作者:金茂律师事务所 万波 律师 金文玮 律师 徐冰清 律师 张弈 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、《网络短视频内容审核标准细则》发布
2、《金融数据安全 数据安全评估规范》征求意见
3、《福建省大数据发展条例》公布,明年2月1日起施行
二、执法动态
1、国家网信办指导督促网站平台依法处置违法违规“头部账号”
2、中消协发布《50款App账号注销及自动化推荐退订测评报告》
3、国家网信办依法约谈处罚新浪微博
4、教育部:中小学线上学科类培训App暂时下线
5、工信部下架106款侵害用户权益APP
6、小鹏汽车非法采集人脸数据,被罚10万
三、司法审判
1、全国首例:广互认定向苹果商店不当投诉构成“错误通知”
四、新闻事件
1、帮助老年人拥抱互联网 工信部开展互联网应用适老化改造
2、2021中国游戏产业年会开幕 专家、学者热议游戏版权保护
五、域外观察
1、CISA发布《安全能力增强指南》,包含6个最佳实践
2、美国运输安全管理局 (TSA) 发布铁路行业网络安全指令
3、德国:BSI 就可能增加的网络攻击风险发出警告
4、美国运输安全管理局 (TSA) 发布铁路行业网络安全指令
5、拜登政府打破“隐私法”立法僵局:NTIA听证会就隐私问题征求意见
6、最高罚款1000万欧元,谷歌、苹果因数据安全问题遭意大利监管机构制裁
7、 2021重大网络安全灾难!腾讯、苹果、京东等知名企业受到影响
8、阿联酋发布《个人数据保护法》
一、立法动态
1、《网络短视频内容审核标准细则》发布
12月15日,中国网络视听节目服务协会发布《网络短视频内容审核标准细则(2021)》。据悉,该协会组织有关短视频平台对2019版《细则》进行了全面修订,对原有21类100条标准进行了与时俱进的完善。针对社会高度关注的泛娱乐化、低俗庸俗媚俗问题的新表现,以及泛娱乐化恶化舆论生态、利用未成年人制作不良节目、违规传播广播电视和网络视听节目片段、未经批准擅自引进播出境外节目等典型突出问题,为各短视频平台一线审核人员提供了更为具体和明确的工作指引。新版《细则》规定,短视频节目等不得出现“展现‘饭圈’乱象和不良粉丝文化,鼓吹炒作流量至上、畸形审美、狂热追星、粉丝非理性发声和应援、明星绯闻丑闻的”“未经授权自行剪切、改编电影、电视剧、网络影视剧等各类视听节目及片段的”“引诱教唆公众参与虚拟货币‘挖矿’、交易、炒作”的等内容。(来源:光明网)
2、《金融数据安全 数据安全评估规范》征求意见
近日,全国金融标准化技术委员会(以下简称“金标委”)发布公告,就《金融数据安全 数据安全评估规范》金融标准征求意见,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。该标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。金标委表示,开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。(来源:赛博研究院)
3、《福建省大数据发展条例》公布,明年2月1日起施行
近日,福建省十三届人大常委会第三十次会议表决通过了《福建省大数据发展条例》(以下简称《条例》),《条例》从数据资源、基础设施、发展应用、数据安全、保障措施和法律责任等方面对大数据的发展作出了具体规定。该《条例》将于 2022 年2月1日起施行。在数据采集方面,《条例》规定采集数据应当向被采集者公开采集规则,明示采集目的、方式和范围,并经被采集者同意。凡能通过共享获取的公共数据,政务部门不得重复采集。同时,为解决部门间数据壁垒、共享不充分等问题,《条例》明确公共数据以共享为原则、不共享为例外,分为无条件共享、有条件共享和暂不共享 3 种类型。凡列入暂不共享类公共数据的,应当有法律、行政法规或者国家政策作为依据。在公共数据开放方面,《条例》明确应当优先开放与民生密切相关、社会关注度和需求度高的数据。公开数据分为普通开放和依申请开放两种类型。在数据开发利用方面,《条例》规定,依法获取的各类数据经处理无法识别被采集者且不能复原的,可以交易、交换或者以其他方式开发利用。按照有关规定开发利用公共数据资源获得的合法收益,受法律保护。个人信息保护是社会普遍关注的热点,《条例》规定,开展涉及个人信息的数据活动,应当对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。此外,《条例》还规定,政府有关部门应当采取措施培育数据交易市场,鼓励和引导数据交易主体在依法设立的数据平台进行交易,加强对数据交易平台的监管。(来源:数据观)
