„Notice and take down” – usługi hostingowe w kontekście odpowiedzialności za naruszenia osób trzecich – uwagi krytyczne do założeń do projektu ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną

1.    Uwagi wstępne

W dniu 26 stycznia 2011 r. Ministerstwo Spraw Wewnętrznych i Administracji opublikowało projekt założeń do ustawy o zmianie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną[1] (zwanej dalej „Ustawą”)[2]. Przedmiotem jej regulacji była m.in. implementacja postanowień dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego[3] (zwanej dalej „Dyrektywą 2000/31”). Ustawa ma doniosłe znaczenie – reguluje obowiązki usługodawców świadczących usługi drogą elektroniczną, zasady wyłączania ich odpowiedzialności oraz zasady ochrony danych osobowych osób fizycznych korzystających z ich usług (art. 1 Ustawy). Można stwierdzić, że stanowi swego rodzaju „małą konstytucję” handlu elektronicznego, który zdominowany jest przez handel odbywający się w Internecie.

Niniejszy artykuł odnosi się do specyficznej części omawianej regulacji – wyłączenia odpowiedzialności osoby świadczącej tzw. usługi hostingowe za treści naruszające prawa osób trzecich; chodzi o art. 14 Ustawy:

“1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

2. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.

3. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

4. Przepisów ust. 1-3 nie stosuje się, jeżeli usługodawca przejął kontrolę nad usługobiorcą w rozumieniu przepisów o ochronie konkurencji i konsumentów.”

Przytoczony powyżej przepis wyłącza generalną odpowiedzialność osoby świadczącej usługi hostingowe, ograniczając ją do odpowiedzialności skonkretyzowanej w razie zaistnienia określonych przesłanek. W przypadku odpowiedzialności za naruszenie praw autorskich[4], osoba świadcząca usługi hostingowe będzie odpowiadać jedynie w następujących przypadkach:

• posiada wiedzę, iż przechowywanie przez niego danego utworu (danych) narusza prawa autorskie osoby trzeciej – naruszenie to będzie przede wszystkim polegać na nieuprawnionym zwielokrotnieniu utworu w pamięci serwera lub nieuprawnionym udostępnianiu utworu innym użytkownikom;
• pozostaje w zwłoce[5] w uniemożliwieniu dostępu do utworu (danych), którego przechowywanie narusza prawa autorskie osoby trzeciej w przypadku, gdy: (i) otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywania przedmiotowego utworu; (ii) otrzymał wiarygodną wiadomość, iż przechowanie danego utworu jest bezprawne.

Ratio legis omawianej regulacji nie jest trudne do odczytania. Wyobraźmy sobie, że powyżej przytoczony przepis nie istnieje. Oznaczałoby to bardzo szeroką i surową odpowiedzialność usługodawcy na zasadach ogólnych. Rozpoczynając świadczenie typowej usługi hostingowej, w ramach której – co do zasady – nie dochodzi do ingerencji w treść zamieszczanych (przechowywanych) przez użytkowników danych, usługodawca musiałby liczyć się z tym i na to się godzić, że udostępniana przez niego platforma elektroniczna może być wykorzystywana do naruszania np. praw autorskich osób trzecich (np. przechowywania i udostępniania plików MP3 z „nielegalną muzyką”). W takiej sytuacji istniałoby ryzyko, że usługodawca odpowiadać będzie za naruszenie praw autorskich przynajmniej jako pomocnik, jeżeli nie współsprawca. W praktyce oznaczałoby to konieczność weryfikowania każdego bajta informacji przesyłanej przez użytkowników usługi hostingowej. Nietrudno więc sobie wyobrazić, że w praktyce mogłoby dojść do paraliżu tego typu działalności. Generalne wyłączenie odpowiedzialności usługodawcy pozwala na racjonalizację procesów biznesowych związanych ze świadczeniem usług hostingowych oraz ogranicza ciężar odpowiedzialności prawnej za ewentualne naruszenia do kręgu osób faktycznie odpowiedzialnych. W takim przypadku usługodawca odpowiada, jeżeli jest faktycznie świadomy określonych naruszeń. Jego odpowiedzialność jest więc skonkretyzowana – musi posiadać świadomość naruszenia określonych praw lub przepisów przez zindywidualizowaną porcję danych. (np. plik z „nielegalną muzyką”).

