

【博客搬家】写于2020年6月7日
【笔者按】在2019年中的时候,笔者因朋友托付,对国内各大网课(或慕课)平台在知识产权保护方面进行了一些调查。整体感觉,大家对版权都放在了网课平台服务中十分重要的位置,特别是在平台与网课内容的供给方的协议中,版权条款是相当重要的部分。但“魔鬼往往在细节”中,一国内知名平台的服务合同中,被笔者大概挑出了6个法律错误,主要集中在文字表述不清、法律术语使用错误、以及上下条文存在矛盾等问题。特别是对于一个专门学习知产的人而言,版权法中的术语使用错误,真乃“是可忍孰不可忍”,因为这会直接影响到未来可能发生的侵权或违约救济,用错词就等于一无所有。我不清楚是故意为之,还是公司的法务真的没在关心。既然是格式合同,就更应该好好树立规范。
现有kluwer版权博客中的一个相关调查报告,主要是对当前世界各大远程教育(或网络会议)平台在数据和版权保护相关服务条款方面的调查,以飨读者。
正文:
在疫情突来之际,相信很少有教育机构为立即过渡到远程教育做好准备。尽管,当前大多数教师熟悉在线教育平台和通信服务,但迅速转向应急远程教育(Emergency Remote Teaching,简称ERT)[1]的举动却使大多数大学感到措手不及。一些大学能够依靠被许可的软件(或自主研发的软件,如清华的雨课堂),将其用于指导学生,并为员工提供适当的培训。而部分没有条件的教育机构,则留给老师自由选择权来确定用于教学的软件和IT服务。
[1] 'The Difference Between Emergency Remote Teaching and Online Learning', view: https://er.educause.edu/articles/2020/3/the-difference-between-emergency-remote-teaching-and-online-learning. (文中特别强调了在线学习与应急远程教育的区别)
在上述两种情况下,教育机构和教师都很少有时间来详细评估这些在线教育工具的适用性(suitability)。如初步数据所示,在ERT情况下使用在线视频会议和线上学习平台引起了隐私和数据保护[2],以及知识产权(尤其是版权法)[3]等方面的问题。
[2] 'Houseparty could be a digital privacy nightmare, experts warn', view: https://finance.yahoo.com/news/houseparty-could-digital-privacy-nightmare-205539780.html?guccounter=1;
''Zoombombing' targeted with new version of app', view: https://www.bbc.com/news/business-52392084;
'Report on privacy policies of video conferencing services', view: https://noyb.eu/sites/default/files/2020-04/noyb_-_report_on_privacy_policies_of_video_conferencing_tools_2020-04-02_0.pdf.
[3] 'Coronavirus And Copyright – Or, The Copyright Concerns Of The Widespread Move To Online Instruction', view:
http://infojustice.org/archives/42107;
'What is fair dealing in copyright? Here’s why it matters when moving classes online due to coronavirus', view: https://theconversation.com/what-is-fair-dealing-in-copyright-heres-why-it-matters-when-moving-classes-online-due-to-coronavirus-134510?utm_medium=amptwitter&utm_source=twitter.
KLUWER的两篇博客文章[4]旨在阐明ERT在线服务的服务条款和隐私政策可能隐藏的潜在法律风险。调查的目的是验证ERT平台是否提供了足够清晰的信息,使得教师能够进行教学活动并与学生进行互动的同时,而不会担心其使用可能产生的法律后果以及对个人数据保护的风险。
[4] 'Emergency Remote Teaching: a study of copyright and data protection terms of popular online services (Part I and II)', view: http://copyrightblog.kluweriplaw.com/2020/05/27/emergency-remote-teaching-a-study-of-copyright-and-data-protection-terms-of-popular-online-services-part-i/?doing_wp_cron=1591495348.4096128940582275390625; http://copyrightblog.kluweriplaw.com/?doing_wp_cron=1591497245.2534079551696777343750.
