云服务器提供商著作权责任认定的困境与出路

文 / 林妍池

一、问题的提出

数字时代下，云计算作为计算机科学与互联网产业深度融合发展的产物，已经成为我国信息产业创新发展的战略性核心技术，也为传统实体经济的数字化转型构筑了基础性运行平台。1. 参见吴汉东：《云计算技术发展与专利法变革》，http://www.nipso.cn/onews.asp?id=51473，最后访问日期：2023年6月1日。据2022年发布的《中国云计算创新活力报告》显示，近年来我国云计算之服务产业规模与技术创新活力均不断提升，业已成为我国互联网新型基础设施建设与重点领域数字产业发展的重要引擎。2. 参见新华社中国企业发展研究中心—中国科技企业创新活力系列研究课题组：《＜中国云计算创新活力报告＞发布——创新驱动发展 中国云计算行业跑出“加速度”》，http://www.xinhuanet.com/techpro/20221220/4469b7c2417b41fea5 44b55ae0615a13/c.html，最后访问日期：2023年6月1日。面对互联网产业技术的不断革新与网络服务提供商的多元迭代，作为“技术之子”的著作权法应当如何为其提供清晰的行为规范指引及健全的法律制度保障，成为未来我国互联网法治建设进程中的重要问题。自“阿里云案”3. 参见北京市知识产权法院（2017）京73 民终1194 号民事判决书。判决生效以来，有关云服务商著作权侵权责任的认定问题逐渐受到学理界的广泛探讨。然而，纵观既有研究成果，其大多倾向于以“云计算服务商”为整体研究对象，系统性地探讨云计算环境下网络服务提供商侵权责任认定规则及其注意义务体系的调整，较少有基于对云计算服务技术架构的精准把握，采取分层级、分角色的研究思路对上述问题作出细化阐释。事实上，由于云计算服务体系与服务模式的复杂性，处于不同技术层级的云服务提供商往往在服务内容及面向对象、信息控制及处理能力、对侵权内容的介入程度等诸多方面存有显著差别，因而有必要将上述因素纳入考量，对云服务提供商的著作权侵权责任予以差异化认定。其中，云服务器提供商作为云计算服务体系中起到基础性支撑作用的关键主体，单独对其著作权侵权责任认定问题展开研究，对于未来我国网络平台侵权责任规则的完善及互联网产业的创新发展而言尤为必要。有鉴于此，本文拟立足于对云服务器提供商侵权责任认定困境的多维检视，通过考察云计算服务的整体技术架构，对云服务器提供商之法律地位及其规范适用问题展开探讨，进而试图对其著作权侵权责任的认定路径作出修正与完善。

二、云服务器提供商著作权责任认定的困境剖析及成因检视

在认可云计算技术的普遍适用及网络服务产业的迅猛发展之余，其相伴而生的著作权侵权治理难题也不容忽视。对目前云计算服务产业之侵权治理现状进行考察可以发现，云服务器提供商作为整个云服务体系中的最底层主体，其著作权侵权责任的认定与承担通常存在来自产业实践与司法审判等层面的多重困境。一方面，权利人在发现侵权内容后，出于节约维权成本与提高维权效率的考量，其往往选择跳过侵权内容所处平台的实际运营者，转而直接将处于服务架构最底层的云服务器提供商视为侵权治理责任的兜底方，并要求其对上层平台存在的侵权内容采取删除、断开链接等必要措施，否则即通过司法诉讼渠道追究其相应侵权责任。如在“阿里云案”中，原告乐动卓越公司即放弃对涉案侵权软件经营者的追查，而是在两次致函通知后，直接将为后者提供云服务器出租、管理服务的阿里云公司作为被告诉至人民法院，要求其就侵权损害扩大部分承担连带责任。事实上，著作权人群体在云计算环境下所采取的此种“向底层主体追责”的维权举措，常常导致云服务器提供商不得不面对过于频繁的侵权指控与较为沉重的诉讼负担，继而迫使其将大量资源投入法律风险防范与涉诉争议解决之上，极大地增加了其运营成本，阻碍了其发展步伐。另一方面，在相关司法实践中，目前各地各级人民法院对于云服务器提供商的法律定位及规范适用尚未形成统一标准，导致其侵权责任认定仍然存在法律依据不明确、责任内容不清晰、判决结果不一致等问题，无法为云服务器提供商的侵权内容治理义务形成有效的规范指引。“阿里云案”一二审法院所作出截然不同的判决结果正是对上述司法实践现存问题的反映。

