地大力发展云产业,但如果无法绕开防火长城,大部分数据业务也就只能面向国内,除非像重庆那样建立“云特区”(具体见南方周末的《重庆“云特区”横空出世》,此文貌似已被河蟹),不经审核直接链接国际互联网,否则难以有所作为。

当然这还不是最关键的,译言在一篇译文中提到了“云时代”的三个可能问题:

  • 管辖:其实管辖的问题在互联网时代一直存在,因为数据很容易跨国界传输,但我们毕竟知道数据储存在什么地方,但云计算相对抽象,并不清楚存于何处,甚至可能出现存于多处的现象。
  • 责任承担:我倒不认为责任承担会是一个大问题,因为这个问题在网络时代一开始就已经有了。无论网络内容服务商(ICP)将存储或计算业务外包于何处,用户只需关心其与ICP之间的债权债务关系即可,云存储商(姑且先这么叫着)只是处于第三人的地位,不直接与用户存在联系。但又或许这是一种类似于融资租赁法律关系,ICP相当于中介,云存储商是出卖人,主要法律关系发生在用户与云存储商之间。不过目前我还是更青睐于前一种观点。
  • 知识产权:如果不先解决好我们所谈论的“云”是什么的话,知识产权将会是个大问题。既然已经有观点将虚拟财产视为知识产权,那么将“云”视为知识产权的观点出现也不会奇怪。当然我不认为“云”属于知识产权的范畴,而只是“云”中数据会包括知识产权,这个问题需要以虚拟财产的一些研究成果为基础,我最近在做这方面工作,但愿过程顺利。

上海的游云庭律师也对云计算的法律问题做了些讨论(《云计算的法律问题》),提出了可能面对的问题:

  • 隐私:“云时代”的隐私较之传统互联网并无太多新鲜之处,无非还是两点:1,拓展了隐私的范围,如让我们的浏览记录成为隐私;2,让我们的个人信息更容易被找到,比如“人肉搜索”(见我以前写的《网络时代的隐私》)。密码丢失与ICP利用存储信息带来的法律问题并不比以往更严重。
  • 增值电信商业模式保护的法律空白:相对于传统互联网业务,云计算并未将之复杂化。即传统互联网模式,也会有ICP租用虚拟主机的情形出现。
  • 超级计算能力的监管:这个观点我倒是没想过,引用一下原文吧:“如果谷歌、微软或者IBM、亚马逊等公司可以凭借其强大的分布式计算能力破解这个密匙,实际上意味着他们掌握了一种强大的工具。工具本身是没有善恶之分的,不过如果落入坏人手里,那么这个工具就可能对于社会产生危害。可以想象,如果有人利用云计算的数万台服务器去破解网上银行密匙,国防等机密部门的防火墙,或者象利用肉鸡一样利用服务器进行DDOS攻击,则可能给社会、国防安全带来很大危害。”或许要推行云计算实名制?
  • 开放应用程序接口的法律问题:同样,完全没概念,没想过这个问题。

还有一篇Legal Implications of Cloud Computing- Part One,其中对云计算背景的介绍尤其值得称道。

进入“云”。在云环境下,地理没有意义。云平台或许不能告诉我们数据某时在某地。数据可能分散存储于全世界多个数据中心内。实际上,使用云平台会产生多个数据拷贝,并存储于不同地点。即使是对由个人掌控的“私人云”来说也是这样。这同样意味着云中数据经常会跨过边界,这有很多法律问题。

以上这段提到了“云时代”与传统互联网时代的本质不同:数据飘忽不定。由此,文中提到了云计算可能会面对的法律问题:

  • 多重管辖下的跨境数据传输的法律义务;
  • 法律意义上的“合理安全”;
  • 电子证据的问题。

在没有解决传统互联网法律问题的情况下冒险涉及云计算的法律问题,就像是在学会走路前就学习奔跑,有太多的难题需要攻克。但云计算的出现至少给传统互联网的法律问题研究指了条路——可以成为“云时代”法律问题的基石。