上篇 版权保护
为此,调查了欧洲大学教师用来提供ERT的九种在线服务平台中的服务条款、隐私权政策和社区准则(统称为“条款”)。选定的服务包括用于在线管理学生团队和小组的专用软件,内容共享平台和社交网络,以及经过重新设计或改型以满足教育需求的视频通信服务(有一些应用程序仅包括上述部分功能)。本调查基于2020年4月27日最后访问的平台的免费标准条文版本,同时根据现阶段最常用的教学活动检查了每种在线服务的条款——包括了现场讨论和与学生的异步交互,以及提供由老师或第三方编写的教学材料以及学生提交的材料(见下图1)。

图1
受调查的在线服务在保护版权内容的条款中,各个平台的结构差异很大。在调查这些条款后发现,大概有三个主要方面存在差异:1. 控制(control); 2. 责任(liability)和3. 内容审核(content moderation)。这些条款是在欧盟指令2001/29(InfoSoc指令)和最新的指令2019/790(DSM指令,2021年6月7日成为国内法)中的统一欧盟版权规则的背景下进行的考虑。该分析还考虑到了针对跨境教学活动的新例外以及针对DSM指令下某些具体类型平台的新责任制度。
1. 控制
在教师上传的原创材料和第三方材料方面,该调查研究了将内容的控制权移交给服务的程度和目的。所有条款均声明用户保留上传资料的所有权(ownership)。但是,在平台中,对这些材料的事实控制(actual control)是通过协商许可取得的,但不同平台的许可方式差别很大。大多数服务要求用户同意许可,以授予被许可人执行操作的权利,进而操作、启用和改进服务(比如Discord,Facebook,Jitsi,MoodleCloud,Microsoft Teams,Skype,YouTube等),其中还可能包括授权供第三方承包商启用互操作性(兼容性,interoperability)(如MoodleCloud)。
根据DSM指令第17条,有资格成为在线内容共享服务提供商(简称OCSSP)的平台尤其倾向于将其许可范围扩展到第三方使用。例如,YouTube的条款授予了其他用户“仅通过本平台的服务访问和使用内容”的许可,而Facebook则获得了用户可转让和可再许可的许可,以便与其他服务提供商一起使用和共享内容,以提供和改进服务服务。而部分平台通过获得授权使用用户内容以促进服务(如Microsoft Teams,Skype,YouTube)或寻求永久许可(如Discord),从而拓宽了许可的范围和期限。而在用户停止使用服务或删除内容后后,该许可就终止(如YouTube,Facebook)。
总而言之,调查发现,这些许可条款的表述往往比较模糊。例如,当平台服务本质上是提供大量受版权保护的内容时,“为提供服务的目的(for the purpose of providing the service)”而做出的行为到底具体是什么?此外,有两个在线平台(即G-Suite for Education(由谷歌创办)和Zoom)对许可的规定大体上是隐性的,因此不确定Google会对被授权的用户内容进行何种操作,以及Zoom的相关条款有哪些限制(或义务)——从而使其他用户无法访问、查看和处理受保护内容。
2. 责任
对于向学生提供学习材料的教师而言,预测他们可能会承担的法律责任也很重要。上传和用于ERT的大多数材料都受到版权保护,这里可能还包括第三方内容,例如文章、音频或视频文件、教科书的扫描章节或合法访问教师提供的其他内容。提供此类材料可能构成对版权的侵犯,故需要事先授权或需要有符合版权例外的使用资格。但是,在平台中,链接到合法在线内容的行为是被允许的,这里还包括作为大学生具有资格可以访问到的大学提供的在线数据库的深层链接(deeplinks)。上述所有服务明确排除了用户上传的内容的侵权责任。当然,这也必须符合欧盟2000/31号指令(e-commerce指令)第14条的规定(安全港),该条表明只有平台“不知”侵权内容的情况下才可以免除责任。根据DSM指令第17条中针对OCSSP的新责任规则(从事后专为事先审查责任),这些安全港将不再适用于大型托管平台(large hosting platforms),而大型托管平台现在将受特定的责任豁免机制约束。而这些所谓的大型托管平台主要是指YouTube和Facebook,此处分析的其他平台不太可能包含在DSM指令定义的OCSSP之内。
