作者 | 田小军 腾讯研究院版权研究中心秘书长

2020年，版权治理的现代化改革，无疑是全球互联网产业关注的重要议题。欧盟《数字版权指令》生效将近一年，其新增的“在线内容分享平台的特殊责任”，以及“链接税”等条款，在版权人、权利人组织、互联网企业等利益相关方之间，在欧盟内部、美国与中国等互联网普及的主要国家之间，引发大量争议。与此相关，美国已经开始对DMCA的现代化改革，[1]以及与DMCA的相关的CDA230条款问题进行讨论。[2]中国国家版权局在2017年发布的《版权工作“十三五”规划》中即提出，要在2020年初步建成中国特色版权强国，基本实现版权治理体系和治理能力现代化，推进国家版权监管平台项目等重点工程建设。[3]

早在2018年5月25日，即欧盟理事会批准新版权指令提案的当天，就有观点提出，“忘了GDPR吧，欧盟新版权指令提案来了”。[4]我们无意评价此观点，然而新版权指令与GDPR的关系，值得关注。新版权指令规定“在线内容分享平台的特殊责任”，将推动提供网络服务商推出“版权过滤”技术措施。机器自动化决策是平台版权过滤策略的重要形式，涉及到平台对权利人与用户的ID账户、内容信息等数据，以及用户上传内容行为的自动化处理。如Youtube的Content ID系统，会根据权利人提交的版权文件建立数据库，如系统判定用户上传内容与数据库版权内容一致或相似，将基于权利人的授权，对用户上传内容进行处理。[5]其是否属于GDPR第22条规定的“完全自动化决策”，存有否定解释的空间，最终取决于欧盟数据保护委员会的意见。如果欧盟将其纳入GDPR监管范围，我们需要着重讨论欧盟新版权指令第17条，与GDPR第22条的适用协调问题。

1、新版权指令与GDPR间有衔接条款

新版权指令在立法落定时，即有意规定了与GDPR的衔接条款。新版权指令第28条规定，“在本指令框架内进行的个人数据处理，须遵照2002/58/EC指令及2016/679/EU（GDPR）条例进行”。GDPR在通过时，也考虑了个人信息处理与信息社会服务的关系，包括网络服务商责任的处理问题。其第2条规定，本条例适用于全自动的个人数据处理、半自动的个人数据处理，以及形成或旨在形成非用户画像的非自动个人数据处理。同时，GDPR的适用不影响《欧盟电子商务指令（2000/31/EC）》的适用，特别是有关“纯粹传输服务”“缓存服务”“宿主服务”等网络服务商责任条款的适用。而《欧盟电子商务指令》第15条明确规定，各成员国不得要求网络服务商承担监督其传输和存储的信息的一般性义务，也不应当要求其承担主动收集表明违法活动的事实或情况的一般性义务。但成员国可以要求网络服务商承担向特定机构报告用户进行非法行为或者提供非法信息的义务，或者应政府要求向其提供特定身份信息的义务。

GDPR第22条规定“完全自动化决策”情况下对个人数据处理的要求。[6]数据主体有权反对完全依靠自动化处理，做出的对其具有法律影响或类似严重影响的决策。除非，(a)该决策对于数据主体与控制者的合同签订或者履行是必要的，或(b)经欧盟/成员国法律授权，由数据控制者作为决策主体，且制定了恰当措施保证数据主体的权利、自由与合法利益，或(c)基于数据主体的明示同意。在(a)和(c)情形下，数据控制者应保证，至少数据主体可对数据控制者进行人工干涉，以对表达观点和对决策进行异议。另外，GDPR第22条第4款规定，除非数据主体因特定目的而授权处理，或者为公共利益需要，自动化决策不应涉及种族或民族背景、宗教信仰，以及基因数据、性取向、健康数据等特殊类型个人数据。[7]

2、新版权指令第17条较为科学与包容

新版权指令第17条的制定，充分考虑了各方利益与版权治理复杂化性，其具体条文设计较为科学与灵活。[8]自2016年9月欧盟委员会发布《新指令》第一稿，到2019年4月15日欧盟理事会通过，历时两年多。[9]“在线内容分享平台的特殊责任”，也即“版权过滤”条款，是各方最大的争议焦点。[10]维基百科甚至在2018年7月5日，也即欧盟议会对新版权指令进行投票时，关闭其西班牙语、波兰语和意大利语服务，并用三国语言制作了表达反对意见的黑白网页。新版权指令在巨大争议中推进，最终于2019年4月，以68%得票率通过。第17条的规定，也在此过程中，有了一些重大变化。如，为了在各方寻求妥协，第17条从明确要求采取内容识别技术，到考虑到治理合作的复杂情况，设置了内含技术措施的全面合作方式。这有助于减少其与GDPR以及其他法律协调的成本与难度，特别是，第17条最终通过的版本，专门设计了权利人合作与用户救济的规定。

新版权指令第17条有10款规定，为指令最复杂条文，主要可进行三点解读。其一，平台允许公众访问其用户上传的版权作品等内容，其实施了向公众传播或向公众提供行为，应获得权利人的授权。”[11]其二，若未获得授权，平台免责条件为：已经尽力获得授权；根据相关产业的高标准注意义务，已尽力确保“权利人提供了相关必要信息的作品和其他内容”在其平台上不被公众获得；在收到权利人发出的充分地实质性通知后，迅速在采取切断链接，或者从网站上移除侵权内容，并保证已尽最大努力防止此类情况再次出现。其三，指令并不产生一般性监管义务，平台为阻止未授权内容出现在其平台上所采取的措施，以权利人事先提供作品相关必要信息或发出充分实质通知为前提。并且，平台应保证向用户提供救济渠道，也即“就移除或阻止访问用户上传的作品或其他客体发生争议时，平台应向其服务的用户提供有效且迅速的投诉和救济机制”。