从法教义学视角对上述云服务器提供商之侵权责任认定困境进行检视，其根本原因在于既有著作权法律规范在面对互联网技术变革时存在适用上的滞后与僵化，继而导致作为新型产业主体的云服务器提供商难以在既有网络平台责任规范体系中及时找寻到恰当的制度容纳空间。4. 参见王立梅：《网络空间下避风港原则的完善与网络服务提供者责任分类》，载《江西社会科学》2020年第5 期，第157-167 页。具体而言，我国关于网络服务提供者著作权侵权责任的既有制度规范存在以下三个方面的问题：其一，各法律条文之效力位阶及适用顺序亟需明确。目前我国网络服务提供商的侵权责任规范体系基本由《信息网络传播权保护条例》与《民法典》侵权责任编的相关规定构成，二者在部分内容上存有交叠，然其适用关系尚不明晰。这一立法现状即导致司法机关在认定云服务器提供商的著作权侵权责任之际，往往在法律依据援引方面缺乏确定性与一致性，继而致使“同案不同判”司法现状的出现。其二，作为责任主体的网络服务提供者之具体类型有待细化。根据侵权责任法适用的一般逻辑，明晰责任主体在既有规范体系中的基本定位，是确定其责任依据、明确其责任承担、认定其责任内容的基本前提。然而不可否认，在互联网产业的迭代发展之下不断衍生的网络平台类型已经超出了规范设定之初的目标主体范畴，既有法律规定对网络服务提供者类别架构所作出的笼统划分已然无法回应当下网络服务商多元化、多层级的发展趋势。5. 参见熊琦：《著作权法“通知-必要措施”义务的比较经验与本土特色》，载《苏州大学学报（法学版）》2022年第1期，第97-109 页。正因如此，作为新型主体的云服务器提供商在涉及侵权责任司法认定时，常常需要面对法律定位不明、服务类型不清等问题，进而难以精准涵摄于既有网络服务提供商侵权责任的规范体系之下。其三，网络服务提供商之“必要措施”的基本范畴仍需探索。“通知-必要措施”规则作为网络服务提供商侵权责任规范的重要组成部分，既有规则以“删除、屏蔽、断开链接等”这一表述对其内涵作出了基本界定。然而，上述内涵阐释缺乏对网络服务商多元化、差异化发展趋势的考量，将其对侵权内容的处理手段定位于相同效果强度，极易导致不同层级、不同角色网络服务商责任内容的混同。对于云服务器提供商而言，以采取此种程度的“必要措施”作为免除其侵权责任的基本前提，在事实上使其承担了超出其技术能力与法律权限，甚至违反合同义务及行业伦理的侵权内容治理义务，无疑对其自身的正常运营与发展造成了不合理的阻碍。

鉴于上述问题的存在，笔者认为有必要基于对云计算服务之基本架构及技术特征的整体把握，在我国网络服务提供商侵权责任的既有规范体系之下，重新明确云服务器提供商的法律定位，在此基础上对其著作权侵权责任认定路径予以廓清与完善，以此为云计算环境下的版权侵权治理工作提供清晰的行为指引，也为未来互联网服务产业的创新发展提供良好的基础运营秩序与法律制度保障。

三、云计算服务体系下云服务器提供商的双重定位

（一）技术定位：云服务器提供商是处于IaaS 层的基础设施服务提供者

从技术层面明晰云计算服务的部署模式与云服务器提供商的核心特征，是在法律层面探讨其著作权侵权责任的逻辑前提。根据美国国家标准与技术研究院（NIST）的定义，云计算（Cloud Computing）是一种为用户提供可用的、便捷的、按需的网络访问，使其能够进入可配置的资源共享池（包括网络、服务器、存储、应用软件和服务等）的服务模式，具有按需自助、广泛访问、资源共享、弹性扩展、自主优化等基本特征。6. Anne C. Datesh, Storms Brewing in the Cloud: Why Copyright Law Will Have to Adapt to the Future of Web 2.0, AIPLA Quarterly Journal, Vol.40:685,pp.685-726(2012).同时，NIST 按照服务类型与服务模式的不同，将云计算服务体系划分为三个层级：即“基础设施即服务（IaaS）”“平台即服务（PaaS）”和“软件即服务（SaaS）”，三者分别对应不同的技术层级与服务内容。为与国际标准保持一致，我国对于云计算服务制定的规范文件也采用了上述分级标准。7. 参见《信息安全技术· 云计算服务安全指南》（GB/T 31167-2014）和《信息安全技术· 云计算服务安全能力要求》（GB/T 31168-2014）。具体而言，处于IaaS 层的云服务商通常为目标客户提供如场外服务器租用、数据存储空间、网络带宽资源及防火墙等基础设施服务，客户需要在其购买或租用的基础设施之上自行从事操作系统的部署与管理、应用软件的开发与运营等经营活动。而PaaS 层服务则通常在IaaS 层的基础设施之上，进一步为客户提供操作系统、数据库、编码程序、开发环境等中间层级服务，客户可以基于此直接部署并控制自己的产品及应用。相比之下，处于SaaS 层的云服务商则直接面向客户提供较为完备的应用程序与用户数据托管服务，客户支付对价即获得对应用软件的运营权限，而其数据存储管理与日常维护工作仍然由云服务商负责。8. 参见【美】MICHAEL J.KAVIS：《让云落地：云计算服务模式（SAAS、PAAS 和IAAS）设计决策》，陈志伟、辛敏译，电子工业出版社2016年版，第17-23 页。从三者的运营关系来看，IaaS 层服务商为PaaS 层服务商提供了基础设施与资源，而PaaS 层服务商又为SaaS 的产品落地提供托管平台，进而形成了“云堆栈”（CloudStack）式的基本服务架构。9. BEN KEPES, UNDERSTANDING THE CLOUD COMPUTING STACK: PAAS, SAAS, IAAS,at http://www.innovation4.cn/library/r21233,last visited on June 2, 2023.