2.    Propozycje zmian

Założenia do projektu ustawy o zmianie Ustawy proponują dość daleko idącą modyfikację powyżej opisanych zasad odpowiedzialności osoby świadczącej usługi hostingowe[6]. Mianowicie, proponuje się zmianę procedury notyfikacji (powiadomienia) usługodawcy o dokonanym naruszeniu oraz zasad blokowania dostępu do „inkryminowanych” danych. W tym zakresie omawiane propozycje wprost nawiązują do rozwiązań amerykańskiej ustawy Digital Millenium Copyright Act z 1998 r., znanych pod nazwą notice and take down.

Proponuje się więc, aby procedura rozpoczynała się, jak w aktualnym stanie prawnym, od wiarygodnej informacji o naruszeniu. Informacja taka powinna zawierać[7]:

• określenie uprawnionego składającego zawiadomienie o zamieszczeniu w sieci Internet bezprawnych informacji;
• dane kontaktowe uprawnionego;
• podpis uprawnionego albo osoby go reprezentującej, złożony zgodnie z przepisami o podpisie elektronicznym, albo ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne, albo złożony własnoręcznie w przypadku gdy zawiadomienie ma formę papierową;
• wskazanie w sposób jednoznaczny informacji, które naruszają prawa lub przedmiot działalności uprawnionego, do których jego zdaniem powinien zostać zablokowany dostęp;
• zwięzłe uzasadnienie wiarygodnej wiadomości;
• podanie informacji umożliwiających usługodawcy zlokalizowanie bezprawnych informacji;
• kopię pełnomocnictwa;
• oświadczenie uprawnionego o: (i) braku autoryzacji treści zamieszczonych w sieci oraz (ii) zgodności z prawdą przedstawionych wiadomości.

W przypadku braku podania wszystkich wskazanych powyżej informacji, osoba zgłaszająca naruszenie miałaby być wzywana do ich uzupełnienia. Szczególne kontrowersje budzi propozycja, aby usługodawca, niezwłocznie, jednak nie później niż w terminie 3 dni od dnia otrzymania wniosku o zablokowanie dostępu do treści bezprawnych, albo od dnia uzupełnienia braków formalnych wniosku o zablokowanie dostępu do treści bezprawnych, był zobligowany do zablokowania dostępu do treści bezprawnych i poinformowania o tym fakcie usługobiorcy, bądź – w innym przypadku – odrzucenia wniosku i przekazania uprawnionemu szczegółowego uzasadnienia odmowy zablokowania dostępu do tych treści. Ocena tej propozycji zostanie omówiona punkcie 3 niniejszego artykułu.

Po dokonaniu blokady, usługobiorca mógłby wnieść sprzeciw wobec zawiadomienia, który miałby być ograniczony terminem trzydniowym na jego złożenie. Sprzeciw musiałby spełniać określone wymogi formalne, tj. zawierać:

• określenie usługobiorcy;
• dane kontaktowe usługobiorcy;
• podpis usługobiorcy albo osoby go reprezentującej, złożony zgodnie z przepisami o podpisie elektronicznym albo przepisami ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne albo złożony własnoręcznie w przypadku gdy zawiadomienie jest w formie papierowej;
• opis zablokowanych informacji;
• wyjaśnienie usługobiorcy dotyczącego zablokowanych informacji np. wskazanie, że blokada informacji nastąpiła na skutek pomyłki, gdyż usługobiorca posiada zgodę uprawnionego na zamieszczenie tych informacji w sieci, albo zamieszczenia w sieci dokonano w ramach dozwolonego użytku albo uprawniony błędnie zidentyfikował kwestionowany materiał.

Po otrzymaniu sprzeciwu usługodawca miałby podejmować decyzję o odblokowaniu dostępu do spornych danych. W przypadku przywrócenia kwestionowanych informacji przyjmowałby na siebie odpowiedzialność za ich zamieszczenie.