令人担忧的是,这些平台严格要求用户已经获得其内容的版权,并且在某些情况下必须能够证明有权使用上传的内容。有部分服务选择了较为简单的条款——要求用户拥有使用内容的“所有必要权利(all the rights necessary) ”(如Facebook,Jitsi,Microsoft Teams,Skype和YouTube),而其他一些平台则更加直白地要求用户保证上传内容的所有权(如Discord,MoodleCloud)。更甚者,Zoom禁止在未获得版权所有者事先书面同意的情况下使用该受保护的材料。所有这些条款的共同点是,它们并未引用版权的例外和限制(如合理使用),尤其是欧盟InfoSoc指令第5条第3款(a)条款中规定的例外和限制——仅为教学目的(for the purpose of illustrating for teaching)。这种遗漏会对教师在线使用教材产生重大的“寒蝉效应(chilling effect)”。此外,在各种条款中发现,平台的制裁措施一般都是暂停或终止重复侵权者的帐户,这就可能会导致暂时阻止通过具体渠道提供ERT。
至于将用户的责任扩展到包括学生在内的第三方行为的平台,主要是通常由教育机构自身运营和维护的平台(如Microsoft Teams,G-Suite for Education,MoodleCloud,Skype和Zoom),即可以控制谁可以访问该服务或不能访问。但在开放平台和将来的OCSSP中不存在相关条款(如Discord,Facebook,Jitsi和YouTube)。尽管此类条款仅限于教育机构自身运营的平台,但可能未来会给教师带来过多负担,因为他们可能会因学生的侵权行为而连带承担法律责任。
3. 内容审核
在云学习的概念下,在上传内容后,教师和学生一般会偏向能在线持续阅览内容。而内容删除机制明确包含在所有受调查的平台的条款中,这些条款可能会使学习材料的提供行为变得更为复杂。在此,内容审核应该被狭义地理解为,根据对用户投诉内容的审查,而删除侵权的内容或保留内容的行为。
在一些情况下,平台保留自行决定删除内容的权利(如Jitsi,Discord),但其中大多数平台遵循了通知-删除规则(简称NTD)(如Facebook,G-Suite for Education,Microsoft Teams, MoodleCloud,Skype,YouTube,Zoom)。但是,NTD机制在算法自动化审核环境下(如Facebook,YouTube中都有自动化审核内容系统)会出现许多未见的问题,因此对上传内容的阻止和过滤可能会严重阻碍ERT的实现。
为了最大程度地减少错误删除合法上传内容的风险,调查建议教师应诉诸于易于使用的投诉机制。但是,并非所有凭条都向其用户(如Microsoft Teams,Skype和MoodleCloud)提供此类机制。在ERT情景中问题更甚,因为误删会导致原本就有机构把持的内容更难获得,而教师本身就大量依赖合理使用来上传内容,而这些内容显然都是删除机制的重点关注对象。
4. 笔者结语
在DSM指令方面,作为欧盟指令需要有一个“由外而内”的法律转型过程,即被国内法接纳后才能有一定的效力。这里就有笔者前文对于德国修改相关条款的论述(具体见此)。所以,此处平台是否能够在其服务条款中设定一些权利限制条款的问题,笔者认为想法很好,但实践起来很难。根据DSM指令第5条确实给予了一个以教学说明目的的例外,但对于第5条中的“单纯”二字如何解释,以及第5条第2款第二段:“决定采纳本款第一段之规定的成员国应采取必要措施,确保授权实施本条第 1 款所述行为的许可协议,以适当的方式对教育机构可见和可用”,这个条文的实际执行是有很大难度的。另外,DSM指令第7条第1款规定的:“任何与第 3 条,第 5 条和第 6 条规定的例外相冲突的合同条款均不可执行”。上述条款都充分说明DSM指令对于在线教育未来的开展设定了一个更高的标准,还不能说这是否会产生负面影响,但从侧面再次反映了欧盟委员会偏袒版权产业的态度(这大概就是所谓的“监管俘获(regulatory capture)”)。

【笔者按】在2020年6月6日,腾讯研究院资深专家王融等在其公众号发布了一篇《GDPR2周年,来自欧盟内部的反思与启示》的文章,因为王老师一直是这方面的专家,该文的质量相当高。特别是从产业和实践的角度去总结得失,对于笔者而言这比纯法理的讨论要好许多,更容易理解的多。推荐读者有空去阅读一下。接下来,就续上篇(版权保护),对当下远程教学平台中的数据保护条款的调查进行介绍。
下篇 数据保护