基于对云计算服务之技术架构的梳理可以明确，作为本文研究对象的云服务器提供商系处于IaaS 层的基础设施服务提供者。以阿里云公司提供的ECS 云服务器为例，其即为采取虚拟化存储与计算技术，为上层平台运营商铺设并维护基础物理架构、提供基础性网络设施服务的典型。10. 参见姚震：《论“通知-删除”规则对云服务器提供商的豁免——兼议“转权利人通知”》，载《南通大学学报（社会科学版）》2020年第5 期，第61-70 页。结合其在云计算服务体系中的所处层级与服务内容，云服务器提供商具有以下核心特征：其一，服务对象的非终端性。不同于传统网络服务提供者，在多层级的云计算服务体系中，云服务器提供商面向的服务对象往往是来自上层级的云租户，通常包括网络平台或应用软件的运营商、内容服务的提供商等，而非直接面向平台终端用户提供服务。各云租户往往仅需根据自身运营需求与发展方向，选择租赁合适的云服务器并购买配套带宽资源等基础设施服务，基于此自行进行资源配置与部署，开展网络服务活动。11. 参见谢兰芳、付强：《云计算服务提供者侵权责任类型化》，载《河南财经政法大学学报》2018年第2 期，第127-132 页。此种商业模式在为其节约基础设施开发与维护成本的同时，也大幅提升了其服务运营的稳定性。其二，服务资源的共享性。就多数云服务商的运营现状而言，同一云服务器提供商往往面对多个云租户提供基础设施服务，形成多租户共享型的基本布局。12. 参见王太平：《云计算环境下的著作权制度:挑战、机遇与未来展望》，载《知识产权》2013年第12 期，第17-27 页。在此种服务模式之下，多个应用或平台同时于同一云服务器之上平行运行，但各运营商之服务体系相互独立，数据信息分别存储，彼此之间互不介入、互不影响。然而这一特征也决定了在纵向维度上，处于IaaS 层的云服务器提供商对云服务器作出的技术操作与调整会不可避免地对该服务器上的全部云租户造成影响。其三，服务内容的回避性。对于绝大部分云租户而言，其通过租用云服务器以节约运营成本、提高服务效率之余，仍然不愿因其在物理设备层面的依赖性而放弃对用户数据内容的控制权。此种商业逻辑即导致云服务器提供商往往需要依据行业规范标准与服务合同约定，对其云租户承担用户内容回避义务与数据安全保障义务。13. 如《信息安全技术·云计算服务安全指南》（中华人民共和国国家标准 GB/T31167-2014）第7.3.2 条即规定，“客户提供给云服务商的数据、设备等资源，以及客户在云计算服务运行过程中收集、产生和存储的数据和文档都属于客户所有；未经客户授权，云服务商不得访问、修改、披露、利用、转让、销毁客户数据；服务终止时，应按客户要求对数据和文档进行归还和彻底清除；并采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性和可用性。”基于此，云服务器提供商通常主动采取分布式存储、数据同态加密等技术手段，并建立安全风险提示、平台实时监管等合规机制，对上述义务内容作出严格履行。14. 参见魏亮：《云计算安全风险及对策研究》，载《邮电设计技术》2011年第10 期，第19-22 页。与此同时，云租户往往也基于自身数据安全与合同利益的考量，采取相应加密措施以防止云服务器提供商对其服务内容或信息数据的介入。

显然，在云计算服务架构之下，云服务器提供商所处的技术层级及其服务特征已然突破了传统网络服务提供者的概念范畴，亟需在法律制度层面对其作出清晰定位。为保障既有制度的稳定性与法律规则的普适性，采取法律解释路径对其作出规范容纳与理论回填，应是当下的适宜之选。因此，下文拟在既有网络服务平台侵权责任制度框架之下，对云服务器提供商的法律地位予以明确，基于此探寻云服务器提供商著作权侵权责任的认定路径与完善方向。

（二）法律定位：云服务器提供商是《民法典》规定之网络服务提供者

就目前而言，我国有关网络服务提供者侵权责任的现行规范主要散见于《信息网络传播权保护条例》（以下简称《条例》）《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》以及《民法典》侵权责任编第1194 至1197 条（原《侵权责任法》第36 条）之中。基于此种定位分散、内容重叠、位阶各异的立法现状，目前我国学理界与司法界对于“网络服务提供者”之概念范畴的界定仍然存在较强的模糊性与不确定性。15. 参见蔡元臻、白睿成：《云计算服务平台适用避风港规则的局限性及其破解》，载《知识产权》2020年第4 期，第42-52 页。.其中，于2006年通过的《条例》在第20 至23条将“网络服务提供者”这一概念细分为四种类别，并分别对其免责条件作出针对性的细化规定；而于其后颁布的《民法典》侵权责任编之相关规定（原《侵权责任法》第36 条）则仅以“网络服务提供者”这一概括式表述对责任主体作出了整体界定，并针对该类特殊责任主体设置了侵权责任的认定规则。鉴于上述规定在主体范畴、规范性质、规则内容等层面均存在一定差异性，厘清二者之间的适用关系，是明晰云服务器提供商之法律地位、确定其侵权责任认定规则的基本前提。

