注:初稿创作于2021年7月,原文标题《试论短视频侵权传播过程中相关电信服务商的责任问题》。本文于2023年7月重新修订和完善。由于篇幅过长,预计20000-30000字左右,故分两次发布,第二篇将于明日同一时间发布。
原文本是在短视频信网权侵权纠纷的诉讼背景下创作的职务作品,探讨CDN服务商可能承担的帮助侵权责任。但此次大幅修订文章的原始动力,在于笔者不认同此前“微信小程序第一案”的判决结果,故为文章取了一个更符合本文写作意图的副标题(原标题在下文以粗体形式列明)。笔者希望借用此前的研究成果,更进一步,探寻该判决引发我不满的原始动机和理论基础。
本篇上半部分可能的亮点,在于第二章第(一)点中初步探讨的十种可能引发服务商类型认定困难的新型网络服务提供者,包括:
①域名注册商、公共和私有DNS域名解析服务器;
②CDN服务商高级自定义规则和衍生的数据编辑、编码功能;
③云服务器托管、VDS端口租赁、中转面板;
④云原生方案、Serverless无服务器部署;
⑤虚拟化技术、服务器控制面板和容器编排管理平台;
⑥CMS内容管理系统和黑灰产站群;
⑦其它开源软件及其付费订阅、维护和托管服务商;
⑧公有云盘、网赚网盘和WebDAV协议;
⑨软件应用商店、免安装体验以及APP内部小程序开放平台;
⑩ChatGPT等基于语言模型的AI聊天平台。
这些讨论或许不够严谨和深入,但绝对足够前沿、并且需要一定的技术知识储备。明日将发布的下半篇,引入云计算服务模型,就新型在线服务商对侵权内容的控制能力和注意义务进行抽丝剥茧,期望本文能给大家带来新的灵感。
文章系业务随笔和日常写作安排,并非严谨的论文,故其中存在的错误敬请谅解,期待各位予以勘误。
作者联系邮箱:admin@legalwyy.com
云计算服务模型视域下新型在线服务商帮助侵权责任扩张论
——突破“避风港原则”的神盾
摘要
在作品信息网络传播权侵权链条中,梳理特定纠纷中所涉的各类在线服务商的主体地位和责任承担问题尤为重要,这关乎版权维权方能够在多大范围列明被告主体,全面实现权利救济,同时附带性地获得管辖连接利益,便于实务工作推进。在服务商角色定位过程中,针对现有制度下法定“有名网络服务提供者”分类模式落后的问题,本文试图引入“云计算服务模型(本地部署-IaaS-PaaS-SaaS)”的方法,将新型在线服务商的责任承担可能纳入讨论。在认定服务商侵权责任方面,本文认为应基于服务商特定功能架构或业务模式,具体判断其对侵权内容的控制能力和知晓状态,合理分配注意义务,万不可仅凭“刻板印象”或僵化地按照服务商法定类型对号入座。避免错误判断在线服务商对侵权内容的控制能力,有助于妥善界定服务商在识别和处理版权投诉时的客观能力和实现成本,从而有效缓解“避风港原则”适用的泛化倾向,更精细地解决“通知-删除”规则、红旗标准乃至超越红旗标准在适用过程中的疑难问题。
前言
近年来,作品信网权保护始终是知识产权维权领域的热点,这得益于全球流媒体行业的以及其它作品分发销售市场的迅猛发展。然而,疫情过后,整个互联网内容市场也开始经历一系列发展问题:其一,市场消费端接近饱和,竞争日益激烈,内容成本居高不下,难以获得投资者青睐;提高订阅收费、加强盗版和账号共享打击的计划引发消费者普遍反感和广泛批评;更多人开始选择盗版市场,从而带动该黑灰产业繁荣发展,侵权行为日益广泛,侵权手段和形式不断创新。其二,短视频等下游、碎片化流媒体市场以其信息获取便利、价格低廉的服务优势强势攫取了原本属于传统流媒体服务商的利益,直接侵权的视频与二次创作的解说鱼龙混杂,侵权行为及其带来的损害日益隐蔽。
针对信息网络传播权侵权纠纷,即便是此前的短视频侵权热点,绝大多数学术和实务讨论均着眼于作为“信息存储服务提供者”的短视频平台本身,极少将视野拓展至短视频侵权链条中其它“默默无闻”的网络服务提供者,例如与短视频业务相伴相生的存储服务商、CDN分发服务商乃至基础电信运营商。与此同时,在国内,阿里云“云服务器”第一案、微信小程序第一案首次将新型在线服务商的角色定位问题纳入公众视野;在国外,针对Cloudflare的DNS域名解析服务器下达的版权禁令、美国广播公司 DISH Network 对 CDN服务商DataCamp Limited的诉讼也无不昭示着——那些平时活跃在“避风港原则”保护伞之下更底层的在线服务商,伴随着新型业务模式的不断涌现,将无法在现有的“通知-删除”制度下继续“躺平”。
在以上趋势和大背景下,研究新型在线服务商帮助侵权责任变得尤为重要,本文将从以下几个方面展开讨论:
1、在线服务商的帮助侵权责任体系——以注意义务为基础的过错责任
2、信息网络传播权侵权链条中新型在线服务商的注意义务
3、站在“敏感信息管制”肩膀上的版权侵权内容识别能力
4、“服务器标准”视角下CDN内容分发网络的角色剖析和商业定位
正文
一、在线服务商的帮助侵权责任体系——以注意义务为基础的过错责任
著作权帮助侵权成立的前提条件,是网络服务提供者至少对侵权行为处于“明知”或“应知”状态,此种主观上“知晓”状态,是判断网络服务提供者侵权责任的重要标准——该项规范即鼎鼎有名的“避风港原则”。
(一)“避风港原则”的具体规范
“避风港原则”确立了一系列具体规则,用于将前述网络服务提供者的主观“知晓”状态外化为客观特征,以便在司法实践中展开事实认定。其确立的规则包括:
第一,一般规则,即“通知-必要措施”规则。当权利人向网络服务提供者发出符合法定要求的书面通知,使服务商对侵权内容由“不知晓”转变为“知晓”状态时,若服务商怠于采取必要措施,应承担相应侵权责任。