3.    Ocena proponowanej regulacji

W moim przekonaniu, zasadność propozycji wprowadzenia trzydniowego terminu na zablokowanie dostępu do danych przechowywanych bezprawnie jest wysoce wątpliwa pod względem jej zgodności z prawem UE., przede wszystkim z art. 14 Dyrektywy 2000/31:

“1. Państwa Członkowskie zapewniają, żeby w przypadku świadczenia usługi społeczeństwa informacyjnego polegającej na przechowywaniu informacji przekazanych przez usługobiorcę, usługodawca nie był odpowiedzialny za informacje przechowywane na żądanie usługobiorcy, pod warunkiem że:

a) usługodawca nie ma wiarygodnych wiadomości o bezprawnym charakterze działalności lub informacji, a w odniesieniu do roszczeń odszkodowawczych, nie wie o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o tej bezprawności; lub

b) usługodawca podejmuje niezwłocznie odpowiednie działania w celu usunięcia lub uniemożliwienia dostępu do informacji, gdy uzyska takie wiadomości lub zostanie o nich powiadomiony.

2. Ustęp 1 nie ma zastosowania, jeżeli usługobiorca działa z upoważnienia albo pod kontrolą usługodawcy.

3. Niniejszy artykuł nie ma wpływu na możliwość wymagania od usługodawcy przez sądy lub organy administracyjne, zgodnie z systemem prawnym Państw Członkowskich, żeby przerwał on naruszenia prawa lub im zapobiegł oraz nie ma wpływu na możliwość ustanowienia procedur regulujących usuwanie lub uniemożliwianie dostępu do tych informacji przez Państwa Członkowskie”.

Przed przejściem do omawiania poszczególnych wątpliwości należy jednak w pierwszej kolejności rozważyć jaki charakter ma regulacja Dyrektywy 2000/31. W literaturze istnieją bowiem kontrowersje, co do tego czy przedmiotowa dyrektywa wprowadza maksymalny poziom ograniczenia odpowiedzialności usługodawców (ergo: odpowiedzialność ta nie może być już bardziej ograniczana, ale może być zaostrzona przez Państwa Członkowskie) czy może jest odwrotnie – Dyrektywa 2000/31 określa minimalny poziom ograniczenia odpowiedzialności usługobiorców (ergo: odpowiedzialność ta nie może być już zaostrzana przez Państwa Członkowskie, ale może być jeszcze bardziej ograniczana)[8].

Osobiście przekonuję się bardziej do tego drugiego poglądu, z pewnym wszakże zastrzeżeniem (o czym poniżej). Celem przedmiotowej dyrektywy jest bowiem przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego w dziedzinie handlu elektronicznego przez usunięcie przeszkód prawnych istniejących w poszczególnych Państwach Członkowskich utrudniających przedmiotową działalność gospodarczą (art. 1 ust. 1, motyw (5), (6) preambuły). Bariery te sprowadzały się do tego, że w różnych Państwach Członkowskich zapewniano różny poziom ograniczenia przedmiotowej odpowiedzialności usługobiorców – przedsiębiorcy działający w państwach zapewniających większy poziom ograniczenia omawianej odpowiedzialności mieli ułatwioną działalność względem przedsiębiorców działających w państwach, gdzie odpowiedzialność taka nie była ograniczana. W konsekwencji, ustawodawstwa musiały zostać skoordynowane tak, aby w każdym Państwie Członkowskim poziom ograniczenia odpowiedzialności był na wystarczająco wysokim poziomie, tak aby poziom konkurencyjności był względnie jednolity, a rozwój handlu elektronicznego mógł się rozwijać. Z tych względów, w moim przekonaniu, ustawodawcy unijnemu chodziło o zagwarantowanie jednolitego – minimalnego poziomu wyłączenia odpowiedzialności usługodawców w całej Unii Europejskiej, a nie sytuacje o sytuację odwrotną, co tylko przyczyniłoby się do petryfikacji przeszkód w prowadzeniu omawianej działalności.

