论文摘要 数字版权管理技术因远程控制功能的隐患和版权人的主观过错,容易与最终用户的隐私权发生冲突,因此必须从法律和技术两条途径规范数字版权管理技术的使用,增加版权人的义务并完善隐私权保护体系,制定技术措施安全性标准以规范技术措施行业,设立技术措施监管机构、构建预警机制,保证法律发挥应有实效。
论文关键词 数字版权管理技术 隐私权 限制 安全
作为一种经济、便利、快捷的版权保护手段,技术措施早已被大多数国家所认可。随着科技革新,技术措施已从加密、水印等简单功能发展出具有追踪监测等复杂、完整功能的数字版权管理(DRM)技术,其中DRM技术因远程控制功能容易与最终用户的隐私权发生冲突。有国家出于平衡版权人利益和公共利益的考虑,不断加深对DRM技术的研究以完善相关法律,适当限制版权人对DRM技术的运用。反观我国,尽管为了达到国际知识产权保护水平,赋予技术措施充分的法律保护,然而由于忽视技术措施标准化的重要性,缺乏完善相应法律的基础,造成与现实技术水平严重脱节。面对微软黑屏事件,我国行政部门只能采取反垄断等隔靴搔痒的方式,将公民的隐私权暴露在缺少法律保护的险境之中,终将陷入版权人滥用技术措施的恶性循环。因此,本文旨在分析DRM技术和隐私权冲突的原因,并借鉴国外的平衡机制,寻求解决冲突的对策。
一、DRM技术和隐私权冲突的原因
DRM技术和隐私权冲突的原因包括技术原因和主观原因。技术原因是指DRM技术本身潜在的隐患,主观原因是指版权人因主观过错而不当使用DRM技术,两者交织共同损害最终用户的隐私权。
(一)隐私权范畴的拓展
隐私权的内容分为私人生活秘密、私生活的安宁状态、私生活空间。隐私权的内容随着数字时代的发展而发生变化。私人生活秘密是指个人不愿公开的信息,如今IP地址、Cookies等数据因为可以以一定方式查明最终用户的特定信息,所以最终用户不愿将其公开,因此这些数据属于私人生活秘密,应当受到法律保护。
在过去,私生活空间多指物理空间,然而随着计算机的普及和互联网的迅速发展,越来越多最终用户倾向于选择计算机或服务器作为存储信息的便利工具,在这些载体上保存个人不愿为他人所知的私密,比如利用网站的服务器上传或者利用硬盘来存储不愿公开的文档、图片、视听资料。这些私密数据所依附的数字化环境因为加载着最终用户保护私密的目的和功能,所以构成私生活空间的一部分,也应当受到法律保护。
(二)DRM技术的潜在隐患
DRM技术的远程控制功能是该技术有效遏制盗版行为的核心手段。远程控制功能保护版权的主要途径是将在最终用户计算机里搜索到的侵权人的身份信息和侵权数据,以互联网为媒介,传送回版权人的服务器里,版权人不仅可以实时监测侵权信息,还能凭借侵权数据直接追究侵权人的法律责任。然而,现实中版权人使用的DRM技术不一定具有筛选功能,这意味着在搜集到的数据中可能既包含侵权数据,也包含与版权无关的隐私数据,这些隐私数据涉及最终用户的个人浏览历史、程序使用痕迹等信息,这些信息在当今互联网营销模式下,蕴藏着巨大的商业价值。版权人可以根据这些数据猜测最终用户的喜好,以便完善相关作品,或者提高推广其他作品的成功率。因此,远程控制功能可能会变成版权人为了扩大市场、攫取额外利润而滥用的漏洞。此外,若DRM技术缺乏安全性,非法分子则有机可乘,利用安全漏洞对数据进行截取并散播、贩卖等,威胁最终用户的隐私安全。
(三)版权人的主观过错
版权人的主观过错主要表现在两方面。一方面,一般在使用作品前,通常会先显示一份由版权人单方制定的点击合同,若版权人因故意或过失没有以特殊方式明示隐私权条款,最终用户未能自由表达让渡隐私权的意思表示而点击了“同意”选项,DRM技术便自动安装并运行,违背最终用户的真实意愿监测计算机里的各种数据,并突破最终用户的虚拟私生活空间,以互联网为媒介将搜集到的数据传送回版权人的服务器,侵犯了最终用户的隐私权。
另一方面,即使版权人在点击合同中有特别明示隐私权条款,最终用户也有机会阅读点击合同并选择了“同意”,但该条款的内容一般是概括阐述DRM技术可能会搜集到最终用户的隐私数据,而且,若版权人在使用DRM技术的过程中并未主动详细披露技术的运行机制、技术的更新内容、搜集到的数据类型、数据用途、保护隐私权的技术方案等,或者版权人未能尽到保护最终用户隐私数据的义务,使私密数据泄露,给最终用户造成损害,这些都构成隐私侵权。