其中,《信息网络传播权保护条例》(下文称“《条例》”)规定的以下两类“有名网络服务提供者”均适用传统的“通知-移除”规则:
1、信息存储空间服务。该类服务商规模化采购存储介质,构建信息存储空间,用以自行上传资源,或向用户提供资源上传入口借此构建社区化的资源分享平台,用以交互式传播各类UGC、PGC资源。常见的有文字或图片资源在线社区、SNS社交平台、视频在线点播和直播等。
2、搜索、链接服务。通常泛称信息定位工具(包括目录、索引、参考、指针或超文本链接),引用或链接用户到第三方包含各类资源的在线网站。常见的有搜索引擎、以深度链接为基础的资源聚合服务平台等,也可涵盖基于P2P协议的资源分享站(包括公开的BitTorrent、eMule资源站点和社区化的PT站)。
第二,例外规则,“红旗标准”和“超越红旗标准”。若服务商提供服务中的侵权内容十分明显,以至于任何理性人都能发现和知晓;或其商业模式本身大概率引发或诱发侵权,例外地提高了平台注意义务,而平台未尽到与其商业模式相匹配的注意义务之程度,则排除“避风港原则”的适用 。例如,某个以高清电影资源分享著称的PT站点,无法凭借其“仅提供搜索、链接服务”的服务商定位,主张其适用“避风港原则”,因其资源站主页充斥着如“红旗”般耀眼的、明显侵权的内容。若依照“超越红旗标准”,也可以说,其站点从设立目的、捐赠、广告盈利模式以及社区规则多方面看,就是为了未经授权提供影视作品盗版片源而生,同时依靠版权侵权谋生。
第三,一概免责的情形。若服务商对侵权内容本身无法控制,或无法具体定位侵权内容,进而不具备“知晓”的可能性,也不具备在收到侵权通知后制止侵权的可能,此时不能适用前述三种规则,应当直接认定其不承担侵权责任。其中,《条例》规定的以下两类“有名网络服务提供者”适用该免责情形:
1. 自动接入、传输服务。其根植于DMCA中“瞬态数字网络通信(Transitory Digital Network Communications)”的概念。按软硬件分层来看,最底层的“接入”及“传输”主要是指国家基础电信运营商、获得相关电信业务经营资质的企业提供的网络接入和传输服务,是用于互联网数据通信的公用和私有基础设施。这些服务商通过符合行业标准通信协议的硬件设备和软件,根据资源传输发起者和接受目标的指令,自动提供相关服务。“自动”,即排除自行干预和选择传输内容、传输目标的可能性。与此同时,在OSI模型的物理层之上,从数据链路层、网络层、会话层乃至应用层,都可能有符合自动接入、自动传输特征的应用实例;例如各类VPN协议及相关软硬件服务(自下而上分别有:PPTP、L2TP、MPLS、IPsec、Socks、SSL等隧道协议)。
2. 自动存储(为提高网络传输效率的缓存)服务。所谓“自动存储”,实则对应DMCA中的System Caching,实务中常以“缓存”代称;其涉及的最典型业务模式,在纵向上包括电信运营商为节省跨运营商间骨干网传输压力或费用建立的缓存服务(例如“长城宽带”的缓存系统),横向上则有辐射全国各行政级别的骨干网、交换节点之下的CDN机房和边缘加速节点。
(二)侵权责任的评价基础:侵权内容的控制能力及注意义务理论
我们发现,前述规则并非孤立存在,而事实上基于同一套评价体系:即以对侵权内容的控制能力和注意义务为基础的过错责任评价体系,这一体系通常分两步走:
首先是注意义务的前提,即网络服务提供者对侵权内容本身具有识别、定位和控制能力。在网络服务提供者对内容具有控制能力的基础之上,再根据其对侵权内容“明知”或“应知”的现实可能性确立“合理注意义务”。在无权利人通知之情形,平台对侵权内容识别可能性越高,其注意义务越高,在怠于履行注意义务的情形下,越可能成立帮助侵权,且承担的侵权责任也越重。在有权利人通知之情形,人为制造了平台对侵权行为的“知晓”状态,因此例外地给平台附加注意义务。
将“注意义务”作为侵权主观认知的衡量尺度 ,其价值在于探讨《条例》未列明的其它网络服务提供者的侵权责任认定问题。在认定《条例》规定的四类“有名网络服务提供者”之责任时,《条例》已作详尽规定;但对于法律地位不明的服务,既有规则就显得捉襟见肘了——这也是本文将新型在线服务商作为研究对象的真正难点。
二、信息网络传播权侵权链条中新型在线服务商的注意义务
诚然,于法律条文直接规定几类主要的网络服务提供者责任,能够降低司法实践中对主体类别进行认定的难度;然而,这种法律上分类早已和当前互联网经济的运行模式“脱轨”。如下表所示,大众所熟知的“信息存储空间服务”、“搜索链接服务”、“自动接入、传输、存储”服务分别位于互联网业务服务层级的最顶层和较底层,然处于中间地带的大量服务商的法律地位和责任认定问题并无特别条款可循。
(一)现行法中网络服务提供者分类方法的弊端
《条例》的分类方法,实则是推定:层层嵌套的互联网服务提供者在各层级各司其职,并且孤立存在,其隐含了两种方向上假定:
第一,位于应用层级的服务商必然不控制更低层级的服务内容、或者说更低层的服务商必然是由其它非关联实体提供,进而直接得出其无注意义务或不可能识别侵权内容的结论。
第二,提供接入服务的基础设施供应商必然不会往更高层级的业务领域拓展和渗透,进而获得超乎寻常的、对内容的控制能力。换句话说说,人们一般认为,底层服务商其对高层级服务商提供的基础设施服务仅限于“酒店式公寓出租”的水平,将基础设施打包出售、出租后即不再控制其用途。