Nie oznacza to jednak, że Państwa Członkowskie mogą nieskończenie liberalizować odpowiedzialność osób świadczących usługi hostingu, bowiem muszą one jednocześnie respektować postanowienia dyrektywy 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym[9] (zwaną dalej „Dyrektywą 2001/29”):

Motyw 59 preambuły i art. 8 Dyrektywy 2001/29 stanowią:

“Usługi pośredników mogą być, w szczególności w środowisku cyfrowym, coraz częściej wykorzystywane przez osoby trzecie w działalności naruszającej prawa. W wielu przypadkach pośrednicy tacy mają najwięcej możliwości, aby zakończyć takie naruszenia. Dlatego, z zastrzeżeniem wszystkich innych dostępnych sankcji lub środków naprawczych, podmioty praw autorskich powinny mieć możliwość domagania się wydania zakazu skierowanego do pośrednika, który w sieci utrzymuje naruszenia praw autorskich utworu lub innego przedmiotu objętego ochroną przez osobę trzecią. Możliwość taka powinna być dostępna, nawet jeżeli działania pośrednika stanowią przedmiot wyjątku na mocy art. 5. Warunki i metody dotyczące takich nakazów powinny być uregulowane w ramach prawa krajowego Państw Członkowskich”.

“1. Państwa Członkowskie przewidują stosowne sankcje i środki naprawcze w przypadku naruszenia praw i obowiązków wymienionych w niniejszej dyrektywie i podejmują wszelkie niezbędne środki w celu zapewnienia ich realizacji. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

2. Każde Państwo Członkowskie podejmuje niezbędne środki w celu zapewnienia, aby podmiot praw autorskich, którego interesy zostaną naruszone przez czynności dokonane na jego terytorium, mógł wytoczyć powództwo o odszkodowanie i/lub wnioskować o wydanie nakazu i w miarę potrzeby, domagać się przepadku naruszonych dóbr, jak również urządzeń, produktów lub części składowych określonych w art. 6 ust. 2.

3. Państwa Członkowskie zapewnią, aby podmioty praw autorskich mogły wnioskować o wydanie nakazu przeciwko pośrednikom, których usługi są wykorzystywane przez stronę trzecią w celu naruszenia praw autorskich lub pokrewnych”.

Należy więc stwierdzić, że swoboda Państw Członkowskich w ustalaniu zakresu ograniczenia odpowiedzialności osób świadczących usługi hostingowi jest „domknięta” z jednej strony przez Dyrektywę 2000/31, a z drugiej strony przez Dyrektywę 2001/29. Jednakże środki krajowe nie powinny wykraczać poza te ramy, tj. być zbyt surowe lub zbyt liberalne oraz nieproporcjonalne. Redukowanie natomiast ograniczenia odpowiedzialności osób świadczących usługi hostingowe powinno być traktowane jako wyjście poza granicę wyznaczoną przez Dyrektywę 2000/31, która ma zapewnić jednolity – minimalny poziom wyłączeń na terenie całej Unii Europejskiej.

Z taką sytuacją mamy do czynienia na gruncie omawianych założeń legislacyjnych. Wprowadzanie wspominanego powyżej maksymalnego trzydniowego terminu na dokonanie usunięcia naruszenia obiektywizuje winę usługodawcy, a więc czyni ją bardziej surową. Nie ma bowiem w takiej sytuacji znaczenia czy usługodawca pozostaje w zwłoce (zawinionym opóźnieniu) czy nie. Zawsze w przypadku przekroczenia wspomnianego terminu parasol ochronny „rozwinięty” nad usługobiorcą przez art. 14 Ustawy zostanie „zwinięty”, a usługodawca będzie odpowiadał za naruszenia na zasadach ogólnych. Można sobie wyobrazić samodzielnego przedsiębiorcę, który prowadzi stronę internetową zapewniającą usługi hostingowe. W przypadku, gdy osoba ta, na skutek określonego zdarzenia losowego, nie będzie władna dochować opisywanego tu trzydniowego terminu na „zajęcie się naruszeniem”, będzie musiała liczyć się z powstaniem po swojej stronie odpowiedzialności np. z tytułu naruszenia praw autorskich. Tymczasem, w aktualnym stanie prawnym takiej osobie nie można by zarzucić pozostawania w zwłoce. Dodatkowo należy zauważyć, że przepis art. 14 Dyrektywy 2000/31 wprost wskazuje, że usługodawca odpowiada za zwłokę w działaniu. Nie przewiduje natomiast żadnych okoliczności obiektywizujących odpowiedzialność tej osoby w tym zakresie. Warto także przywołać opinię Rzecznika Generalnego Nila Jääskinena z dnia 9 grudnia 2010 r. przedstawioną Trybunałowi Sprawiedliwości Unii Europejskiej w sprawie L’Oréal vs. eBay (C‑324/09)[10]. Zdaniem Rzecznika, komentowane przepisy Dyrektywy 2000/13 potwierdzają, że konstrukcja odpowiedzialności dostawcy usług hostingowych opiera się o jego winę subiektywną[11].

