网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

判决一出，阿里云当即表示不服，并提出了上诉。又经过两年的漫长审理，今年6月，北京知识产权法院终于对该案做出了二审判决。出乎很多人意料，二审结果对一审来了一个彻底的大翻盘。

法院认为，阿里云在本案中所提供的服务系云服务器租赁服务不属于《侵权责任法》中规定的网络服务提供者，也不能采取该条规定的删除、屏蔽、断开链接等必要措施，因此无法适用“通知-删除”规则来进行处理。一审法院的认定没有法律依据，不适当地加重了服务器租赁经营者的运营负担。据此，二审法院推翻了一审法院的判决，宣判阿里云无需承担侵权责任。“云存储第一案”就这样在180度的大逆转之下落下了帷幕。

如果云服务提供者不直接掌握对某种IT资源的直接控制权，那么让它来为因这种IT资源引发的问题来承担责任，恐怕是不合适的

新技术带来的新问题

自从亚马逊、谷歌等公司将云计算服务商业化以来，云计算就开始在商业世界中迅速普及。这一方面给很多企业，尤其是中小企业创造了便利，让它们用很少的经费就能享受和大企业一样的IT服务，但另一方面也产生了大量的问题。

过去，企业之间的各类纠纷大多发生在彼此之间，侵权与被侵权，关系很直接。然而，在企业都选择了“上云”之后，这个关系就变了，所有的纠纷都会牵涉到云服务的提供者。像上面提到的乐动卓越诉阿里云案，以及被称为“首例微信小程序案”的刀豆公司诉腾讯案（注：小程序服务平台本质上也是云服务，属于PaaS范畴），都涉及到了云服务提供者，也都引发了不小的社会关注和争论。

当涉及云服务的纠纷开始频频出现，现行法律中却没有关于云的明确定性。在这样的背景下，要明确云服务者在具体环境中所扮演的角色，判定其应该承担的责任，确实不是一件容易之事。

那么，在遭遇纠纷时，我们应该如何判定云服务提供者的责任呢？在我看来，我们不应该寄希望于法律在短期之内对此作出分类、具有可操作性的指导。其原因有二——

一方面，云计算的交付模式是极为多样的，分类难以对其穷尽。云计算从本质上讲就是IT资源的在线化，而IT资源的种类是十分多样的——网络、存储、服务器、虚拟化、操作系统、中间件、运行时间、数据、应用……这些都是IT资源，根据在线化资源的不同组合，云计算的交付模式可以是千变万化的。我们熟悉的IaaS、PaaS和SaaS只是其中比较有代表性的几种，其他的“非典型”交付模式还有很多。如果去根据云计算的交付模式一一进行规定，那就是“以有涯追无涯”，其工作量是可想而知的。

另一方面，不同情况下面临的具体问题也不同。像“云存储第一案”中，乐动卓越和侵权人之间只是简单的权利人和侵权人关系，因此阿里云出于保护用户隐私的考虑，拒绝乐动卓越的要求可能是合理的。但如果相关的纠纷涉及到了类似公共安全等重大问题，那么这种处理方法就可能不再符合要求了。

基于以上两点，在处理涉及云计算的相关问题时，恐怕很难像处理传统的互联网相关案件那样，先按照相关法律法规的规定，给云服务提供者界定一个明确的角色，然后按照“通知-删除”规则或其他的什么规则来逐一对照，加以处理。

那么，对于类似的纠纷，又应该如何界定云服务提供者的责任呢？在笔者看来，有两条规则恐怕是可以参考的：第一条是“能不能”；第二条是“值不值”。

技术标准——“能不能”

所谓“能不能”，指的是云服务提供者能不能直接对纠纷所涉及的IT资源进行有效的控制。

尽管正如我们前面所指出的，云计算的具体交付模式可能千变万化，但无论哪种交付模式，都是把对IT资源的直接控制权在云服务提供者和云服务的用户之间进行划分。

以我们熟悉的IaaS、PaaS和SaaS这三类交付模式为例：在IaaS模式中，由云服务商直接控制的主要是网络、存储、服务器、虚拟化、操作系统等资源，而中间件、运行时间、数据、应用等IT资源的直接控制权则在用户手中。在PaaS模式中，服务提供商控制的IT资源要更多，只有数据、应用等IT资源是由用户直接控制的。而在SaaS中，云服务提供者则对上述所有的IT资源进行直接控制，用户只能像传统的商品消费者那样，对服务商提供的服务直接消费。