这种假定,事实上导致了殊途同归的后果——对于该类“基础设施服务提供者”,在认定责任免除和减弱“通知-删除”义务方面出现泛化倾向。人们先验地认为,可能因注意义务之违反承担帮助侵权责任的在线服务商仅限于“应用软件”层级的经营者——平台内容的直接管理者;而一旦涉及底层组件或与“基础设施”一词稍稍沾边的主体,如服务器、硬盘、网盘、缓存服务、应用商店、云服务开放平台,人们便大概率联想这类主体无法控制侵权内容,进而将其归为类似于“网络接入”的底层服务商范畴,免除其在任何条件下的侵权责任。事实上,这种“和稀泥”式的归纳并不符合《条例》本身的含义,也未必跟得上互联网行业的发展潮流。
以下将举出十例服务商类型判断上的疑难案例:
1、域名注册商、公共和私有DNS域名解析服务器
一般认为,DNS协议系互联网运行的基础协议,其与IP网络协议的底层地位不分伯仲。AS自治系统宣告IP地址前缀,BGP边界网关协议交换各自治系统路由表以敲定数据包最终访达IP地址的路径。域名注册商提供域名租赁和交易,供各类服务商注册作为其网站的友好型访问地址,DNS解析服务器最终负责域名信息与目标IP地址的映射。这一系列复杂过程,均是基于行业标准通信协议,根据上下游指令自动控制的,因此似乎完美符合“自动接入、传输”服务的特征。
但细看全球版权治理趋势,我们发现DNS服务商甚至是域名注册商也开始成为DMCA通知的“收件人”,他们被纳入“通知-删除”规则的辐射范围,甚至在一些国家出现了针对域名的版权禁令。DNS服务器已经成为全球范围内越来越普遍的反盗版工具。
希腊互联网侵犯知识产权通报委员会(EDPPI)自2018年开始决定对违反希腊版权法的网站域名,向DNS域名解析服务提供商发起阻断命令。
在意大利,当地音乐唱片集团FIMI和反音乐和多媒体盗版联盟FPM对Cloudflare的域名解析服务发起了版权诉讼,意大利米兰法院在当地ISP已阻断涉案网站的基础上,进一步同意版权人针对 Cloudflare DNS 解析器1.1.1.1进行域名阻断的诉求,以阻止人们通过修改DNS解析地址绕开盗版网站阻断限制,CloudFlare的上诉也于2022年底以失败告终。
2、CDN服务商高级自定义规则和衍生的数据编辑、编码功能
一般认为,CDN提供的内容分发服务所涉加速节点以及边缘网络均属于“自动存储”和“自动传输”的范畴,应当免于“通知-移除”规则的困扰。传统意义上,这种法律判断并无可苛责之处。
CDN的作用原理大致有两种,一种是修改网站或服务域名的CNAME解析记录,用以在域名解析层级便直接将用户请求重定向至CDN服务商控制的加速节点;另一种是类似于Cloudflare的反向代理技术,其实现了CDN加速与域名解析服务的整合,无需配置CNAME,便可使用户一键隐蔽其源站服务器,利用Anycast技术实现其全球边缘节点的部署和内容分发。
CDN服务商很大程度上成为了众多跨国影视作品盗版商的抗投诉盾牌。利用全站CDN反向代理,可以有效防止源站被立刻定位(但仍难逃服务商最终依据DCMA通知提供源站IP和身份信息的结局)。对于技术能力不足的版权人,利用CDN服务商的Anycast任播技术可以有效拖延维权方定位盗版商所在地区的速度。
与此同时,CDN服务商早已不再满足通用的CDN加速业务,而是进一步提高其业务的层级,在单纯的数据自动缓存和传输基础上实现了诸多高级功能。
例如,Cloudflare有着极为丰富的CDN资源托管自定义规则,可以实现精细化的Web托管内容调整和自适应,光Rules菜单栏内便有Page Rules、Configuration Rules、Transform Rules、Redirect Rules、Origin Rules等配置选项,它们可以实现URL统一资源定位符的任意字符的细粒度控制,基于访问者的地理位置、访问终端和其它特征个性化用户体验。针对图像和视频加速服务,Cloudflare Stream 与 Cloudflare Images不再满足于原封不动传送数据,而是可以根据客户需求优化图像、实时编码视频数据流,支持VAST视频广告服务模板,并为用户提供了灵活的API接口进行调用。很大程度上,当前的CDN产品对其传输的内容拥有了极高的控制能力。
在前述行业发展趋势下,面对版权投诉,CDN服务商将很难再以“版权禁令过于宽泛”为由拒绝执行阻断要求,因为它们有能力将控制范围细化到域名hostname之后的任意URL路径,根据特定字符串过滤CDN传输,这甚至赋予了CDN服务商阻断特定侵权视频流的可能。
2023年7月,英国 CDN 公司 DataCamp Limited 未能在美国法院驳回一起价值 3250 万美元的版权诉讼,法院认为第三方侵权IPTV服务商与该被告CDN公司的利润之间建立了因果关系。法院发现,当盗版 IPTV 服务盈利时,就会吸引更多的盗版者使用 DataCamp Limited 。这一判例昭示着,CDN服务商与其客户之间的商业关系应当具体判断,不能一概依其“自动存储”的法定身份,拒绝讨论其可能需要负担的注意义务。
3、云服务器托管、VDS端口租赁、中转面板
一般认为,云服务器托管商向用户提供的是计算机硬件资源租赁服务,因此该业务特征正中前文“酒店式公寓”论者的下怀。“酒店式公寓”论中,云服务器供应商的业务看似是提供机器后便放任不管,但这和云服务器托管商的实际控制能力大相径庭。