本部分将探讨数据保护问题。 该调查分析评估了当前平台对欧盟《一般数据保护条例》(简称GDPR)的遵守情况,以评估从“面对面”方式到数字化教学方式的转变,如何影响大学教师和大学生的PRIVACY保护。整体而言,应急远程教育(简称ERT)需要从教师和学生那里收集和处理不同类型的个人数据(包括了部分MINGAN数据)。 当驻扎在欧盟或向欧盟的主体提供服务时,ERT服务提供商(平台)必须遵守GDPR的规则。 GDPR提供了一个法律框架,可在处理个人数据方面保护个人(“数据主体(subject rights)”),保证可以“转移”这些数据。 GDPR授权数据主体控制与他们有关的信息(依据GDPR第12-22条),并明确阐明了数据处理过程中各参与者的责任标准。
1. 场景设置:ERT适用数据保护规则
本次调查分析框架的第一步是确定目的——使用个人数据的原因,以及数据控制者处理该数据所依赖的法律。在ERT中,处理student和教师的个人数据是出于大学的机构性质,即提供教育(例如提供讲座、提供讨论空间以及进行评估)。为了达到这个“提供教育”的目的,法律依据可以是出于Public利益(GDPR第6条第1款第e项)或数据主体参加的合同(GDPR第6条第1款b项)。
第二步是需要阐明参与数据处理的行为者的RIGHTS和责任。在ERT中,基本上大学都是数据控制者,而出于机构目的对其学生和教师(数据主体)的数据进行处理。根据GDPR第24条规定,数据控制者是确定数据处理目的和方式的个人或实体,其应确保遵守GDPR并在处理过程中适用数据保护原则(GDPR第5条)。
当用于ERT的平台完全在大学内部进行运营(包括数据存储等)时,合规责任将由大学承担。但是,当大学将数据处理部分或全部外包给校外平台时,校外平台将承担数据处理者的角色(GDPR第4条第1款第8项)。在外包数据处理者时,大学必须确保校外提供者为数据保护提供适当的保障,并总体上保证遵守GDPR。在这方面,必须强调的是,如果ERT平台出于与教育无关的目的(例如AD或服务改进)处理个人数据,则视具体情况而定,大学有可能成为这些数据处理管控的联合控制者。
当教师出于教学目的处理student数据时,他们则被视为被授权执行数据控制者任务的人。为此,大学有义务明确指导教师的数据处理行为需要合规(依据GDPR第29条)。但是如今,因为大学缺乏足够的指导,而且往往指导需要自费,因此许多教师不得不自行采取行动,以确保提供ERT服务。尽管自身可能没有意识到,但教师还是成为了数据控制者,他们将自己确定处理数据的方式(服务)和目的。
2. 在线平台的数据保护条款
本次调查的分析主要集中于平台数据保护条款包含的三个主要方面:
1)平台数据处理的目的;
2)数据处理的合法性;
3)数据主体的权利。
根据GDPR第13和14条规定,必须以清晰易懂(clear and understandable)的方式向数据主体提供有关这些方面的所有信息。 此种强制性披露(mandated disclosures)是必要条件(conditio sine qua non),主要是为了让数据主体了解平台在数据处理方面的核心活动。 下表中汇总了本次调查的发现,而有问题的方面以深蓝色突出显示(见下图2)。

图2
3. 数据处理的目的
作为“通用服务”平台(例如Facebook和YouTube),一般不会专门设计为在ERT环境中用作数据处理的程序,而其他一些平台(如Moodle和G-Suite)则本身就专门用于教育用途。而这些专门平台以其服务条款明确提到,其作为数据处理者(加工者)的可能性。尽管如此,所有被调查的平台都会追求数据处理的自主性,而这种对自主性的不同阐释也是大学选择ERT提供平台的重要考量因素。例如,如意大利数据保护局所强调的那样,这些平台代表大学(学校)处理的数据只能用于远程教学。
平台对于数据的进一步使用并不是先验(a priori)的非法行为,但是它们必须有法律依据,并确保履行对数据主体的信息义务。但是,经调查发现,对于数据处理目的的叙述并不总是清晰的。例如,一些平台(如YouTube,Skype,Zoom,G-Suite)就提供了已处理数据类别的详细列表和用途列表,但仍不清楚哪个数据对应于列表中的各种用途。另外,优势虽然可以很好地说明数据与目的之间的相关性,但是目的本身的描述相当晦涩(例如,在Moodle条款中规定目的是逐字(verbatim)记录“用户代码存储库”)。在其他情况下,目的描述得过于含糊,如Jitsi和G-Suite提到了非常笼统的“为了改善服务”目的条款。