二、执法动态
1、国家网信办指导督促网站平台依法处置违法违规“头部账号”
今年以来,国家网信办针对一些粉丝量大、关注度高的网站平台“头部账号”法纪意识淡薄,滥用网上影响力,传播错误导向内容,污染网络生态等突出问题,会同相关部门,指导各地网信办,要求网站平台切实履行主体责任,对违法违规“头部账号”依法予以惩处,并于10月开展“清朗·互联网用户账号运营乱象专项整治行动”,针对网络名人账号虚假粉丝、“转世”账号等突出问题,持续加大整治力度。今年以来,有关网站平台对2万余个“头部账号”予以关闭、暂停更新。依法关闭、暂停更新的“头部账号”中,有的侮辱英雄烈士伤害民族感情,如“罗昌平”“Yvonn Almond”等;有的肆意造谣传谣,干扰网络传播秩序,如“George-瓜瓜”“孟婆在修行”等;有的传播软色情信息,毒害青少年身心健康,如“奇葩影录”"高清私密大片”等;有的恶意低俗营销,污染社会风气,如“云南达摩”“风小逸”等;有的存在偷逃税款等违法行为,如网络主播“雪梨Cherie”“林珊珊_ Sunny”等。这些“头部账号”违法违规言行产生不良负面影响,引发广大网民强烈愤慨谴责。(来源:法制网—法制日报)
2、中消协发布《50款App账号注销及自动化推荐退订测评报告》
中消协于12月14日发布的《50款App账号注销及自动化推荐退订测评报告》显示,部分网约车、外卖类App账号在用户注销、关闭自动化推荐方面存在问题较多。有的App未注明注销条件,或是注销条件、流程设置不合理,经人工审核方可注销,但人工审核存在无人受理、承诺时限过长(超过15个工作日)或者承诺时限不明的情况。有的App未向用户提供关闭自动化推荐的方式,或是关闭方式过于隐蔽。本次测评选取了网络约车类、即时通信类、网络支付类、网上购物类、餐饮外卖类、交通票务类、房屋租售类、用车服务类、网络直播类、在线影音类共10类,每类5款共50款App作为测评对象,测评内容为是否可以顺利注销App账号及退订自动化推荐两项内容。针对测评中发现的问题,中消协将向App所属企业分别发送限期整改建议并进行约谈劝谕。如相关企业未能及时整改,中消协将依法开展后续监督工作。建议所有App经营者依据法律法规认真开展自查整改,明示合理的注销条件、提供便捷的注销路径,保障用户顺利注销账号,同时设置便捷的自动化推荐退订方式,持续完善相关用户协议及隐私政策。(来源:新华网)
3、国家网信办依法约谈处罚新浪微博
近日,国家互联网信息办公室负责人约谈新浪微博主要负责人、总编辑,针对近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息,情节严重,依据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,责令其立即整改,严肃处理相关责任人。北京市互联网信息办公室对新浪微博运营主体北京微梦创科网络技术有限公司依法予以共计300万元罚款的行政处罚。2021年1月至11月,国家互联网信息办公室指导北京市互联网信息办公室,对新浪微博实施44次处置处罚,多次予以顶格50万元罚款,共累计罚款1430万元。国家互联网信息办公室负责人强调,网站平台应当切实履行主体责任,健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,加强对其用户发布信息的管理,不得为违法违规信息提供传播平台。国家互联网信息办公室将坚持依法管网治网,进一步强化监督管理执法,压实网站平台依法办网的主体责任,保障人民群众合法权益,维护网络空间天朗气清。(来源:中国新闻网)
4、教育部:中小学线上学科类培训App暂时下线