事实上,云服务商对其提供的VPS有着极强的控制能力。尤其是国内云服务器供应商,基于“数据安全”的需要普遍在平台提供的云服务器操作系统镜像中预植入了监控程序和防病毒检测工具。从技术上,只要掌握服务器物理设备的控制权,就可以决定这台机器上运行的宿主机操作系统的生死,可以随时关机、注销、格式化硬盘、操作系统重装、拔线。依靠虚拟机群控技术以及预先植入的监控软件,云服务商对用户使用的操作系统内部也可以进行极为精细的监控和管理,其对系统内部状况的控制能力甚至可以在某些条件下高于购买云服务器的用户。近年来国内服务商针对用户在服务器上安装的代理软件具备快速知晓和干预能力的报道,便是云服务器供应商强大控制能力的缩影。
更戏剧性的是,当前国内云服务商的垄断模式和国外云服务器市场状况也大为不同。一旦用户选定一家云服务商的服务器,那么映射至这台云服务器的域名也必须由该服务商旗下的DNS域名托管平台“收入麾下”,托管域名的租赁者和服务器使用者的身份识别都由统一的实名人脸验证系统一一匹配,审核极为细致。如前所述,连DNS域名托管服务商都开始涉猎“通知-删除”规则,处理版权投诉,更遑论对用户内容细粒度访问控制的云服务器托管商了。若依照学术和司法实践上人们对版权投诉内容屏蔽范围过于宽泛和不经济的担忧,我们看到,域名屏蔽是比云服务器阻断更加宽泛且危险的禁令,因为二级域名的屏蔽会波及包括该二级域名在内的其它所有域名(三级乃至更下级域名),而这些域名可能是其它合法服务的基础;但就云服务器实例而言,业内基本上专租专用,侵权服务不大可能和其它合法服务混用;即便混用,也可以灵活迁移其中的合法服务至其它服务器,不受波及。换言之,域名就好比人的名字,失去了它便失去了以往附着在其之上的商誉和潜在价值;但服务器是随时可以替换的“备胎”。而司法实践上,阿里云“云服务器第一案”涉及的游戏私服侵权纠纷,帮助云服务器面向公众树立了一种奇怪的印象——云服务器对用户内容控制能力低,且一概阻断整台机器会波及合法内容。因而,在法律论证上,他们往往能够享受“低注意义务”的抗版权投诉优势,这种认定取向与国际上“避风港原则”适用的收缩趋势截然相反,势必在未来会面临更多学术上、司法实践认定上的冲突。
此外,除了云服务器业务,在国内外还有层级更高的VDS实例、流量中转面板等。在这些业务中,其网络资源销售的细化程度更高,一般按照有限的端口数量出租。VDS端口租赁业务中,用户至少具备虚拟化操作系统的控制能力,但对于其可以使用和面向公网开放的端口,则存在限制。流量中转面板进一步限缩服务功能范围,用户无权获得操作系统控制权限,不能运行二进制程序,只能使用服务商预先配置的中转管理面板,将服务商提供的服务器用作流量中转服务器,例如购买流量中转获得B机器的数个端口的端口转发权限,用以将机器B的特定端口映射至服务器A。对于流量中转服务,其虽然维持了网络服务器资源销售的服务形式,但是对用户的控制能力达到了PaaS平台层软件级别,甚至可以视作SaaS终端软件服务。
4、云原生方案、Serverless无服务器部署
更夸张的是,近年来互联网行业涌现了一种新型服务——服务商提供了更具吸引力的PaaS级别的产品,可供开发者和用户在其托管的云上直接部署服务、编写和发布应用程序。具体来看,云原生服务商自行掌握数量众多的云服务器,他们并非像云服务器托管商那样直接把云服务器或服务器内部虚拟化操作系统的访问权限提供给用户,而是事先部署好操作系统并帮助用户搭建网络应用开发所需的基础组件、运行库、中间件、数据库等,用户无需维护基础应用层,只负责开发终端应用程序即可,后续的运行所依托的前述基础层资源也由服务商维护。
前文提及的Cloudflare便早已涉足该领域。用户通过使用 Cloudflare Workers 和 Pages 可以构建和部署Serverless无服务器功能、站点和全栈应用程序。这意味着,Cloudflare在此种业务中根本不再仅仅充当CDN服务商,而是变成了PaaS层级的云原生供应商,用户依靠Cloudflare节点和边缘网络服务器即可构建应用程序,而无需另行配置服务器。
云原生市场已经有大量服务商涌现,包括但不限于:Netlify、Vercel、GitHub Pages、Firebase Hosting、Surge.sh等等。
该类服务很难从版权法上准确界定其服务商类型。首先它们不属于存储空间服务提供者,因其主要提供云上的数据库、对象存储、运行库和中间件,而这些均是应用程序构建和运行的基础组件,并不是终端应用,其面向上游服务开发者,并不直接作用于终端内容发布者(普通用户)。其次,它们明显不属于搜索、链接服务,也不是接入、传输和自动存储服务,因为它们提供的是一套完整的云计算部署方案,同时具有内容长期托管、存储和分发功能,根本不限于最底层的数据自动处理。
5、虚拟化技术、服务器控制面板和容器编排管理平台
该类服务商可界定为软件服务商,它们虽然归属于应用层级,但依旧是面向开发者,是用于服务器管理和运行的组件。它们虽然不直接面向公众提供内容,但系直接控制终端应用程序的软件之一。与云服务器托管商、云原生供应商相比,它们不负责服务器资源的提供和操作系统的安装,而系提供操作系统之上的软件服务。
虚拟化技术提供将一台云服务器拆分为数个虚拟化操作系统的能力,广泛为云服务器托管商使用。典型的有VMware ESXi、Microsoft Hyper-V、KVM等等。
容器化技术是一种轻量级虚拟化技术,它利用操作系统层面的虚拟化功能来隔离应用程序和其依赖的运行时环境,常见的有Docker、K8s、LVM。利用Docker,可供人们自行托管的应用软件,可以以容器镜像的形式分发、升级,运行过程中具有独立的运行环境。
