图片来源@视觉中国
近日,有关“WPS监测和删除用户本地文件”的报道引发热议。一张截图显示,某网友称其用WPS写作编辑的一百多万字小说,被WPS以“文件含有违禁内容,禁止访问”的理由封锁。对此,WPS官方微博发布回应,指出“删除用户本地文件”的说法属于讹传,事实是“用户分享的在线文档链接,涉嫌违规,我们依法禁止了他人访问该链接”。
随后,当事网友再次发帖,强调自己的文档完全合法合规,并称被封文件仅在一万字左右时单独给编辑分享过,后因配合WPS调查分享给WPS工作人员,此外再未向他人分享,而且WPS方曾承认是审核系统误判敏感词,并表示歉意、解封文档。
眼下,从公开报道来看,双方各执一词,WPS到底做了什么、有没有做错,成了暂时无法明辨的“罗生门”。
WPS封锁用户文档,可怕在哪?
“无风不起浪”。抛开细节真相,此事之所以广受关注,根本原因有二。一是WPS拥有庞大的用户群,据报道,截至2021年底,WPS Office PC版月度活跃设备数2.19亿,移动版月度活跃设备数 3.21亿。二是软件服务商限制用户访问自己编写的文档,就如同日记本销售商禁止购买者阅读自己的日记,不仅违悖常识,而且侵犯隐私。
对属于用户私密信息的文档展开监控,无论是人工还是非人工来具体操作,归根到底,都是基于人的意志的商业决策。
拥有数亿用户的企业,若真有此举,必然面临舆论风暴和法律制裁,是无法躲在机器背后推卸责任的。
但是,问题也许没有这么简单。WPS和当事用户的现有回应,分歧在于特定文档到底有无在线分享、到底有无违规,而就在线分享的违规文档应否封禁,似乎并无异议。双方皆未言明的共识是:若用户分享违规文档,WPS有权予以封禁。
乍看起来,这一共识具有法律基础。2017年生效的《网络安全法》第47条规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散”。这也应是WPS方回复称“依法禁止他人访问该链接”的底气所在。
有人可能疑惑:WPS不是一个办公软件服务商吗?怎么成了网络运营者?
事实上,按照《网络安全法》第76条第3项,“网络运营者”包括“网络的所有者、管理者和网络服务提供者”。诞生于1988年的WPS,历经三十多年的发展,早已不是很多人印象里的本地文档编辑器。经用户实测发现,使用WPS过程中,线下和线上的界线非常模糊:
一方面,当用户存储文档时,PC端的默认位置就是“我的云文档”。故而,许多用户以为放在本地的WPS文档,实际上存储在云端。这种云存储服务,正是作为网络服务提供者的WPS提供的。
另一方面,当用户分享文档时,WPS提供了多种选择,包括发送文档链接或微信小程序,也包括具备在线协同功能的“金山文档”服务,用户可设置权限,访问者包括任何人、指定人或仅自己。这意味着用户一旦分享在本地终端的WPS软件上所编辑的文档,就会将本地文档变为在线文档,由此享受了WPS提供的网络服务。
正是基于上述产品逻辑,运营WPS的金山公司成为受《网络安全法》第47条规范的网络运营者。
用户的文件,WPS有权查阅?
《网络安全法》第12条明确:“任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益……传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。”
据此,2022年4月22日更新的《金山办公在线服务协议》第2.1条规定:“您在使用本服务时,请勿上传、提交、发布、存储、发送、接收、分享以下内容:有违法律法规、社会主义制度、国家利益、公民合法利益、公共秩序、社会道德风尚和信息真实性等‘七条底线’要求的内容;骚扰、广告信息、过度营销信息、危害未成年人的信息及垃圾信息。”该协议第2.2条进一步规定:“对于您使用本服务,上传、提交、发布、存储、发送、接收、传播或分享的内容,我们仅在有关法律、法规、国家政策等规定或者相关国家机关的要求的前提下,自行或委托第三方进行查看、审阅、分析、讨论等”。
简言之,WPS监控用户文档,并在发现违规信息后切断传播链,是为了履行《网络安全法》第47条设立的网络运营者法定义务,落实该法第12条的禁令。但前述用户之所以不买WPS的账,不单由于其主张文档并不违规,也因为其自认没有分享文档、或至少未大范围分享文档,金山公司何以有权查看?
这恰恰击中了大众的痛点:他们所担忧和疑虑的,并非违规信息被阻断,而是作为互联网企业的金山公司为何有权翻看自己的文档?
这是一个有待琢磨的法律难题。解题的关键,在于如何理解《网络安全法》第47条中的“发现法律、行政法规禁止发布或者传输的信息”。法律、行政法规禁止的信息已由《网络安全法》第12条划定范围,虽较为宽泛,但不是这里要讨论的重点;重点在于“发布或者传输”的解读。
对提出抗议的用户而言,只要没有向他人分享,就不算“发布或者传输”;WPS方的理解则相反,其服务协议第2.2条把用户“上传、提交、发布、存储、发送、接收、传播或分享的内容”,一股脑儿都归入了依法可以自行查看、审阅的行列。
那么,两种理解孰对孰错?