对于这一问题，既有学理研究与司法实践中均存在观点认为，二者构成特别法与一般法的关系，因而在对新型网络服务提供商的著作权侵权责任作出认定之际，《条例》应当优先于《民法典》的相关规定得以适用。16. 参见姚震：《论“通知-删除”规则对云服务器提供商的豁免——兼议“转权利人通知”》，载《南通大学学报（社会科学版）》2020年第5 期，第61-70 页。基于对此种适用顺序的认可，不同司法机关在具体案件审理中为层出不穷的新兴主体确定了责任判定的法律依据。如在“微信小程序”案中，一审法院即认为应当依据《条例》之规定对《侵权责任法》第36 条的适用对象进行限缩解释，使后者规范的主体范围与前者保持一致，并据此排除了“通知-必要措施”这一责任认定规则对小程序服务提供商的适用。17. 参见杭州互联网法院（2018）浙0192 民初字7184 号民事判决书。再如在“阿里云案”中，法院同样明确《条例》应当作为《侵权责任法》的特别法予以优先适用，据此在判决中论证阿里云公司作为“云服务器提供商”不属于《条例》规定的四类网络服务提供者，继而应当成为《侵权责任法》第36 条之一般规定的规范对象。18. 参见北京市知识产权法院（2017）京73 民终1194 号民事判决书。然而，笔者认为，上述法律适用结果均存在对二者效力位阶的认定误区。根据《立法法》的相关规定，对于“特别法优于一般法”这一适用顺序的确认，应当以二者制定主体一致为基本适用前提。19. 《立法法》第92 条规定：“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章，特别规定与一般规定不一致的，适用特别规定；新的规定与旧的规定不一致的，适用新的规定。”然《条例》是国务院针对信息网络传播权制定并颁布的行政法规，而《侵权责任法》是由全国人大常委会制定并通过的民事基本法律，二者显然不符合上述适用条件。仅因前者在责任主体与规范内容上更加详尽具体，即认定其在适用顺序上优先于后者的相关规定，在正当性与合理性上均有所匮乏。

鉴此，从历史解释的视角出发，通过考察上述立法规范的演进历程以确定其适用关系，不失为一种适宜之选。事实上，我国网络服务提供者的侵权责任认定规则经历了一个从全面借鉴到自主调适的发展过程。《条例》对网络服务提供者进行细化分类，并为其设定不同义务范围及免责条件这一规范路径，正是对美国《数字千年版权法》（DMCA）相关规定的直接移植借鉴之举。而后《侵权责任法》第36 条及《民法典》侵权责任编的相关规定，乃是基于《条例》在适用过程中所暴露出的责任主体类型化不足、免责条款规制力度薄弱等问题之考量，选择向归责条款之规范性质进行回归，并对其适用范围及规范内容作出了扩张与完善，继而形成符合我国产业发展现状及司法实践需求的网络服务提供商侵权责任认定体系。20. 参见熊琦：《著作权法“通知-必要措施”义务的比较经验与本土特色》，载《苏州大学学报（法学版）》2022年第1期，第97-109 页。因此，不论在效力位阶、颁布时间、条款性质抑或规范内容层面，《民法典》侵权责任编对于网络服务提供商侵权责任认定的一般性规则均应当具有适用上的优先性。基于对既有立法规范之适用关系的明晰，可以明确的是，云服务器提供商在法律定位上应当落入《民法典》所规定之“网络服务提供者”的概念范畴，故而当其上层云租户平台中存在著作权侵权内容时，应当依据《民法典》侵权责任编之有关规定对其侵权责任予以认定。

四、云服务器提供商著作权责任认定之路径完善

（一）责任依据：明确“通知-必要措施”规则的适用

对云服务器提供商著作权侵权责任的认定，应当以侵权行为、损害结果、因果关系、过错四个基本要件的判定为逻辑始点，其中，对于责任主体过错的判断应当为其侵权责任认定的核心。21. 参见姚震：《论“通知-删除”规则对云服务器提供商的豁免——兼议“转权利人通知”》，载《南通大学学报（社会科学版）》2020年第5 期，第61-70 页。根据《民法典》第1195 至1197 条的规定，对于网络服务提供者间接侵权“过错”要件的认定存在如下两个维度：其一，在“通知-必要措施”规则之下，网络服务提供商在接到权利人的合格侵权通知后未及时采取必要措施，则可以认定其具有主观过错；其二，当网络服务提供商知道或应当知道平台中侵权内容的存在，却并未及时采取必要措施时，则可据此认定其对侵权内容存在未尽合理注意义务的过错。