服务器控制面板是面向服务器运维人员的工具,软件内部提供基础软件的安装和各类应用(主要用于控制和维护服务器)的安装。在基础软件层面,服务器控制面板提供数据库、中间件、运行库的安装、维护和管理,例如php、Nginx、MySQL、Java、Python等等。在应用软件层面,控制面板可以植入第三方开源应用软件,基于二进制或者Docker容器提供一键安装服务。类似的控制面板有宝塔面板、Plesk、1panel、cPanel、DirectAdmin、Webmin等。
虽然用户几乎可以自行决定和控制这些软件如何运作和帮助其实现业务,但是这些服务商提供的产品往往具有成熟的免费和商业许可使用政策。对于大客户,这些软件开发商能够与上游开发商实现紧密合作,其许可政策基本上基于功能限制分层设计,随着其用户业务规模的扩大,服务商可以提高其软件服务费。因此,倘若这类服务商的客户开展的是版权侵权业务,那么他们也可能面临注意义务和收到版权投诉通知后删除内容的义务。
6、CMS内容管理系统和黑灰产站群
更进一步,在服务器控制组件之上,CMS服务商终于开始接触内容本身。CMS(内容管理系统)是指一类用于管理、发布和维护网站内容的软件系统。它允许用户通过简单的图形化界面来创建、编辑和组织网站上的内容,而无需编写代码或进行复杂的技术操作。这类管理面板一般基于php和数据库软件作为其运行基础。Web内容管理系统的角色,就好比抖音和快手公司用来管理其短视频APP平台用户发布短视频内容的后台,管理员可以通过CMS系统审核任意内容的发布、删除和任意编辑内容。
但在互联网发展历史中,一些CMS内容管理系统的商业模式,是建立在黑灰产之上,故有望成为学术上“超越红旗标准”的典型。该类CMS系统主要用于提供盗版影视作品和色情影片的交互式播放服务,其核心包含CMS系统、资源站和广告联盟。
第一,CMS控制面板。盗版和色情资源提供者若要公开提供服务,原本需要自行充当前端和后端开发人员,挑选合适的中间件和数据库制作网站、管理面板,这种高门槛往往让新入门的违法分子望而却步。“苹果CMS”破除了这种障碍,人们只需要在云服务器中利用控制面板部署基本的数据库和中间件环境(这些部署过程基本上是一键“傻瓜式操作”),随后在指定路径上传从各种渠道发布的CMS站点程序源文件,配有前端和后端的整套内容系统能够在短时间内搭建完成。
这类CMS系统是网络应用软件,面向公网提供,因此有被网络攻击的风险,开发人员需要不停地底层代码维护、漏洞更新、功能迭代,因此产生了会员订阅或一次性购买的商业模式。只有盗版商付费买他们的VIP服务,才能正常使用CMS 系统,或获取最新的功能和安全更新。虽然许多站群式部署盗版网站的人直接使用现成的CMS方案,但更高水平的盗版商往往有自己的开发团队。
第二,资源采集来源API。有了CMS系统,相当于拿到一个完全空白、没有任何内容的空壳子,但这个空壳子有完整的网站功能:在前端有导航栏、内容分类等;而在CMS系统后端,有配置内容来源的接口。以站群作为其主要商业模式的盗版商往往不会自行上传盗版资源,而是利用后台系统提供的资源采集选项,在其中填入各大现成资源站的API接口地址,就可以在CMS空壳里根据预设的样式自动呈现影视作品。这些影视资源以url的形式存在,其来源大抵是采取技术破坏措施获取到优爱腾等巨头视频公司的视频流媒体直链,解析出m3u8流媒体播放列表文件,打开m3u8文件,就可以自动根据文件内容播放由大量.ts文件组成的流媒体;而最终体现在用户面前的就是完整、连续的作品。由于资源站爬取、解析资源需要消耗大量服务器资源,为了填补成本,他们往往以灰色地带广告牟利。
第三,广告联盟。一般独立于资源站维护者、CMS系统维护者,但是这三者互通有无。由于CMS前端的运营方很可能是“小白”,他们不善于自行构建广告代码,所以此时仍依靠CMS系统维护者预先提供的广告位模块,运营小白在CMS系统选项里填入广告联盟的代码,便可自动实现广告植入,并在第三方广告联盟的结算系统中,通过灰色结算平台提取收入。
总的来看,CMS面板的供应商,在功能设计之初就意在为盗版行业和色情产业人员提供完善的管理平台。但他们不直接提供盗版内容,不干涉广告投放,他们显然不是存储空间服务提供者。他们也不像BT站点那样,无法被纳入搜索、链接服务提供者,因为在盗版商在为他们量身定制的CMS系统填入盗版资源采集来源前,CMS面板是一个空白的管理网站,其形式上具有技术中立地位。然而,综合判断该黑灰产业的商业模式,不难判断,这类CMS供应商的盈利建立在数以万计的盗版和色情资源站群,这些群站都是用CMS系统管理,业务规模越大,他们的盈利便越可观。因此,虽然无法准确定性他们的服务类型,但明显可以适用“超越红旗标准”,排除“避风港原则”的适用。
7、其它开源软件及其付费订阅、维护和托管服务商
该类服务商并不是纯粹的软件供应商,而系存在双重角色,它们所涉猎的功能范围极广。例如,开源软件如远程控制软件Rustdesk、图床软件Chevereto、网盘NextCloud和可道云等等均分发有二进制程序供用户自行安装托管。在此基础上,这类开发商也提供解除功能或使用限制的闭源托管订阅版本、付费维护和咨询,乃至商用云上托管功能。
这类开源软件可以被用来实施版权侵权行为,但明显不具有像前文所述“苹果CMS”系统那样显著的黑灰产性质。同时,他们和普通CMS系统一样,可以直接被作为UGC和PGC分享平台交互式提供资源,例如利用开源软件直接搭建类似知乎、微博的网页程序(很多成熟的开源项目甚至有完善的多平台方案,移动端APP功能成熟)。更有一些项目可以直接被用以提供网络广播推流(如AzureCast)、可以提供公开的音乐资源库或私有音乐库分享(例如FunkWhale、AirSonic、SubSonic、Nvidrome)、可以发布视频和推流直播(如PeerTube、Stash、Fireshare)、可以共享盗版资源影视库并提供解码推流(如Plex、Jellyfin、Emby),他们是与版权侵权行业息息相关的应用。