近日,教育部办公厅印发通知,对加强教育App管理推动与“双减”政策衔接提出明确要求。通知指出,在各地教育行政部门完成中小学线上学科类培训机构审批前,暂停中小学线上学科类培训App的备案工作;已备案的相关教育App暂时从平台下线。下线的相关教育App提供者获得中小学线上学科类培训许可后,在平台补充许可信息,提交恢复备案申请,经所在地省级教育行政部门审核通过后恢复上线;未获得中小学线上学科类培训许可的,撤销备案。通知提出,对于提供和传播“拍照搜题”等惰化学生思维能力、影响学生独立思考、违背教育教学规律的不良学习方法的作业 App,暂时下线。整改到位并经省级教育行政部门审核后,方可恢复备案;未通过审核的,撤销备案。通知明确,不再受理学前线上培训App备案申请,已备案的相关App予以撤销。教育APP平台不再开展“双减”相关投诉受理工作。关于校外培训的相关政策,以校外培训监管部门解释为主。(来源:央广网)
5、工信部下架106款侵害用户权益APP
工业和信息化部信息通信管理局于12月9日发布《关于下架侵害用户权益APP名单的通报》,全文内容如下:今年以来,我部持续推进APP侵害用户权益专项整治行动,加大常态化检查力度,先后三次组织对用户反映强烈的重点问题开展“回头看”。11月3日,我部针对APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,并对未按要求完成整改的APP进行了公开通报。截至目前,尚有5款APP未按我部要求完成整改(详见附件1)。各通信管理局按照我部统筹部署,积极开展APP技术检测,截至目前尚有101款APP仍未完成整改。依据《个人信息保护法》《网络安全法》等相关法律要求,我部组织对上述共计106款APP进行下架,相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理。针对部分违规情节严重、拒不整改的APP,属地通信管理局应对APP运营主体依法予以行政处罚。
(来源:法制网—法制日报)
6、小鹏汽车非法采集人脸数据,被罚10万
据报道,近日上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。至于处罚事由,当事人购买具有人脸识别功能的摄像设备22台,安装在旗下门店,今年1月至6月,共采集上传人脸照片431623张。具体处罚全文如下:2019年,小鹏汽车与某公司签订《小鹏汽车门店客流监测项目框架合同》,合同中约定当事人自2019年3月1日起向某公司购买门店客流监测项目服务。当事人付款购买公司的人脸识别摄像设备后,安装在旗下门店用于采集消费者的面部识别数据。数据上传后,通过算法对面部数据进行识别计算,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。小鹏汽车通过软件查看客流统计和分析结果,在公司经营中用作参考。经查,小鹏汽车共购买具有人脸识别功能的摄像设备22台,共计花费17万余元。前述人脸识别摄像设备全部安装在旗下的销售门店,涉及5个直营店和2个加盟店。2021年1月至6月,共计采集上传人脸照片431623张。截至案发,当事人已拆除上述门店内的人脸识别摄像设备,上传的人脸照片已经由某公司进行删除。当事人无违法所得。根据《消费者权益保护法》等国家相关规定,现责令小鹏汽车改正违法行为,对其罚款10万元。
(来源:车评观察)
三、司法审判
1、全国首例:广互认定向苹果商店不当投诉构成“错误通知”
基本案情:虎牙直播APP是申请人虎牙公司打造的以游戏内容为核心的向用户提供互动式视频直播服务的直播平台应用程序。自2021年4月8日起,被申请人华纳公司多次向第三方苹果公司投诉,称虎牙直播平台上累计有215条短视频侵犯其音乐作品著作权,要求苹果应用商店对涉案APP作下架处理。华纳公司在投诉过程中,未提交涉案音乐作品的权属证明,虎牙公司收到苹果公司发出的转通知后已删除涉嫌侵权的视频。因华纳公司持续向苹果公司投诉坚持要求下架涉案APP,2021年7月15日,苹果公司向虎牙公司发送邮件称:“若短期内本投诉未解决,苹果公司可能会被迫下架你们的应用程序”。
虎牙公司认为:第一,涉案侵权视频由用户上传,虎牙公司仅提供信息存储服务,可适用“通知-删除”规则;第二,华纳公司自始未提交权属证明。
华纳公司辩称:第一,虎牙公司直接参与制作侵权内容,构成直接侵权,不能适用“通知-删除”规则。第二,苹果公司设立的网络侵权争议投诉渠道快捷、有效、合理,华纳公司进行投诉具有正当性,不违反法律规定。