然而，上述过错认定标准却并非一概适用于云服务器提供商这一具有明显特殊性的网络服务平台类型。根据危险控制力理论，网络服务提供者的侵权责任应当与其对侵权行为的实际控制能力相匹配，因而其注意义务的设定也应当基于对其风险治理能力的整体考量。22. 参见吴汉东：《论网络服务提供者的著作权侵权责任》，载《中国法学》2011年第2 期，第38-47 页。.事实上，在云计算服务架构中，云服务商的服务内容越基础，服务层级越趋近于底层，其对于侵权内容的介入权限与控制能力则越弱。其中，云服务器提供商作为处于云计算服务体系底层的“网络基础设施服务提供者”，其虽在外观上具备为用户提供存储空间、网络链接等服务的行为表征，但在实质上却并无技术能力与法律权限对云租户的具体运营内容与数据信息进行接触与控制。23. 参见蔡元臻、白睿成：《云计算服务平台适用避风港规则的局限性及其破解》，载《知识产权》2020年第4 期，第42-52 页。显然，云服务器提供商对于上层服务平台中可能出现的侵权内容缺乏足够的控制能力，要求其对云租户的侵权内容达到“应当知道”的注意义务标准，使其承担时时监控、审查、识别上层云租户侵权行为存在的注意义务，无疑是为其施加了超出自身能力范畴的责任负担。相较而言，更为适宜的做法是，将其对侵权行为的注意义务内容调整至较低层次，以收到权利人的合格侵权通知作为云服务器提供商之过错认定的前提。易言之，“通知-必要措施”规则应当成为云服务器提供商著作权间接侵权责任认定的核心依据。基于对这一责任认定规则的申明，下文拟基于对云服务器提供商技术能力、服务内容、行业伦理、法律权限等因素之考量，通过调整“通知-必要措施”规则对云服务器提供商的具体适用，对其著作权侵权责任认定路径予以调适与完善。

（二）路径选择：扩张解释“必要措施”的基本内涵

在依据《民法典》第1195 条规定的“通知-必要措施”规则对云服务器提供商的著作权间接侵权责任予以认定时，存在对“必要措施”之具体范畴的解释问题。具言之，既有规则对“必要措施”所采“删除、屏蔽、断开链接等”这一开放式列举的表述形式，究竟应当将其解释为针对侵权内容治理效果所确立的强制性标准，抑或是受制于立法时代与技术条件而作出的有限性解读，直接影响到云服务器提供商等新型网络服务提供者的责任认定与责任承担。就云服务器提供商所处的服务层级与其服务模式而言，要求其在接到权利人的侵权通知后，采取与“删除、屏蔽、断开链接”等效的必要措施，在技术能力与法律权限上均缺乏可行性。一方面，云服务器提供商的服务对象通常是处于上方层级的云租户，而非直接面向终端网络用户提供服务，因此，在SaaS 层平台或软件中以某种具体形式表现的特定侵权内容，在云服务器端事实上仅以二进制代码的形态隐匿于众多云租户的运行数据之中。在此情形下，要求云服务器提供商根据权利人的侵权通知，从其存储、管理的庞杂数据库中对该侵权内容所在的IP 地址及其对应的数据代码进行精准定位识别，并采取定点删除、断开链接等局部性处理措施，显然超出了其所拥有的技术能力及能够负担的经济成本。另一方面，云服务器提供商也并无法律权限对其服务器中云租户的运营数据进行直接介入。如上文所述，云服务器提供商通常承担着回避用户经营内容、保障用户数据安全的合同约定义务与行业规范要求，除非接到司法机关或行政机关的调查令，否则其无权随意读取服务器内容，更无权随意披露相关信息。24. 参见姚震：《论“通知-删除”规则对云服务器提供商的豁免——兼议“转权利人通知”》，载《南通大学学报（社会科学版）》2020年第5 期，第61-70 页。亦即，云服务器提供商无权对其服务器中存储维护的用户数据内容进行直接访问、控制与处理。25. 参见黄晓辉、陈明锋：《云服务器提供者著作权侵权责任及其认定》，载《科技与法律（中英文）》2023年第1 期，第11-20 页。在此情形下，如若以既定列举事项对云服务器提供商应当采取的“必要措施”进行解读，则必然会迫使其陷入或违约或违法的两难局面。在无法对上层服务平台或应用中的侵权内容实现直接控制的事实前提下，云服务器提供商如欲采取与删除、屏蔽等效措施而免于承担侵权责任，仅能够对侵权内容所在的服务器实施强制性整体关停或空间释放，以此实现将包括侵权内容在内的所有用户数据全部清除的永久性效果。然而，由于云计算服务模式具有服务资源的共享性，此种整体性的技术处理措施虽然在实质上能够有效防止侵权损害范围的扩大，但也会大幅波及同一云服务器上其他云租户的正常经营行为，损害其经营利益。显然，此种侵权治理手段所耗成本将远远大于其治理效益，不仅在理论层面与法经济学的基本原理不符，也会在实践层面对网络服务产业的正常发展造成不合理的阻碍。