4. 处理的合法性
根据GDPR第6条规定,为了合规,数据处理行为必须基于法律规定。但是,大多数平台都无法提供足够清晰的信息:在许多情况下,很难确定在特定法律基础上处理了哪些数据(如Discord,GSuite);在其他情况下,处理目的和相应的法律依据之间的联系不够明确(如YouTube)。
如果依据法律处理数据是被允许的,那么就要讨论后续会出现的问题。例如,Discord提到了“默示(implied)”同意的可能性;而Moodle规定,用户对相关条款的同意就构成“明示(explici)“。但两项规定都存在问题:第一是因为GDPR要求有明确肯定行动(a clear affirmative action)的承诺才是有效的;第二个是因为这种行为类似于捆绑(一揽子)同意,在此情况下,数据主体不可能对每次使用实施同意确认。同时,Zoom提供了一个选择,即当用户(如老师)记录会议时,学生可以接受其数据处理或选择离开会议。在这种情况下,不太可能会随意给予数据处理的同意。
另一个合法性问题是有关数据控制者或第三方的合法利益。在此方面,一些平台通常仅模糊地进行描述(如Facebook,Zoom),使用此法律基础要求在“控制者或第三方的合法利益”与“数据主体的利益”之间进行利益平衡测试。这种利益平衡的过程和结果未在任何PRIVACY政策中公开记述,因为没有法律义务要求平台这样做。但是,如果发现该大学以某种形式促进或启用了数据的进一步处理,那么利益平衡测试仍然无法评估或影响其他控制者采取的数据保护措施。
最后,许多ERT在线平台可能存在收集敏感数据的情况。例如,当一个在线软件允许录制视频时,它很可能会捕获一种例举在GDPR第9条中的特定类别的数据(例如,如果学生戴着TOUJIN,则可能表明她的religion)。因此,当平台出于自身目的处理此类数据时,应释明该种处理的合法性(GDPR第9条第2款)。此处,除了Moodle和Facebook,在其他平台的PRIVACY权政策中均未提及此类限定条件。
5. 数据主体的权利
这些被调查的数据保护条款的共同点是,都系统性地引用了GDPR中数据主体权利的完整列表(G-Suite除外)。然而,这种权利的存在有时伴随着的是模糊的表述,例如“你可能(you might)”或“可能有权(may have the right to)”,比如Discord和Zoom的条款就是这种情况。虽然,Microsoft Teams非常正规地规定了数据主体权利有关的信息义务,但是需要参照其他服务政策一同理解条文。而在其他情况下(如Zoom),甚至不清楚在两个同时访问者之间,该适用哪个PRIVACY政策来处理数据处理。
大多数数据保护政策都对数据主体如何行使其权利进行了解释(通常是通过用户个人设置,或通过电子邮件与数据保护官(Data Protection Officer)联系)。但是,某些权利仍然是空白,例如在Facebook和YouTube中,尚不清楚如何行使限制数据处理的权利。
无论如何,我们认为以这种“形式主义(pro forma)”方式提及遵守数据主体的权利,并不能达到授权相关个人以使其能够充分利用GDPR的目的。实际上,当信息不足或不清楚时,数据主体很难采取相应行动。
最后,大多数平台都认可并适当地告知数据主体,其享有向数据JIANGUAN机构投诉的权利。然而,该调查也发现了一定问题。例如,Moodle承认数据主体有权向数据保护局(简称DPA)投诉,然后添加了爱尔兰DPA的联系方式,这可能会导致数据主体认为其仅有向特定的DPA提出投诉。而YouTube就规定:“如果用户对当地法律规定的权利存有疑虑,可以与当地的DPA联系”,这种规定以某种方式改变了GDPR第77条所规定的的实际适用范围。
6. 笔者结语
对于ERT情况下的平台版权保护与数据保护条款调查就介绍到此。本次调查主要针对的是国外主流在线教学或会议平台,所以对于国内的相关问题,仍然是未知。但根据笔者仅有的经验,现状确实不如人意。特别是当教育机构或教师在作为数据控制者的地位上时,其对数据二次处理以及传播等方面的权利及其限制,将是未来争议的焦点,特别是这些数据还涉及大量PRIVACY或MINGAN信息的情境下。疫情的突然来临,改变了我们的生活方式。虽然,在线平台的数据保护在疫情前就已经是“众矢之的”,但疫情和在线教育的推开加重了人们对于该问题的关注。这对于当前民法典和未来个人信息保护法的讨论其实都是有极大助益的,同时对于大型数据驱动平台在数据保护与反垄断的交叉领域的研究都是有推动的。(文终)