3、新版权指令与GDPR的协调路径

新版权指令第17条的落地，重点在于建立授权、合作与争议解决机制，细化识别技术标准，保障言论自由，[12]以及保护个人信息数据。[13]在保护个人数据方面，欧盟第29条数据保护工作组[14]针对GDPR第22条“自动化决策”情形下的个人数据处理，制定了相关的指南文件。[15]在实施“版权过滤”的情况下，网络服务商如涉及对个人数据的处理，应参考GDPR第22条与该指南文件的规定。在新版权指令框架下，在版权授权或者提供版权文件、信息的前提上，平台根据相关版权文件、信息制定过滤策略。版权过滤可以机器自动化决策或者人工决策等方式实施，主要针对用户上传至平台的内容，平台应基于过滤识别情况与过滤处理策略，对用户上传内容等进行分类管理，并为用户提供救济处理的渠道。根据GDPR第22条的规定，平台版权过滤的机器自动化决策，应符合第2款规定的三种情况之一，也即或合同签订、履行之必要，或法律授权，或用户明示同意。

新版权指令与GDPR的衔接条款，仅仅是明确了个人数据处理需遵循GDPR，以及GDPR不影响网络服务商责任问题，并未明确给予平台自动化决策中对个人数据处理的法律授权。因此，至少目前，在没有进一步信息支持的情况下，我们不能推理出平台版权过滤的机器自动化决策，符合GDPR第22条第2款(b)项规定的结论。那么，该自动化决策，是否是“合同签订、履行之必要”呢？欧盟第29条数据保护工作组在指南文件中明确，自动化决策必要性的论证关键在于，“具有更大的统一性或公平性，减少人为错误、歧视与滥用”，“提高效率，数据量巨大，导致人工干预不切实际或者不可能”等。但仅凭以上论证，并不足以表明自动化决策有“必要性”，必要性应进行狭义解释，还应保证没有可实现此效果的其它侵扰性更小的措施等。如推动版权过滤中运用自动化决策，还应就其必要性获得欧盟数据保护委员会的认可，以符合GDPR第22条第2款(a)项的规定。而在GDPR第22条第2款（c）项下，平台需要寻求用户对版权过滤的理解，以得到用户自愿的、具体的、完全知情且毫不含糊的明示同意。

需要申明，平台版权过滤的机器自动化决策，在符合(a)与(c)的情况下，平台依然要保证，用户可以对版权过滤的结果进行异议。事实上，新版权指令第17条，要求平台为用户提供有效且迅速的投诉和救济机制，符合GDPR第22条第3款的“用户对决策进行异议”要求。另外，平台版权过滤并无必要涉及特殊类型个人数据的处理。是以，新版权指令第17条与GDPR第22条，均留有相互衔接之条款，版权保护与个人信息保护，在具体方案协调上有充足空间。在合规前提下，平台可以实现版权治理与数据治理，产业发展与治理创新的协调，期待欧盟委员会制定新版权指令实施指南时，恰当的处理以上问题。

[1] https://www.judiciary.senate.gov/meetings/the-digital-millennium-copyright-act-at-22-what-is-it-why-it-was-enacted-and-where-are-we-now.

[2] https://techcrunch.com/2019/04/12/nancy-pelosi-section-230/amp/

[3] 国家版权局：《版权工作“十三五”规划》。

[4] Mike Masnick, Forget The GDPR, The EU’s New Copyright Proposal Will Be A Complete And Utter Disaster For The Internet, https://www.techdirt.com/articles/20180525/10072939912/forget-gdpr-eus-new-copyright-proposal-will-be-complete-utter-disaster-internet.shtml.

[5] YouTube Content ID, https://www.youtube.com/watch?v=9g2U12SsRns.

[6] General Data Protection Regulation，https://gdpr-info.eu/.

[7] GDPR第9条，规定了对特殊类型个人数据的处理要求。

[8] 张今、田小军：《数字环境下的欧盟著作权法改革与中国借鉴》，《中国出版》2019年第6期。

[9] 欧盟委员会是行政机关享有立法提议权，欧盟议会是一咨议机构对立法和修法具有发言权，欧盟理事会是立法机关，对于欧盟委员会提出的立法建议具有最终的决定权。

[10] 田小军：《欧盟版权法数字化改革带来哪些启示》，《中国新闻出版广电报》2018年7月26日。

[11] 根据新指令的规定，在平台允许公众访问其存储的内容的情形下，即构成向公众提供行为。既然如此，则平台商应当就复制权、公共传播权取得作者或者相关权人的授权，授权的方式可以是签订许可协议，也可以其他方式与权利人合作取得使用作品的许可。除非存在版权的限制与例外情形，大部分平台应对其用户所有的上传与分享的内容负责。

[12] David Kaye, Mandate of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression; LibertiesEU, Article 13 Open letter – Monitoring and Filtering of Internet Content is Unacceptable.

[13] Christoph Schmonc, Copyright Filters Are On a Collision Course With EU Data Privacy Rules, https://www.eff.org/deeplinks/2020/02/upload-filters-are-odds-gdpr.

[14] 第29条工作组是根据欧盟《95/46/EC指令》第29条设立的独立的数据保护监管与咨询机构，从2018年5月25日，欧洲数据保护委员会接替该工作组。

[15] Article 29 Date Protection Woring Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679.