这类服务商与CMS系统一样,其定位同样面临难以界定的问题,他们神似真正的Web应用和APP,却只提供内容为空、但架构和功能完整的内容托管平台,最终的侵权资源将由用户自己提供。但他们的商业模式也有被排除“避风港原则”的可能性,例如与大客户在特定侵权业务上展开紧密的商业合作,或为其提供系统运维,甚至帮助其云上托管整个应用,这时难免在软件服务交易过程中,对其客户业务的合法性负有适当的审慎注意义务。
此外,还有一类开源软件可能例外地和影视剧盗版行业具有紧密联系,主要是一系列围绕PT站点的管理软件。典型的有nastool、IYUU以及浏览器插件PT-Plugin-Plus等。它们系围绕PT站点资源建立的衍生账号管理、资源聚合搜索软件。如果说私有PT站点是侵权资源搜索、链接服务,那么前述软件便是搜索服务之搜索,链接服务之链接,事实上成为变相的PT站点第三方客户端。这得益于众多PT资源站使用的标准论坛程序NexusPHP等现成方案,资源上传下载遵循通用协议,在和账号管理、资源搜索相关的API通信接口上也可实现统一,因此实现不同站点的资源聚合极为方便。其中,nastool还提供了更多高级功能,诸如链接本地影视库软件(Plex、Jellyfin、Emby等)、BT下载文件软链接至影视库路径(以此使用户获得保种和媒体库刮削的双重优势)。这类围绕在PT站领域的生态,均应提防侵权风险;开发者需要注意,和PT资源站中的免责声明一样,他们在任何位置放置的声明都将无法挽回“被排除适用避风港原则”的惨淡命运。
8、公有云盘、网赚网盘和WebDAV协议
公有云盘的“公有”性质,反映其不接受用户自行托管或基于客户特殊需求提供定制化商业托管服务的特征。公有云盘是面向不特定公众提供标准文件资源托管的服务商——用户注册账号,购买会员,享受特定大小的存储空间,并使用PC端或手机APP应用软件执行上传和下载操作。我国云盘市场当前几大巨头包括:百度网盘、阿里云盘、天翼云盘、蓝奏云腾讯微云、坚果云;还有一些“吃相更难看”的网赚网盘,包括“城通网盘”等。
学术和司法实践上,公有云盘被认定为信息存储空间服务提供者,这种认定不存在太大分歧。司法实践中,MD5值作为适格的侵权通知方式并未一概获得所有法院认定,但已成为不可逆转的发展趋势。这不禁让我们思考,公有云服务商对于用户托管文件的控制能力已经到了非常强大的水平。但此前仍见零星法院认为,公有云面对MD5值的侵权通知,审核义务过重。这种判例仍然偶发,充分说明,涉及该领域技术发展程度和业务、商业模式的基本常识仍须继续普及。
与此同时,云盘市场正在出现一些业务模式变化,值得关注。
第一,网赚网盘兴起。当前许多订阅软件破解资源聚合站点一般不再提供本地文件存储,而是借用第三方云盘服务商提供侵权盗版软件。这些盗版资源聚合站点除了采用广告方式盈利,同时和各类网赚网盘合作,盗版软件上传者向网赚网盘服务商支付VIP费用获取不限速上传速度和大容量存储空间的特权,其发布的侵权资源具有显著的速度限制和广告等待时间限制。例如,某学生想要下载破解版Xshell终端软件,访问某资源聚合站被诱导点击网赚网盘分享链接,为了尽快获取和使用软件,他支付会员费解除限速并跳过广告等待时间。网赚网盘服务商获得收入后会与前述盗版资源聚合站点,即盗版资源上传者分成。此种商业模式明显应当排除“避风港原则”的适用。
第二,WebDAV协议使公有云盘的非实质性侵权用途发生了动摇。目前国内知名云盘中,支持WebDAV协议的主要有阿里云盘和坚果云。用户可以基于开源云存储管理软件Alist和zfile,在第三方Web应用中映射公有云私人账号内文件目录,支持以推流形式交互式播放侵权资源。阿里云盘在内测、公测和提供服务初期,以不限速为卖点吸引大量用户使用,相当规模的用户乐于使用阿里云盘分享侵权资源。与百度网盘类似,阿里云盘亦提供了较好的视频推流播放支持。在Alist和zfile的辅助下,盗版资源商可以利用公有云售卖充斥盗版影视资源的账户,但他们无需直接提供公有云账号密码,而是售卖Alist和zfile访问权限,基于WebDAV协议与公有云的文件访问和读写接口进行通信和交互,侵权资源账号购买者登录后,可以获得不俗的侵权影视作品交互式播放体验。“太阳底下无新事”,公有云服务商初期经常利用这种侵权资源流通优势获得广泛的“图便宜”用户,用户尝到甜头,习惯了这种使用方式后,随后再出尔反尔,将初期“永不限速”的承诺抛诸脑后。这种商业模式的喜剧效果不免使人联想起“XX可能会倒闭,但永远不会变质”的笑料。
9、软件应用商店、免安装体验以及APP内部小程序开放平台
PC端、Android和IOS平台的应用商店,在涉及分发侵犯著作权的APP时往往为版权维权方纳为原告,便于原告获得额外的管辖连接利益。同时,包括微信小程序、支付宝小程序在内的应用商店中,其公开的下载信息、APP热度往往能够很好地证明侵权内容的覆盖范围,进而合理预估侵权人的侵权行为恶劣程度以及版权人的损失。