二、各国限制技术措施的比较法分析
(一)法国
据统计,2005年法国盗版率达到47%,软件出版商因此在法国市场损失32亿美元,这对一直处在知识产权立法前沿的法国来说实在是一个不小的挫折。为了加大打击盗版力度,法国政府于2006年颁布《信息社会版权法案》,加强对技术措施的法律保护。同时,在预见技术措施的隐患下,作出了限制滥用的规定。这些规定的内容主要涉及保护公众的合理使用、技术措施的兼容性要求、信息安全遵从义务等,体现出法国政府期冀借助法律和技术手段来限制技术措施的滥用,促使版权人的合法利益和公共利益达到平衡。
其中第15条规定的信息安全遵从义务有利于解决技术措施和最终用户隐私权的冲突问题。根据该条内容,信息安全遵从义务包含以下两个具体义务:第一,版权人的申明义务。指一旦作品所嵌入的技术措施具有远程控制功能的,在发表作品时,版权人务必向州信息系统安全管理机关优先申明。对受到该机关质疑的软件,版权人还必须向该机关提供软件的详细说明书和源代码等,以便其监控技术措施是否安全。第二,版权人的数据保密义务,版权人必须保证所采取的技术措施符合数据保护法案的规定,不会损害公共利益,否则版权人不得使用该项技术措施。
此外,法国在2007年成立了专门监管技术措施的中立机构RAMT,该机构主要负责观察技术措施的发展变化、测评技术措施对数字作品传播的影响,并制作研究报告以便作为完善立法的客观依据,缓解立法的滞后性。
(二)美国
美国《数字千年版权法》给予最终用户高度的隐私权保护,其在禁止规避有效技术措施的例外中,规定禁止技术措施搜集或散播最终用户在互联网中留下的个人身份信息;在技术措施搜集或散播最终用户为了接触作品所留下的特定信息时,除非版权人向最终用户告知情况并提供屏蔽方法,否则允许最终用户规避该技术错施,而无论该最终用户是否为侵权人。美国联邦贸易委员会认为个人身份信息是指姓名、电话、住址等可以直指特定身份的信息,至于IP地址是否属于个人身份信息,则受网络服务商的利益牵制而一直存有争议。虽无明文规定,但在司法实践中,美国法院早已间接承认IP地址属于个人隐私。如2008年,美国纽约南区地方法院在维亚康姆诉谷歌一案中责令谷歌向维亚康姆提交所有观看用户的服务器日志数据,这些数据中包含用户的ID号和IP地址。为了安抚隐私权利团体和公众的疑虑与不满,法院要求谷歌必须保证用户的隐私安全。同时,随着近年来侵犯互联网隐私权的案件增多,美国政府意识到公民网络隐私权的重要性,于2012年2月23日公布网络用户隐私权利法案框架,赋予最终用户对网络隐私的控制权和知情权,这于扩大最终用户隐私权的保护范围而言是良好信号,但对DRM技术来说却未必。
另外,SonyBMG案补充了《数字千年版权法》没有规定的技术措施安全要求。在SonyBMG案中,索尼公司为了避免DRM技术被破解,暗自使用Rookit隐藏DRM技术,而Rookit容易被黑客植入病毒或木马,索尼公司为了维护版权而采取危害最终用户计算机信息系统安全的DRM技术遭受外界强烈谴责。
(三)我国
我国限制技术措施滥用的立法规范仅体现在《信息网络传播保护条例》第十二条中。该条规定了禁止故意避开或破坏版权保护技术措施的四种例外情形,分别是课堂教学和科学研究,不以营利为目的的、以盲人能够感知的方式转化作品,执行公务,安全性测试,其中前两项必须以市场上仅有数字化作品为前提。这四种情形属于合理使用,并受到法律的严格限制,加之版权人义务、技术措施安全性、隐私权的具体保护方面等法律规定存在空白,版权人的权利疆域实际被拓宽,难以保证其具备足够的自制力,避免公众的合法权利沦为攫取利润的牺牲品。
为了整理软件市场,规范技术措施的行业标准,全国音频、视频及多媒体系统与设备标准化技术委员会和全国信息技术标准化技术委员会在2010年9月召开了《信息技术-数字版权管理-术语》国家标准项目工作组会议。工作组表示我国建立自主DRM技术标准体系的条件已趋成熟,并为建立工作提出意见,如体系应协同统一、与国际标准体系兼容、应建立DRM技术安全性框架、加强我国DRM技术的自主研发和管理、建立数字版权保护测试平台、研发测评工具等。DRM技术标准体系的完成及其所依赖的调研基础,能够加深立法者对DRM技术现实水平的了解,为完善相关法律法规提供客观依据。