事实上，从“通知-必要措施”规则的规范目的来看，该条款的设立旨在建立权利人与网络服务提供商协同配合的侵权治理机制，促使网络服务商充分发挥自身的信息传播位置与技术优势，积极采取适当措施有效阻断侵权损害后果的扩大，从而实现侵权治理成本在多方主体之间的合理分摊，使二者的责任承担处于公平合理的平衡状态。26. 参见刘文杰：《“通知删除”规定、必要措施与网络责任避风港——微信小程序案引发的思考》，载《电子知识产权》2019年第4 期，第4-13 页。因此，对于网络服务提供商所采“必要措施”之具体内容的确定，不仅需要关注其对侵权内容的治理效果，也需要将网络服务商的治理能力与治理成本纳入实际考量，在保障网络服务正常运营的前提下实现对侵权行为的有效规制。基于对上述制度价值的确认，“必要措施”应当被解读为“能够阻止侵权行为继续和损害结果扩大，且不会给网络服务提供者造成不成比例的损害的措施。”27. 最高人民法院民法典贯彻实施工作领导小组主编：《中华人民共和国民法典侵权责任编理解与适用》，人民法院出版社2020年版，第269 页。因此，在依据该规则认定云服务器提供商的著作权侵权责任时，应当放弃对既有列举措施所及规制效果的僵化恪守，转而结合其所处服务层级、信息处理能力、内容介入程度、行业伦理规范等多方因素，对“必要措施”的具体范畴予以扩张解释，以开放灵活的法律适用路径应对网络服务类型的多元发展与迭代创新。28. 参见孔祥俊：《“互联网条款”对于新类型网络服务的适用问题——从“通知删除”到“通知加采取必要措施”》，载《政法论丛》2020年第1 期，第52-66 页。

（三）价值面向：比例原则对“必要措施”的规范指引

综观侵权法律规范的运行过程，对于受害人权益保护与加害人行动自由的平衡贯彻于侵权责任规则设计、调整与适用的始终。29. 参见曹险峰：《侵权法之法理与高空抛物规则》，载《法制与社会发展》2020年第1 期，第48-61 页。具体到云计算环境下的著作权侵权治理场景，维护著作权人私权保护与互联网产业发展需求间的平衡，实现各层级云服务商与著作权人等多方主体利益的良性互动，是认定云服务器提供商著作权侵权责任时应当遵循的基本价值理念。“阿里云案”中，人民法院也指出，“必要措施的认定，应结合侵权场景和行业特点，秉持审慎、合理之原则，实现权利保护、行业发展与网络用户利益的平衡。”30. 北京市知识产权法院（2017）京73 民终1194 号民事判决书。然而，利益平衡原则在语义内涵上的抽象模糊性与高度概括性导致其在适用过程中仅能在理论层面发挥价值指导作用，而难以在实践层面提供更加切实具体的操作方案。31. 参见费安玲、宋春雨：《云计算平台著作权侵权责任认定的内在机理与路径建构》，载《浙江工商大学学报》2023年第1 期，第45-56 页。因此，有必要寻求精确性更高、操作性更强的理论原则指导云服务器提供商之“必要措施”的具体界定。比例原则具有更加清晰的规范内涵、判断标准与适用层次，能够实现权衡过程的合理化和权衡内容的具体化。32. 参见郑晓剑：《比例原则在民法上的适用及展开》，载《中国法学》2016年第2 期，第143-165 页。.将该原则引入网络服务提供者“必要措施”的认定体系中，既能有效维护著作权人的合法利益，也能够为网络平台划定合理的责任边界，更能周全用户在网络空间中的行为自由，从而充分实现网络服务提供商侵权责任规范的制度价值。

在依据比例原则对特定主体之侵权责任予以认定时，其核心要旨在于行为方式与责任限度之间的合比例性。33. 参见王立梅：《网络空间下避风港原则的完善与网络服务提供者责任分类》，载《江西社会科学》2020年第5 期，第157-167 页。具体到云服务器提供商对“通知-必要措施”规则的适用，其对侵权内容采取的治理手段应当与其所处的服务层级以及提供的服务内容相适应，此种适应性需要从目的正当性、手段必要性、目的与手段之均衡性三个维度进行递进式的考量。首先，云服务器提供商采取的必要措施应当能够实现制止侵权损害范围扩大的基本规范目的；其次，在众多能够实现该目的的侵权治理手段中，云服务器提供商应当选择实施成本最低、对各方主体利益损害风险最小的措施；最后，需要重新对该措施所需的社会总体成本与其实现的整体治理效果进行衡量，考量二者之间是否处于合理的平衡状态，从而最终确定所应采取的必要措施。34. 参见刘权：《比例原则的精确化及其限度——以成本收益分析的引入为视角》，载《法商研究》2021年第4 期，第101-115 页。基于此，对云服务器提供商之“必要措施”基本范畴的确定，有必要在确保其能够实现侵权治理效果的前提下，综合考量技术能力可行性、法律权限正当性、实施成本经济性、用户利益保障性、产业发展前瞻性等因素，为云服务器提供商设定事实可行、成本合理、效果适当的必要措施内容。