在相关诉讼纠纷中,无论是否获得认定,我们一般主张软件商店作为信息存储空间服务提供者,应与侵权APP服务商共同承担帮助侵权责任。但严格意义上,软件分发服务商对终端软件的具体内容仅具有极其微弱的控制能力;在整个侵权法律关系中,侵权APP作为UGC管理平台便可能已经属于帮助侵权范畴,那么软件分发服务商和终端用户直接又隔了一层“帮助犯”,显然和用户直接侵权行为风马牛不相及了。
但这种法律推定很大程度上和事实不符。软件分发服务商的技术中立地位受到影响,至少可以从四方面进行论证:
其一,软件分发服务商具有付费推广的服务。和搜索引擎竞价排名类似,出价越高的APP可以获得搜索结果靠前的席位。基于商业收费,软件分发服务商对于上架的APP须具备更审慎的注意义务,由于应用商店和搜索引擎在搜索方面的付费业务模式类似,因此前者的注意义务至少应当和搜索引擎在涉及竞价者实施“搭便车”等不正当竞争行为的注意义务相匹配。
其二,软件分发服务商建立完善的审核流程。越来越多的软件分发服务商开始依据相关法律和行业通行标准制定APP上架政策,并执行有完善的APP审核流程。至少对于Google Play和Apple Store而言,它们对商店内APP的内容具有当然的控制能力;根据政策,它们可以决定APP内容是否符合政策,进而决定其能否上架,并可以不断提出具体的修改要求。
其三,软件分发服务商开始收取支付结算服务费。对于付费APP,软件分发服务商还经常强制性捆绑支付结算服务,从APP获得的收入中分成,收取一部分手续费或服务费。因此,软件分发服务商与软件服务商建立了越来越紧密的联系,这促使应用商店难以再维持对侵权内容“事不关己”的心态。
其四,软件分发服务商正在拓展其业务模式,逐渐发展云原生、开发者开放平台,提供功能繁多的API接口,提升用户和小程序的交互体验。例如OPPO开放平台的“快应用”、华为应用市场“小程序”、微信APP内的小程序、支付宝和淘宝APP内的小程序。这种业务拓展形式具有很大的迷惑性,以至于笔者认为,“微信小程序第一案”中的相关认定和意见出现了诸多技术上和业务认识上的错误。
作为互联网法律行业从业者,无论是学者、律师还是司法机关,应当认识到一个商业规律——当一个互联网行业诞生全新的市场或者业务模式时,那么必然意味着其有利可图,互联网企业获得附加利益的来源无非就是流量、广告和增值服务,而这些都需要业务功能模块的迭代。我们当冷静思考,为什么应用商店不遵循传统的业务模式,仅仅提供现成的软件分发服务,充当合格的“搬运工”;而是竞相推出开放平台支援新型免安装的“小程序”形式?为什么微信、支付宝不仅仅选择完善用户聊天信息中的链接跳转能力,根据用户指令跳转到第三方APP;而是偏要构建一个令人眼花缭乱的免安装的“小程序”栏目,把用户留在各自APP界面内部?
答案不言而喻,这些服务商都意在利用其规模巨大活跃用户数和强大的用户粘性实现商业变现,吸引第三方在线服务商附着在其已经建立的生态之上,共同为用户创造移动端APP界面交互的全新体验。对于微信、支付宝和淘宝等服务商而言,他们已然成功在互联网传统广告业务双边市场基础上,构建了一个新的双边市场,小程序开放平台由此制造了有利可图的商业需求,其至少对第三方服务商有四种层面的吸引力:
①第三方平台可以借助开放平台所拥有的用户规模快速吸引流量,实现业务拓展和商业变现;
②这种服务上架方式解决了传统应用市场审核上架流程繁多缓慢的问题,降低了服务分发和广告成本;
③第三方服务商开发人员基于小程序开放平台提供的Web技术实现了极强的通用性、兼容性和快速迭代的优势,为用户提供了整齐划一的稳定体验;
④整合运营工具(小程序数据助手、We分析、体验分析)给小程序提升拉新、留存、付费转化率提供了极大的助力,小程序开放平台深度参与了每一个小程序的运营始终。
那么,从盈利模式回归正题,微信小程序开放平台和小程序开发者之间,前者真的是接入服务提供者的角色吗?实则不然。前文所述“小程序”的三种优势对第三方开发者而言必然有相应的代价。而这种代价对于小程序开放平台而言,便是盈利的关键。
首先,基于小程序平台存量用户和快速上架优势“搭便车”要以技术服务费为代价,否则就成了商业不正当竞争。从资质审核上,小程序开发者就要付费通过审核流程。其次,微信云开发使用“基础套餐+按量付费”的计费模式。每个环境需先购买带有一定资源配额的基础套餐,超出套餐配额的部分可选择按照实际用量进行付费。由此可见,微信等在线服务商利用其用户垄断优势,成功发掘了传统应用分发服务商难以想象的变现角度。这种变现能力的提高,当然会给此类小程序开放平台带来附加的注意义务。
其次,小程序带来的用户体验提升和开发优势都是由小程序开放平台提供的功能接口带来的。具体而言,微信小程序对用户有吸引力的关键在于,用户扫描特定服务商二维码直接跳转到其开发的小程序;当用户使用小程序时,他们可以一键授权自己的微信用户信息、地理位置信息供小程序服务商使用;其次,小程序的商业付费模块可以直接唤起微信支付功能;此外,小程序可以实现用户和好友的互动……这些都只是冰山一角,不妨前往微信开放平台细细品味相关技术文档和平台能力,其中的组件和API功能接口和数不胜数,而这些能力的使用是需要付费的——access_token是最基本的计费量化标准。此外,小程序还提供了云原生能力,不仅支持云函数提供计算资源、中间件、运行库、数据库,还提供了对象存储和CDN等存储、传输服务,这显然和前文所述的“云原生”平台有异曲同工之妙。这些能力均说明,微信小程序开放平台的业务层级早就超越了基础软件层,甚至大有将其功能模块植入第三方小程序之趋势,并深度参与第三方小程序运维。这种紧密的商业关系、对第三方应用用户体验无孔不入的控制能力,怎么可能仅仅是提供“接入服务”的水平?