三、限制DRM技术的原因
首先,DRM技术有其存在的必要性。DRM技术不仅涵盖传统版权保护技术措施的简单功能,还具有远程控制、追踪监测等先进功能。DRM技术不仅保护功能更全面,还能自动阻止侵权行为并收集侵权证据。版权人面对的是数以万千明显或潜在的侵权用户,相比于寻求诉讼途径和证据保全来说,DRM技术既能及时防止损失扩大,又能节省高昂的诉讼成本、提高胜诉率。这种全面保护带来的长远利益和版权人投入到研发DRM技术的成本相比,符合成本-效益原则,所以DRM技术是目前保护数字版权的最佳工具。各国立法和司法实践表明,各国都有正视DRM技术得到普遍应用的事实,也肯定DRM技术为促进数字版权的发展做出不可磨灭的贡献,因此即使DRM技术存在或多或少的弊端,各国政府都没有直接摒弃DRM技术,选择以投入更多资源来创造新的数字版权保护手段,反而直接采取限制方式,促进DRM技术健康发展。
其次,限制DRM技术是维护知识产权法宗旨的根本要求。知识产权法的宗旨是促进知识产权的传播与发展,维护知识产权人的利益和公共利益之间的平衡。促进数字版权传播与发展的有效手段之一是给予版权适当的法律保护,以激励版权人积极创作,技术措施便是该有效手段。然而除了法国之外,其他国家并没有给予足够的限制,版权人的权利范围则相应扩张,反而阻碍了数字版权的发展。因为法律没有有效矫正版权人和公众之间的信息不对等,不仅造成版权人缺乏自制力,也使公众对技术措施缺乏信任,最终降低作品的传播率,甚至引起公众抵触技术措施的不良情绪。因此,限制DRM技术不仅可以满足公众对信息交换的需求,还能规范版权人正当行使保护版权的权利,实现保护版权和隐私权的双赢。
再者,限制DRM技术具备可行性。剔除DRM技术潜在的隐私安全隐患有两种方法,分别是改造技术的直接方式和改变数据保护的间接方式。现实已经存在满足最低要求的两种保护方式,比如在维亚康姆诉谷歌案中,在提交所有用户的服务器日志数据前,谷歌和维亚康姆达成用户隐私数据保密协议,由谷歌使用数字和其他无法与用户身份相联系的数据,来代替用户的登录名和IP地址等个人信息。在我国,有计算机技术领域的学者经研究指出,将电子现金中保护用户隐私的群签名技术和DRM技术结合在一起,不仅能够匿藏合法用户的身份信息,群管理员还能通过私匙计算获取非法用户的身份信息,维护自身合法权益的同时实现对最终用户隐私权的合理保护。在隐私数据保护方面,谷歌于2007年宣布将最终用户信息的保留时间缩短为18个月,用于搜集最终用户信息的Cookies的有效期限缩短为2年,尽可能降低最终用户隐私的安全隐患风险。
四、解决对策
从冲突的原因可知,要解决DRM技术和隐私权的冲突必须采取法律和技术两种手段。其中,完善法律是基础,技术制衡是关键,机构监督是保证。
(一)完善最终用户的隐私权体系
我国法律对隐私权的保护散见在公民的基本权利、贩卖个人信息罪、《精神损失赔偿法》、《侵权责任法》,但司法机关在实践中多从《刑法》和《精神损失赔偿法》的角度保护公民的隐私权,没有吸纳隐私权的先进理论。为了限制技术措施滥用,给予公民充分的隐私权保护,扩大隐私权的内涵是势在必行。隐私权的内容不仅应当包含虚拟私生活空间权利,其中私生活秘密应当扩大到个人不愿公开的电子数据,这些数据包含IP地址、Cookies等虽然间接、但以一定方式容易查明个人身份的数据。隐私权内涵的延伸要求相关技术法律作出相应的改变,《信息网络传播权条例》应当增加隐私权保护作为禁止规避技术措施的例外,但不同于《数字千年版权法》,DRM技术的价值在于其监测追踪功能有利于版权人追究侵权人的法律责任,如果将侵权人的IP地址和Cookies也作为隐私权例外条款的保护对象,禁止DRM技术具有远程控制功能,DRM技术和禁止规避技术措施的规定便等同虚设,失去保护版权的明显效果。因此,笔者认为,IP地址和Cookies属于个人信息固然毫无争议,但应保留DRM技术在筛选功能下搜集侵权数据的功能,不仅体谅到版权人有权追究侵权人非法规避技术措施的法律责任,发挥保护版权实效,还能合理兼顾最终用户的隐私权。