裁判结果:广州互联网法院于2021年9月18日作出裁定,裁定被申请人华纳公司在收到本裁定之日起立即停止针对申请人虎牙公司的应用程序“虎牙直播-游戏互动直播平台”,就编号APP142472-A项下相关事宜向AppStoreNotices@apple.com、苹果应用商店AppStore、苹果公司(APPLE INC.)进行投诉的行为。本裁定事项效力维持至本案终审法律文书生效时止。2021年9月30日,广州互联网法院作出裁定,驳回华纳公司的复议请求。
裁判理由:
一、华纳公司的投诉行为具有一定的不当性
根据《中华人民共和国民法典》第一千一百九十五条第三款之规定,权利人因错误通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任。因此,评价华纳公司的投诉行为是否具有一定不当性需考量苹果公司和虎牙公司是否已经采取了相应必要措施,以及是否会给虎牙公司造成不合理的损害。
首先,苹果公司和虎牙公司针对投诉内容均已采取必要措施。自2021年4月10日始,华纳公司作为涉案音乐作品的权利人,多次向苹果公司发出侵权投诉,认为虎牙直播平台上存在部分侵犯其音乐作品著作权的视频,要求下架整个涉案APP。苹果公司收到投诉后即向虎牙公司转发,后者在华纳公司仅提交查询指引并未提交初步权属证据的情况下,已经删除了被投诉的具体侵权内容,并将包括涉案音乐作品在内的其他视频全部删除。因此,苹果公司、虎牙公司已分别所采取转通知和删除的必要措施。
其次,华纳公司持续向苹果公司投诉并坚持要求下架涉案应用程序的行为属于权利滥用。《中华人民共和国民法典》第一百三十二条规定,民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。华纳公司在本案中主张保护音乐作品的著作权,其要求苹果公司下架涉案应用程序,属于权利滥用。因上传虎牙直播平台的视频数量日均过万,华纳公司取证的215条侵权视频占平台内容比例极小,在平台其他用户上传的海量视频并未侵犯华纳公司权利的情况下,其要求下架整个涉案APP既会损害平台其他用户的合法权益,也会使虎牙公司承担与其可能的过错不相一致的责任。
综上,华纳公司的投诉行为具有一定的不当性,应当予以制止。
二、不采取行为保全措施会使虎牙公司的合法权益受到难以弥补的损害
华纳公司的持续性投诉行为有可能会造成涉案APP被下架,从而对虎牙公司造成难以弥补的损失。包括:1.虎牙公司将直接损失下架期间所有使用苹果公司系统的新增用户,涉案平台上合法内容的传播将受到限制;2.下架期间,虎牙直播平台的流量可能受到负面影响,部分主播可能会向其他直播平台转移,其用户也会随之流失,造成虎牙公司直接经济损失;3.下架涉案APP,在一定程度上会对虎牙公司的商誉及行业地位产生负面影响,减损虎牙公司已有市场份额。
三、采取行为保全措施不会造成双方之间的利益失衡
如果采取行为保全措施,则华纳公司不得再就涉案投诉事项要求苹果公司下架,使虎牙公司涉案APP能够正常提供给苹果用户下载使用,不会造成双方之间的利益失衡。在华纳公司投诉的侵权内容已经全部删除的情况下,采取行为保全措施可能给华纳公司带来的损害,小于不采取行为保全措施可能给虎牙公司带来的损害。
同时,暂时禁止向苹果公司投诉,华纳公司仍然可以直接通知虎牙公司删除侵权内容,也可以就侵权问题依法向有权机关寻求救济,其实体权利并未受到影响。
四、采取行为保全措施不会损害社会公共利益
虎牙直播APP是一个以游戏直播为主,涵盖娱乐、综艺、教育、户外、体育等内容的直播平台应用程序,用户可以通过弹幕的形式与主播实时互动,也可以在平台上传视频。对于涉案侵权视频,即便如华纳公司所言,虎牙公司可从平台内容中获得直接经济利益,而不属于中立的网络服务提供者,不能适用“通知-必要措施”规则,也仅意味着虎牙公司需要对侵权内容承担侵权责任。
但华纳公司要求苹果公司下架虎牙公司涉案APP,将有可能导致平台上其他主播和用户上传的合法内容被一并下架,不仅会损害他人的正当权益,而且不利于促进直播和短视频领域的发展以及社会主义文化事业的繁荣。
五、申请人已经提供足够的担保
申请人虎牙公司已提供50万元银行存款作为担保。在被申请人华纳公司没有举证证明可能因执行行为保全措施所遭受的损失的情况下,上述担保已经初步符合保全担保要求。