从不同角度看,二者皆有一定道理:用户认为“发布或者传输”指向的是人,即信息有自身以外的接收方,没有这样的接收方,就不算;WPS方则认为“发布或者传输”指向的是信息,即信息位置发生改变,哪怕没有文档编辑者以外的接收方,也算。
综合接收方和信息位置两种角度,从理论上讲,某个文档可有如下两类四种状态:一类是无他人接收方,包括两种情形,即本地存储和云端存储,后一种情形虽改变了文档的位置,但仍仅供文档编辑者自己查阅;另一类是有他人接收方,涵盖两种情形,即通过网络传播给不特定的公众,如将文档发在不限定粉丝阅览的微博上,或者通过网络传播给特定的人,如将文档作为电子邮件发送给指定对象。
这四种情形下,《网络安全法》第47条应否适用?如何适用?
关于应否适用,答案相对清晰。无论是“本地存储自己看”,还是“云端存储自己看”,网络运营者都无权查阅用户的文档。这是因为“自己看”意味着用户对特定文档具有主观的隐私期待,社会也应当承认这种不愿为他人所知的主观愿望,此即《民法典》第1032条明文保护的隐私权。有人或许反驳:违法信息自己看也不行,隐私权不能用于“遮丑”,网络运营者有权查验。但这不符合现行法律。
以淫秽色情内容为例,《治安管理处罚法》和《刑法》只处罚制作、运输、复制、出售、出租、传播行为,而不处罚持有。
仅供自己看的“小黄书”,虽道德有亏,但于法无碍,无论是放在线下的笔记本里,还是放在线上的服务器中,都属于公民隐私,都不容包括网络运营者在内的他人窥探。
只要特定文档没有除本人以外的接收方,就不能因其存储位置从线下变为云端,而认为构成《网络安全法》第47条所言的“发布或者传输”。所以,只有当文档有本人以外的接收方,才构成“发布或传输”,第47条方能适用。从文义解释的角度讲,针对不特定对象的信息传播属于“发布”,针对特定对象的信息传播属于“传输”。
文件传输时,同样无权查阅与封锁
接下来的问题是如何适用,答案相对复杂。
当文档向不特定人“发布”,网络运营者同任何公众一样,能从公开渠道“发现”该文档,进而判断其是否违规,并作出进一步处理,此殆无疑义。
真正有争议的,是当文档向特定对象“传输”,网络运营者无法从公开渠道“发现”,是否还能非人工或人工地筛查、审阅文档?
假设那位用户通过WPS给编辑发的不是一万字的未成稿,而是一百万字的终稿,假设那位用户不是一个人在写作,而是通过“金山文档”设置指定人参与编辑,从而实现团队合作,其能否拒绝金山公司审视的目光?单看《网络安全法》第47条,答案似乎是否定的,因为对此类“传输”的文档,作为网络运营者的金山公司负有管理的法定义务。
但若把视野扩展,或许有不同结论。《宪法》第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”
近年来,宪法学界对“通信”的边界存在争议,不过焦点在于“元数据”(即关于通信活动的信息,如通话位置、时长等记录)是否属于“通信”,对“内容数据”(即通信活动所传递的信息,如通话内容)属于宪法上的“通信”,学界并无分歧。
对特定人“传输”文档,无论是电子邮件、微信对话,还是“金山文档”服务中的指定人分享,也无论特定人是一个(例如配偶),还是数个(例如同事),都构成受《宪法》第40条保护的“通信秘密”,即只有公安机关或检察机关,基于国家安全或者追查刑事犯罪的需要,方可不经当事人同意展开检查。
此时,《网络安全法》第47条与《宪法》第40条可能发生抵牾:前者要求作为网络运营者的金山公司查阅用户“传输”的文档,后者则禁止并非公安或检察机关的金山公司查阅作为用户通信秘密的文档。根据下位法服从上位法的基本原理,须对《网络安全法》第47条做符合《宪法》第40条的解释,个中关键在于正确理解“发现”一词。
在“发布”语境下,网络运营者可以从公开渠道“发现”违规信息;在“传输”语境下,网络运营者既无法从公开渠道“发现”,也不能通过自行查验“发现”,而只能依靠其他用户举报或有权检查通信的机关通报来“发现”违规信息,然后进行处理。
据此,金山公司无权查阅用户向特定对象“传输”的文档。
目前,WPS禁止用户访问文档事件仍在发酵。随着越来越多的细节真相被披露,公众会对此事有更加全面、公允的认识和判断。但在迅速点燃的舆论关注背后,是身处网络时代的人们,对自身被窥探的深切忧虑。我的文档,谁有权看?这样的疑问,最终应靠法律来解答。