(二)增加版权人的义务
从合同法的角度看,作为数字作品购买合同的主体,双方的权利义务关系应当平等一致。然而在现实中,版权人会因为掌握技术信息上的优势而放任或漠视最终用户的利益,打破了对等法律地位。为了矫正并恢复两者之间的平等关系,体现合同法的公平、诚信原则,我国应当借鉴法国的信息安全遵从义务,在《著作权法》、《信息网络传播权条例》中增加规定版权人应承担充分披露义务、数据保密义务、安全保障义务。
版权人履行充分披露义务的对象包括技术措施监管部门和合同相对人。由于DRM技术在国外已被纳入专利法的保护范围,因此版权人的充分披露义务因对象不同而内容不同。在发行作品时,若作品嵌入具有远程控制功能的DRM技术,版权人应当将该技术措施的使用情况、技术方案、测试报告提交至技术措施监管部门检查、备案。在数字作品的点击合同中,版权人应当增加技术措施和隐私权条款,在条款中除去技术专利方案外,版权人应当以特殊标示和通俗语言表明技术措施的存在、远程控制功能特征、可能不利后果等详细内容,保证相对人享有充分表达真实意思表示的自由。
数据保密义务要求版权人在使用具有远程控制功能的DRM技术时,必须合理保护最终用户的隐私安全,回归版权保护本质。版权人应当在DRM技术中添加筛选功能,缩小搜集范围,只限定侵权数据作为搜集目标,并保证这些数据仅作侵权证据用途,具有保留期限,版权人还应当公开期限过后数据的处理方式和施行情况。
安全保障义务是指版权人必须保证DRM技术安全,不存在攻击性和黑客可利用的安全漏洞。在发行作品前,DRM技术必须经过安全测试。即使是投入市场后,版权人也应当给予消费者测试技术措施安全性能并反馈的机会。当DRM技术存在安全隐患时,版权人必须及时发布补丁或卸载工具来恢复安全状态。
(三)实施技术措施标准化
法国是知识产权立法最先进的国家,但即使是最先进的法律也不能达到遏制盗版的理想目标,原因在于法律并非规制技术的有力手段,技术问题仍需从技术层面上去解决,技术措施的隐患同样如此。随着数字化作品的表现形式及其载体的多样化发展,目前市场上存在大量内容代码各异的DRM技术,如苹果的手机应用、电子书阅读器、微软软件等。而我国立法对技术措施缺少足够限制,不仅会导致技术措施市场秩序混乱,还会增加解决DRM技术安全隐患的困难。实施技术措施标准化至少能从行业规范的角度牵制DRM技术发展中的不利因素,通过研究各种DRM技术之间的异同点,构建技术措施标准体系,使各种DRM技术之间协同统一。在研究异同点时,针对发现的安全隐患而制定相应的技术改善要求可以构成技术措施安全标准的内容。在此基础上树立的安全性标准能够普遍应用到所有种类的DRM技术,这不仅便于监管机构在管理技术措施市场时有据可循,还能灌输版权人技术措施行业道德,自觉合理设计、使用技术措施,尊重最终用户的隐私权。
(四)设立技术措施监管机构
DRM技术的数字化和高度专业化会限制法律的规制效果,因为版权人掌握着技术措施最详细的利弊信息,是否公开、如何使用版权人可以随意决定,而且革新速度快的DRM技术无法与具有滞后性的法律完美地融为一体,因此,设立一个监管技术措施的专业技术机构能够打破版权人掌握技术信息的封闭状态,促进DRM技术透明化、公开化,引导版权人规范使用DRM技术,实时反馈完善法律的相关信息,保障法律发挥应有实效。
有人认为可以采取可信任第三方方案,由政府部门担任技术措施安全的认证主体。然而,这种主体过于形象化,不如由技术专家组成的技术措施监管机构对技术措施有专业的认知、更具备实时监测能力。根据《信息技术-数字版权管理-术语》国家标准项目工作组的设想,将会建立数字版权保护测试平台作为技术措施的监管机构,专门针对技术措施的安全性进行检测。但在未来的发展中,需要借鉴法国RAMT机构的运作经验来丰富数字版权保护测试平台的职能。该技术措施监管机构的职能除了安全性检测外,还应当建立安全预警机制,每定期检测后公布存在安全隐患的名单,由法律法规赋予其行政权力,责令版权人采取补救措施或禁止作品投入市场。同时,定期进行技术措施市场调研,将技术措施的阶段性发展和隐患以报告形式提供给立法部门作为完善法律的客观依据。