专家点评:本案的裁判结果对于明晰著作权人维权行为的界限和防止权利滥用具有非常重要的意义。《信息网络传播权保护条例》规定的“通知与移除”规则旨在维系利益平衡,也就是既要在网络环境中有效地保护著作权,防止作品被未经许可传播,又要促进网络服务业的健康发展,满足公众合法传播和获取作品的需求。当权利人发现网络用户向信息存储空间未经许可上传其作品,当然可以依法向信息存储空间服务提供者发送通知,要求其及时移除侵犯其著作权的作品。网络服务提供者也有权相信著作权人发送的符合法定形式要件的通知内容属实,并及时移除被指称侵权的作品。
如果上传者向信息存储空间服务提供者发送反通知,告之其上传作品的行为并不侵权,网络服务提供者也有权信赖反通知的内容属实,并及时恢复先前依通知而移除的作品,此时著作权人不能再向信息存储空间服务提供者再发内容相同的通知,而应当寻求其他法律解决途径,如提起诉讼。“通知和移除”规则由此在著作权人、上传者和信息存储空间服务提供者之间建立了利益平衡。
然而,随着网络技术的发展和商业模式的不断更新。网络世界中出现了“通知与移除”规则的设计者未曾预料的新情况。一方面,一些信息存储空间中反复出现大量侵权内容,部分权利人不愿不断发送通知。另一方面,供用户向信息存储空间上传内容的机制也可以被设计成应用程序,通过苹果商店等应用程序服务提供者供用户下载安装。一些权利人认为,由应用程序服务提供者直接“下架”该信息存储空间应用程序是最简便易行的防止侵权的方法。本案正是在这样的背景下发生的。需要指出的是,法律规则具有普适性,技术和商业模式的变化,并不能动摇“通知与移除”规则的精神和理念。新的现象也并不意味着原有的法律规则就不能适用。只是对法院理解和把握法律规则的能力提出了更高的要求。可以想见,如果有人未经许可直接将一部作品(如畅销小说的电子版)以应用程序的形式提供,上传到苹果商店。用户下载安装后点击该应用程序只能使用该作品(如阅读电子书),则该应用程序当然属于侵权作品。作品权利人发现后向苹果商店发送通知,苹果商店当然应当及时移除。与此同时,由于苹果商店对应用程序的上传也有防止违法内容传播的审核机制,如果该应用程序直接以畅销小说名称命名,内容一看即知为畅销小说,苹果商店在提供下载之前的审核阶段就能发现该应用程序明显的侵权性质。在这种情况下,甚至无需权利人发送通知,苹果商店也应当阻止该应用程序“上架”。
然而本案的情况和上述假想例完全不同。虎牙直播应用程序本身含有信息存储空间服务功能,用户可以使用该应用程序自行上传视频,且每天都有大量用户上传堪称海量的视频,其中合法视频和侵权视频并存。由于虎牙直播并不像臭名昭著的瑞典盗版湾网站那样,是专门吸引用户未经许可上传音乐和电影等作品的侵权网站,具有实质性非侵权用途,既可以被用户用于传播自拍的合法视频,也可能被用户用于未经许可传播他人作品。此时不能仅仅因为有用户上传了侵权视频,就将虎牙直播与盗版湾等专业侵权网站等同视之。权利人如果发现其中存在侵犯其著作权的内容,应当根据“通知与移除”规则,向虎牙直播的经营者发送通知,要求其删除侵权内容。如果权利人认为用户上传的是非常明显的侵权内容,虎牙直播在进行审核时必然能够发现其侵权性质,但虎牙直播未尽到合理注意义务,仍然允许其进行传播,也可以依据“红旗标准”,在不向虎牙直播发送通知的情况下,直接起诉虎牙直播帮助用户侵权。
在本案中,涉案音乐作品的权利人并没有采用上述两种维权方法,而是要求苹果商店将虎牙应用程序“下架”。如果苹果商店为了避免遭受诉讼而遵从了这一请求,将在实质上架空“通知和移除”规则,造成严重的利益失衡。虎牙应用程序本身并不是侵权作品,即使将苹果商店视为一个信息存储空间,权利人也只能针对侵权作品发出要求移除的通知。在该应用程序具备允许用户上传的功能,而有用户上传侵权作品的情况下,依“通知和移除”规则,权利人只能针对用户利用该应用程序上传的侵权作品,向存储该侵权作品的信息存储空间服务提供者(本案中为虎牙应用程序的经营者)发出通知,而无权要求苹果商店移除该应用程序。由于涉案的侵权音乐作品并不存储于苹果商店或苹果公司管理的其他网络空间中,苹果商店在技术上只可能移除虎牙应用程序,不可能直接移除用户利用该应用程序上传的侵权作品,涉案音乐作品权利人是不可能向苹果商店发出符合《信息网络传播权保护条例》规定的通知的。