（四）细化落实：合理确定“必要措施”的具体范畴

1.“转通知”义务之排除

对于云服务器提供商应当采取的“必要措施”，存在观点认为，考虑到IaaS 层服务商的服务层级与技术能力，将“转送侵权通知至被控侵权人”解读为必要措施的履行，并据此免除其侵权责任，具有充分的正当性基础与合理性空间。35. 此种观点认为，转通知能够达到警示侵权人、减轻损失的目的，将必要措施扩大解释为转通知具有现实意义，应当为立法和司法所肯定。参见姚鹤徽、张根银：《论IaaS 云服务商的著作权侵权责任》，载《福建江夏学院学报》2021年第6 期，第50-57 页；王立梅：《网络空间下避风港原则的完善与网络服务提供者责任分类》，载《江西社会科学》2020年第5 期，第157-167 页。与此同时，司法审判中也不乏此种裁判观点的出现。将“转通知”解释入“必要措施”的实践肇始于最高人民法院第83 号指导案例，其在判决中认定“网络服务提供者接到侵权通知后采取的必要措施包括但不限于删除、屏蔽、断开链接，将有效的投诉通知材料转达被投诉人并通知其申辩也应属于其必要措施之一。”36. 浙江省高级人民法院（2015）浙知终字第186 号民事判决书。“阿里云案”终审判决也明确“转通知具有警示侵权人的意图，在一定程度上有利于防止损害后果的扩大”，据此认可其作为必要措施的现实意义。37. 北京市知识产权法院（2017）京73 民终1194 号民事判决书。然而，本文认为，“转通知”作为“通知-必要措施”规则下与“必要措施”分置的平台义务，应当具有独立的规范价值，故而不应将其纳入“必要措施”的概念范畴。

从文义解释的角度出发，《民法典》第1195条第二款采取“转送侵权通知”与“采取必要措施”分列的立法模式，38. 《民法典》第1195 条第2 款规定：“网络服务提供者接到通知后，应当及时将该通知转送相关网络用户，并根据构成侵权的初步证据和服务类型采取必要措施；未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。”即是在立法规范层面明确二者为互相平行并独立运行的侵权治理义务，前者并未落入后者的内涵范畴。39. 参见熊琦：《著作权法“通知-必要措施”义务的比较经验与本土特色》，载《苏州大学学报（法学版)》2022年第1期，第97-109 页。.而在实际效果层面，转通知系网络服务商面向被控侵权方作出的告知程序，并未涉及任何对侵权内容的直接处置，因而无法实现阻止侵权损害扩大的必然效果。通过将其解释为对侵权人的警示继而推定其能够达到减轻损失的效果，极有可能导致各级网络服务商在履行必要措施时选择向“转通知”义务逃逸，最终致使“必要措施”之排除妨害、制止侵权的制度目的被架空。40. 参见蔡元臻、白睿成：《云计算服务平台适用避风港规则的局限性及其破解》，载《知识产权》2020年第4 期，第42-52 页。事实上，“转通知”义务的设立价值并非在于对侵权治理效果的补强，而是侧重对被控侵权人之知情权与抗辩权的保障。41. 参见姚震：《论“通知-删除”规则对云服务器提供商的豁免——兼议“转权利人通知”》，载《南通大学学报（社会科学版)）2020年第5 期，第61-70 页。其通过在权利人与被控侵权人之间建立畅通有效的信息传递渠道，使后者能够及时知悉权利人的控诉内容并通过反通知等程序实现对个人利益的充分救济，以此维护二者程序性利益的合理平衡。42. 参见徐棣枫、孟睿：《网络服务提供者专利法规制——＜侵权责任法＞第36 条在专利法领域的具体化和专利法四修修正案草案第71 条的完善》，载《重庆大学学报（社会科学版）》2020年第1 期，第146-158 页。由此可见，网络服务提供商“转通知”义务的设定事实上蕴含着立法者对程序正义的坚守与对公众表达自由的保障。43. 参见梁志文：《论通知删除制度——基于公共政策视角的批判性研究》，载《北大法律评论》2007年第1 期，第168-185 页。因此，我国网络服务提供者侵权责任规则的设定与调适应当始终恪守“转通知”与“必要措施”分立的基本理念，保障二者各自制度价值的合理实现。将“转通知”纳入云服务器提供商“必要措施”的范畴并不符合上述理念要求，在未来相关司法实践中应当对其予以纠正。

2.“必要措施”内容之确定

在明确“转通知”义务独立于“必要措施”之余，有必要通过细化落实云服务器提供商之“必要措施”的具体内容，为其构建更加清晰有效的侵权责任认定标准，维护云计算场域下著作权人创作利益与互联网产业发展利益之间的合理平衡。基于云计算服务体系多层级、多主体、复合性的特殊属性，本文认为，云服务器提供商“必要措施”的设定可以按照行为指向对象的不同，分为针对上层级云租户采取的间接措施以及针对终端侵权用户所采取的直接措施，以此形成能责相符、分层分级、协同共治的侵权内容处理规范，实现著作权侵权治理与网络产业发展的共赢。