最后,小程序开放平台完善的运营工具,得益于其深度参与第三方小程序功能模块开发和业务运转始终。以最正统的“接入服务提供者”——基础电信运营商中国电信为例,软件服务商是不可能依靠运营商收集的数据包传入传出日志来分析应用层运营数据的,这正是因为中国电信所处的服务层级过于底层,其作为通信“管道”不具备解密和修改在管道内传输的数据的能力,更不可能实时捕捉用户操作小程序时具体做了何种操作。但小程序开放平台则不然,由于大量开发者在构建小程序时使用的是微信提供的PaaS层级的云原生组件,而更显而易见的是,小程序都是运行在微信等小程序开放平台服务商的UI之内的,因此一切数据都尽在开放平台手中掌握。
此外,小程序的运转均基于微信内置的浏览器,这种访问渠道限制是人为的、排他性的,小程序只能通过微信开发和控制的浏览器引擎浏览,小程序呈现的内容不可避免地被微信服务商掌控。
在浏览器的唤起方面,微信可以实现用户点击链接的合法性判断,对于非常规端口、被列入灰黑名单的链接,能够有效阻断用户访问。
用户若在第三方浏览器访问小程序链接,微信小程序平台可以根据User Agent字符串和Cookies等信息匹配妨碍用户在脱离微信控制的情况下访问小程序界面,此这种信息呈现渠道的垄断是显而易见的。
与此同时,对微信内置浏览器所呈现的网站内容,微信当然地具备信息监控和信息收集能力。作为互联网信任基础的HTTPS,标准通信协议和相关安全协议无条件信任用户所使用的浏览器。
因此,可以看到,从来没有一种形似“管道”的“基础设施服务商”,可以在一个第三方程序的生命周期内,从开发人员资质审核、开发、基础组件调用、计算、存储资源销售、运行、运维、费用支付、业务运营数据分析,到用户触发、用户使用的全过程做到如此高权限、全链条的控制程度。
综上分析,微信小程序平台非但不能以“避风港原则”拒绝或疏于履行注意义务和接到侵权通知后移除义务,反而应当至少比照云原生平台的注意义务进行合理规制,甚至类似于信息存储空间服务提供者的义务强度,万不能再闹出其注意义务还不如CDN、DNS、搜索引擎等底层服务商的笑话,甚至被排除出“通知-移除”的规则适用范围。
10、ChatGPT等基于语言模型的AI聊天平台
人工智能机器人是版权行业前所未见的全新网络服务形式,这其中涉及的版权问题非常复杂,值得做深入的学术研究和业务分析。在网络服务商帮助侵权责任体系下,人工智能服务商在类型定位方面同样面临困难,这主要是因为人工智能机器人开发者构建的Web服务和手机应用软件操作界面,均以“聊天软件”的形象出现。它看似在交互式传播文字信息,但实际上是根据用户的指令,基于语言模型的训练参数输出在信息呈现之前无法预料的内容,因而不可能是由机器人服务商预先存储的材料。由于材料不是被事先存储,因此他们不是在交互式传播已有的材料,而是实时产生材料并进行存储。它当然地保存着用户的参数设置和历史聊天记录,但单论聊天过程中的机器人呈现的信息输出功能,其似乎不是传统信息存储空间服务的业务范畴。
但我们首先可以排除AI机器人的独立人格。在笔者看来,ChatGPT等基于语言模型的AI聊天平台,首次意图看透人类自然语言的规律,试图通过纯粹的计算,来模拟人类的逻辑能力、情感和思想。它在技术上振奋人心,但理性人绝不会因此怀疑人类的价值。因为基于语言模型的机器人是在“用一团混沌的概率模型”模拟人的思想,它能模仿鲁迅的文风,但无法真正成为伟大的鲁迅。语言模型诞生的全过程,从机器学习、人工标签到参数微调;模型使用的全过程,从它难以正确回答知识性问题,到无法正确规范文章产出的具体字数……从开发到使用的细微之处,无不昭示着AI机器人不具备产生独立思想和意识的客观基础。因此,在法律认定上,人们不可能将机器人作为独立的人格进行主体分析,聊天机器人始终应当被认定为由开发商开发的应用程序。
根据目前的人工智能机器人行业发展趋势,语言模型和聊天机器人的服务商须对其机器人输出的内容负法律责任。机器人在用户的指令下产生侵权内容,几乎实现的是用户自身的意志,而不是基于开发者的主观意愿或客观编辑操作。但显然,开发者不太能直接决定机器人能生成什么,但是绝对能控制机器人不生成什么——从ChatGPT、Bard、后期的微软Bing机器人,我们看到,开发者基于伦理考量将机器人的输出调校得十分保守,对涉及道德是非的议题十分敏感。与此同时,我国监管部门在国内AI语言模型远不足够“聪明”的情况下便早早出台了极为严苛的监管标准,它直接作用于每位用户、在过去、现在、未来任意时间生成内容的逐字逐句,并要求语言模型训练具备移除非法信息输出的能力。这些高压监管标准反而使得版权维权者能够搭上“审核大师”的便车,使得聊天机器人服务商难以辩驳其对机器人输出内容无控制能力,进而树立相当大的注意义务。因此,从技术上可以推测,未来聊天机器人避免输出侵权内容的能力,甚至可能不是基于静态的黑名单规则库,语言模型本身就可能被训练出识别高概率侵权内容的能力,就像它们在避免输出不道德内容方面严丝合缝那样。基于目前的研究深度,笔者推测,聊天机器人也可以在司法实践中被拟制为“信息存储空间服务”,甚至将开发者和运营主体认定为机器人输出信息的直接负责人也未尝不可。
(未完待续)
本篇文章来源于本人微信公众号: 不能使用该名称