对于苹果手机和iPad的用户而言。获取应用程序的主要途径就是从苹果商店中搜索并下载,极少有用户去该应用程序开发者的官网下载相关应用程序。将虎牙应用程序从苹果商店中“下架”,几乎等同于宣判了该应用程序的死刑,也基本堵死了用户获得该应用程序的途径。如果按照涉案音乐作品权利人的诉求去理解和实施“通知和移除”规则,必然造成利益失衡。受到不合理影响的不仅是虎牙应用程序和相关信息存储空间服务提供者的合法利益,还有成千上万利用虎牙应用程序在信息存储空间中发布和欣赏合法内容的用户的正当利益。
在本案发生之前,权利人向苹果商店发送与本案中情况类似的通知,要求移除类似应用程序的情况也有发生。但之前尚未有法院认定此类通知属于错误通知,广州互联网法院的裁决是全国首例,具有非常重要的意义。
首先,它澄清了“通知和移除”规则的立法精神和内涵。该裁决明确了权利人向网络服务提供者发送的侵权通知应当针对本身构成侵权的内容(如前文提及的将他人作品未经许可制作为小程序)。与本案情况类似的、可被用户用于上传侵权内容的应用程序,并不能作为权利人发出通知、要求移除的对象。这就为权利人正确发出侵权通知提供了指引,也为接到通知的网络服务提供者判断自己是否应当根据通知的要求移除被指称侵权的内容确立了规则。
其次,该裁决明晰了错误通知的认定标准。本案中权利人向苹果商店发送的通知虽然不符合《信息网络传播权保护条例》的要求,但是苹果商店和类似的网络服务提供者在接到此类通知时,为了尽可能保护自身的利益,也可能会遵从通知的要求,将被指称侵权的应用程序“下架”。虽然《信息网络传播权保护条例》规定了“反通知和恢复”程序,但该程序和《民法典》的规定并不一致。根据《信息网络传播权保护条例》的规定,网络服务提供者在收到反通知之后,只要其符合形式要件,就应当恢复被移除的内容。然而根据《民法典》的规定,只有在合理期限结束之后,权利人未提起诉讼或向有关部门投诉的情况下,网络服务提供者才能恢复被移除的内容。虽然笔者认为对于网络环境中著作权保护而言,根据立法原意应当优先适用《信息网络传播权保护条例》的规定,但毕竟网络服务提供者会对此心存疑虑,如果其选择根据《民法典》的规定,在合理期限内不根据反通知恢复此前已经移除的内容,可能对应用程序的提供者造成严重的损害。因此法院根据本案的事实,认定本案权利人所发出的是错误通知,这一点是完全正确的,可以给此后权利人在维护时予以警示,促使其谨慎地行使自己的权利,而不是滥用权力。
最后,本案的裁决对于因错误通知受到损害的民事主体通过行为保全获得救济提供了指引。在本案中,对于涉案音乐作品的权利人向苹果商店发送通知、要求“下架”虎牙应用程序的行为,虎牙应用程序的提供者已向法院寻求司法救济并提供担保。相关问题的是非曲直,完全可以通过司法裁判得到最终认定。与此同时,涉案音乐作品权利人此前指称侵权的内容,虎牙公司也均从其信息库储存空间中移除,其合法利益已经在很大程度上得到了维护,在这种情况下,如果涉案音乐作品权利人持续不断地向苹果商店发出要求移除虎牙应用程序的通知,并最终迫使苹果商店为了避免自身卷入纠纷而将虎牙应用程序下架,可能会给虎牙应用程序的提供者以及大量合法上传和欣赏内容的用户利益造成不成比例的损害。此时,广州互联网法院根据最高人民法院的司法解释,认定进行行为保全的条件已得到满足并禁止涉案音乐作品的权利人在诉讼期间继续向苹果商店发出类似通知,有充分法律依据。该裁决为将来受到错误通知影响的民事主体向法院申请行为保全提供了有益的参考,更能起到遏制权利人发送错误通知,谨慎维权的积极作用。
总之,在网络环境对著作权提供高水平保护的正当性毋庸置疑,但促进网络服务业的健康发展和维护用户合法权益也极为重要。可能导致大量伤及无辜的通知属于错误通知,持续大量发送此类通知可能构成权利滥用,在此情况下受到影响的民事主体可以向法院请求采取行为保全措施,禁止权利人发送此类通知。这是本案裁决为在网络环境中实现利益平衡所创设的重要先例,无疑将被载入我国著作权司法保护的史册。(华东政法大学教授 王迁)(来源:广州互联网法院微信公众号)
四、新闻事件
1、帮助老年人拥抱互联网 工信部开展互联网应用适老化改造
工业和信息化部消费品工业司司长何亚琼于12月9日在国新办发布会上介绍,为解决老年人运用智能技术困难,工信部组织对常用的173家网站和App进行了适老化改造。此外,工信部还组织开发了短信验证行程卡,解决部分老年人无法应用智能手机使用通信行程卡的问题。(来源:新华网)