一方面，云服务器提供商在收到权利人的合格侵权通知后，其虽囿于自身服务层级的底层性与技术能力的有限性而无法实现对特定侵权内容的精准处理，但能够通过影响上层级云租户的经营活动从而间接实现对侵权行为的有效规制。例如，IaaS 云服务商可以及时向处于PaaS 层甚至SaaS 层的云租户发出其系统或平台中存在侵权内容的催告通知，并要求其作出相应处理。包括督促并辅助其及时定位侵权内容，要求其采取定点屏蔽、断开链接等非内容介入方式控制侵权损害范围的扩大等，使其在不违反行业伦理规范的前提下承担与其信息处理能力相匹配的侵权治理责任，进而大幅提高对侵权内容的治理效率。44. 参见毕文轩：《新型网络服务提供者的定性与责任建构——兼评阿里云服务器案》，载《电子知识产权》2020年第2期，第79-94 页。另一方面，云服务器提供商也有必要在其能力可及的范畴内，采取逻辑层层递进、内容合乎比例、力度由弱到强的必要措施，对其经营场域中存在的著作权侵权行为予以直接规制。具体而言：首先，云服务器提供商应当按照权利人的通知内容，尽快联系被控侵权用户并与之核实侵权事实的存在。与此同时，向权利人提供其所掌握的被控侵权人注册信息、联系方式等基本资料，为其追究侵权用户的直接侵权责任提供便利。其次，基于对侵权事实的确认，云服务器提供商可以通过警示警告、督促信、公告函等形式责令侵权人停止侵权并限期下架侵权内容，并告知其未能履行的后果承担，在不介入用户内容的前提下迫使侵权人主动对其侵权行为予以纠正。再次，如若侵权用户在警告期限内仍未对侵权内容作出处理，甚至继续从事被控侵权行为，则云服务器提供商可以基于其与侵权用户间的服务合同关系，45. 参见高富平：《“云计算”的法律问题及其对策》，载《法学杂志》2012年第6 期，第7-11 页。以违反合同约定为由对其信息存储空间、带宽上传速度等部分服务内容作出限制，并根据侵权情节的严重程度对其限制范围与限制时长作出相应调整，甚至在必要时直接停止向其提供服务并关闭其服务账号，切断侵权损害后果的无端扩张。46. 参见蔡元臻、白睿成：《云计算服务平台适用避风港规则的局限性及其破解》，载《知识产权》2020年第4 期，第42-52 页。此外，为强化对权利人利益的维护，云服务器提供商可以参考目前电子商务领域有关网络平台侵权治理责任的既有实践，将“要求被控侵权人提供经济保证”纳入必要措施的范畴。47. 浙江省高级人民法院《涉电商平台知识产权案件审理指南》（浙高法民三〔2019〕33 号）第14 条规定，“电子商务平台运营人收到资质通知后应采取的‘必要措施’的种类，包括但不限于：删除、屏蔽、断链、终止交易和服务、冻结被通知人账户或要求其提供保证金。”此种保证金的提供既保障了权利人获得充分救济的可能性，也在较大程度上降低了错误侵权通知对用户利益造成的潜在风险，更减轻了云服务器提供商的责任负担，是为能够兼顾侵权责任法律制度之损害填平原则与利益平衡理念的可行路径。

五、结论

在互联网产业发展与技术变革的必然趋势下，不断涌现的新型网络服务提供商无疑对传统侵权责任认定规则的适用带来了新的机遇与挑战。对此，有必要兼顾对既有制度规范价值与新型平台技术特征的考量，在保障法律制度自身稳定性的前提下，为其探索内容明晰、效果得当的著作权侵权责任认定路径。云服务器提供商作为云计算产业中起到基础性支撑作用的关键主体，应该受到《民法典》规定之“通知-必要措施”规则的有效规范。在对该规则予以具体应用时，有必要充分考量云服务器提供商在服务层级、技术能力、法律权限、伦理规范等层面的特殊性，以各方主体间的利益均衡为目标追求，以目的与手段间的合比例性为价值指引，对既有一般性规则作出个性化解读与规范性适用。通过扩张解释“必要措施”的基本范畴，为其设定标准明确、内容合理、力度缓和的侵权内容治理手段，以此对云服务器提供商著作权侵权责任的认定路径予以调适，实现版权侵权治理与产业发展保障的双重共赢。与此同时，立足于我国移动互联网产业的高速发展现状，未来我国有必要通过司法解释、实施条例、指导案例等方式，对既有网络服务提供商之侵权责任规则予以整体细化完善。基于对技术发展脉络的整体把握，形成分类分级、层层递进的网络空间侵权治理规范，谨防“一刀切”式的责任认定规则对网络服务产业的创新发展造成打击与阻碍，使法律规则在技术革新之下实现自身生命力的延续。