2、2021中国游戏产业年会开幕 专家、学者热议游戏版权保护
12月15日,2021中国游戏产业年会在广州开幕。其中。由中国音像与数字出版协会指导。中国音数协游戏工委、中国游戏产业研究院共同主办的“中国游戏产业版权保护及法律合规高峰论坛”在当日上午举行。在讨论游戏版权保护之外,此次高峰论坛的另一个焦点是游戏运营合规。今年《数据安全法》和《个人信息保护法》先后在9月和11月正式生效,业界预期这两部法律对游戏行业将产生非常深远的影响。北京版信通技术有限公司CEO李海明表示,目前游戏广告推广的问题在于,市场上存在盗版素材、抄袭剽窃、违规卖量、虚假宣传,乃至在宣传推广中使用知名游戏的名称,盗用其他游戏公司美术资源等情况。他认为,互联网广告管理法出台后,游戏广告也会相应地有更多更详细、更严格的要求。李海明指出,游戏的合规运营主要体现在三方面,包括游戏内容合规、未成年人保护和发行推广合规,其中发行推广合规存在两大难点,一是确权模式有待完善,二是授权规则不够明细。为此他呼吁,游戏企业应结合区块链等最新技术,在政府监督、司法保护、行业自律和社会监督四个层面共建游戏版权保护体系。(来源:光明网)
五、域外观察
1、CISA发布《安全能力增强指南》,包含6个最佳实践
11月24日,美国网络安全和基础设施安全局(CISA)发布了可操作的安全能力增强指南(CEG),并创建了一个企业移动管理(EMM)系统检查表,为企业和相关组织提供改善移动设备网络安全的参考。由于企业管理的移动设备面临威胁广泛,指南中描述的措施侧重于组织可以采取的各种易于实施的步骤,通过最佳实践,帮助企业及机构为员工提供对企业移动设备资源的安全访问。最佳实践分为6步,涵盖设备管理、身份验证、应用程序安全、安全通信、设备保护等内容。(来源:赛博研究院)
2、美国运输安全管理局 (TSA) 发布铁路行业网络安全指令
美国运输安全管理局(TSA)于12月2日发布了两项安全指令,要求铁路和轨道交通集团采取措施加强该部门的网络安全,包括向联邦政府报告网络事件。安全指令要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局(CISA)报告,并指定一名网络安全协调员。该项指令早前计划要求企业在12小时内报告网络事件,但遭到了工业界和共和党人的反对和批评。据一位国土安全部官员表示,这些指令将覆盖大约80%的货运铁路和90%的客运铁路。指令将于12月31日生效,业主和运营商将有90天时间进行网络安全脆弱性评估,180天时间实施网络安全事故响应计划。目前新的安全指令的文本尚未公开发布。(来源:赛博研究院)
3、德国:BSI 就可能增加的网络攻击风险发出警告
2021年12月2日,德国联邦信息安全办公室(&aposBSI&apos)与联邦刑事警察办公室(&aposBKA&apos)表示,在即将到来的圣诞节假期期间,公司和组织遭受网络攻击的风险会增加,原因是Emotet垃圾邮件的重新发送、勒索软件团体对犯罪盟友的积极公开招揽,以及德国许多Microsoft Exchange服务器的持续漏洞。特别是,BSI指出,勒索软件攻击通常是分阶段进行的,在感染目标系统后,例如通过Emotet或利用现有漏洞,其他恶意软件变种会在进一步的步骤中重新加载,并用于在受感染的网络中传播并最终加密系统。此外,BSI指出,这些操作通常由不同的犯罪者群体执行,他们以BKA称为“网络犯罪即服务”的服务模式行事。此外,BSI表示,勒索软件的成功攻击可能威胁到任何公司的生存,这就是为什么BSI针对这种威胁情况发布了单独的网络安全警告并将其发送给其目标群体。(来源:赛博研究院)
4、美国运输安全管理局 (TSA) 发布铁路行业网络安全指令
美国运输安全管理局(TSA)于12月2日发布了两项安全指令,要求铁路和轨道交通集团采取措施加强该部门的网络安全,包括向联邦政府报告网络事件。安全指令要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局(CISA)报告,并指定一名网络安全协调员。该项指令早前计划要求企业在12小时内报告网络事件,但遭到了工业界和共和党人的反对和批评。据一位国土安全部官员表示,这些指令将覆盖大约80%的货运铁路和90%的客运铁路。指令将于12月31日生效,业主和运营商将有90天时间进行网络安全脆弱性评估,180天时间实施网络安全事故响应计划。目前新的安全指令的文本尚未公开发布。(来源:赛博研究院)
5、拜登政府打破“隐私法”立法僵局:NTIA听证会就隐私问题征求意见
拜登政府近期正在研究数据隐私问题如何影响公民权利,这是该政府在隐私政策方面开展的首次重大努力。由于该政府对隐私政策的看法可能是制定期待已久的国家隐私法的关键,因此业内都在期待白宫会在规范隐私方面作出怎样的决定。根据美国商务部下的国家电信和信息管理局(National Telecommunication and Information Administration;NTIA)公开会议的通知,NTIA计划举行“听证会”。听证会将于12月中旬举行,重点关注民权法和隐私、数据收集和使用如何影响结构性不平等以及潜在的解决方案,并就隐私、公平和公民权利的交叉问题征求意见。(来源:赛博研究院)
6、最高罚款1000万欧元,谷歌、苹果因数据安全问题遭意大利监管机构制裁
近期,亚马逊和苹果因涉嫌垄断问题被意大利监管机构处以2.3亿美元罚款。11月26日,意大利竞争与市场管理局(AGCM)再次制裁了苹果和谷歌,对两家企业分别处以1000万欧元罚款。众所周知,谷歌的经济活动基于为他人提供与互联网相关的产品和服务,包括在线广告、搜索工具、云计算、软件和硬件等,而这些产品与服务又是基于用户画像及数据进行的。苹果则是出于商业目的,对使用其设备和服务的用户进行个人数据收集、分析和使用。因此,即使没有向第三方进行数据共享,苹果也会通过促销活动直接利用用户数据。(来源:赛博研究院)
7、 2021重大网络安全灾难!腾讯、苹果、京东等知名企业受到影响
近日,Log4Shell漏洞像病毒一样在互联网上迅猛扩散,肆虐全球。研究人员发现,全球超过40%的企业网络都遭遇了漏洞利用攻击。漏洞影响企业名单中包括,苹果、腾讯、Twitter、百度、滴滴、京东、网易、亚马逊、特斯拉、谷歌等大量知名互联网科技企业。目前大多数Log4Shell漏洞利用主要是挖矿软件,但攻击者也在积极尝试在易受攻击的系统上安装更危险的恶意软件。据微软研究人员称,除了挖矿软件之外,他们还看到了Cobalt Strike的安装,攻击者可以用它来窃取密码,通过横向移动进一步潜入受感染的网络并窃取数据。业界众多网络安全公司表示,这是2021年最重大的网络安全灾难。值得注意的是,该漏洞的影响可能是巨大的,因为它具有蠕虫特点,并且可以自行传播。即使有了补丁,易受攻击的组件也有几十个版本。该漏洞像病毒一样还在发生快速变异,试图绕过现有缓解措施,并吸引了越来越多的攻击者参与其中。网络安全专家Sophos研究人员表示,他们“自12月9日以来已经检测到数十万次利用此漏洞远程执行代码的尝试”,并指出其他组织(包括Cloudflare)的日志搜索表明该漏洞可能已被利用数周。当今网络服务往往是由相互通讯的多个组件构成的。因此,这则恶意信息也可能通过数据传输,在某个环节被记录和执行,这将极大扩展了漏洞的攻击面。(来源:商务密邮)
8、阿联酋发布《个人数据保护法》
阿拉伯联合酋长国正在进入一个数据隐私执法的新时代。11月下旬,作为成立50周年的其中一项,阿联酋联邦政府发布了一系列全面的法律改革,其中特别包括针对2021年《个人数据保护法》的阿联酋第45号联邦法令。虽然该地区的数据隐私专家期待已久,但许多组织还没有准备好承担数据处理和应对新的数据主体权利相关的新义务和控制措施。距离开始实施还有不到一年的时间,受影响的组织需要迅速采取行动来实现法规的遵从性。该法律的核心目标之一是确保在阿联酋处理的所有个人数据得到透明、诚实、公平、这意味着当该法律于2022年1月2日生效时(2022年9月开始实施),组织必须向数据主体具体披露为什么收集数据、如何使用数据以及将与哪些方面共享数据(可能包括传统的个人信息,如出生日期和地址,以及生物识别、语音记录、图像和其他具有特定个人唯一标识的文件)。为了保持法规遵从性,组织还需要建立相应的流程,以便在数据主体提出请求时(即响应数据主体的访问请求),立即从处理和存储系统中包含和删除个人信息。法律规定的其他个人权利包括被遗忘的权利、获得组织持有的该个人所有数据的副本的权利、数据可移植性和更正权利,以及轻松撤销同意的权利。(来源:数据隐私合规微信公众号)