Niezależnie od powyższego należy stwierdzić, że proponowana zmiana nakładałaby na usługobiorcę obowiązki zbliżone do nieustannego monitorowania przesyłanych i przechowywanych danych. W praktyce usługobiorca musiałby być stale dyspozycyjny na wypadek sytuacji zgłoszenia naruszenia, co wypacza całkowicie ratio legis omawianego przepisu, który miał prowadzić do uniknięcia takich sytuacji. Stałoby to również w opozycji do motywu (47) preambuły Dyrektywy 2000/31. Dodatkowo, Rzecznik Generalny w przytoczonej już powyżej opinii w sprawie L’Oréal vs. eBay uznał, że regulacje przyjęte w Dyrektywie 2000/31 odzwierciedlają zasadę „powiadamiania i usuwania” (notice and take down)[12]. Wskazał on jednak również, że art. 15 ust. 1 Dyrektywy 2000/31 zakazuje państwom członkowskim nakładania na usługodawców ogólnego obowiązku nadzorowania informacji, które przekazują lub przechowują, lub aktywnego poszukiwania faktów i okoliczności wskazujących na bezprawną działalność[13]. Zakładana zmiana Ustawy nakłada w efekcie na dostawców usług hostingowych obowiązek ciągłego nadzorowania (monitorowania) danych.

Proponowana regulacja wykracza także poza granice celu Dyrektywy 2000/31 ujawnionemu przede wszystkim w motywach (1) i (2) preambuły. Mianowicie, wprowadzenie przedmiotowych zmian wprowadzałoby konieczność zatrudniania dodatkowego personelu, który odpowiedzialny byłby za stały monitoring świadczenia usług hostingowych. Uderzyłoby to głównie w małych i średnich przedsiębiorców, a także podwyższyło ogólne koszty omawianych usług, które musiałyby zostać w rezultacie przerzucone na użytkowników (przy jednoczesnym zmniejszeniu konkurencyjności na rynku usług elektronicznych). Taki obowiązek nałożony na hostproviderów nie przyczyni się z pewnością do rozwoju społeczeństwa informacyjnego.

Oprócz zarzutów przytoczonych powyżej należałoby również wskazać, że proponowane zmiany nie czynią zadość zasadzie proporcjonalności, tak bardzo ugruntowanej w prawie unijnym[14]. Zasada ta wymaga, aby wprowadzane przez Państwa Członkowskie ograniczenia (praw, swobód) pozostawały w granicach tego, co jest odpowiednie i konieczne dla osiągnięcia określonego celu (np. ochrony innych podmiotowo lub przedmiotowo istotnych praw i swobód)[15]. Nie są do pogodzenia z tą zasadą wszelkie regulacje nakładające na ewentualnie obowiązanych obowiązki wykraczające poza racjonalną potrzebę ochrony danego dobra prawnego. W kontekście omawianej propozycji legislacyjnej jest natomiast wysoce wątpliwie czy proponowane rozwiązanie prawne przyczyni się do osiągnięcia zamierzonego celu: lepszej ochrony praw osób trzecich. Dodatkowo, należy stwierdzić, że proponowane rozwiązanie nie jest konieczne, bowiem równie efektywny poziom ochrony zapewnia rozwiązanie obowiązujące aktualnie, w którym usługodawca odpowiada w chwili popadnięcia w zwłokę w zablokowaniu dostępu do danych naruszających prawa osób trzecich.

4.    Podsumowanie

W zakresie tu opisywanym autor niniejszego artykułu krytycznie ocenia proponowane założenia do projektu ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną. Są one niezgodne z regulacjami wspólnotowymi, nieproporcjonalne oraz zasadniczo godzą w rozwój rynku usług elektronicznych w Polsce.

---

[1] Dz.U. z 2002 r., nr 144, poz. 1204, z późn. zm.

[2] Projekt założeń opublikowany na: http://bip.mswia.gov.pl/portal/bip/218/19323/

[3] Dz. Urz. WE L z 2000 r., nr 178, poz.1; dyrektywa opublikowana jest również na http://eur-lex.europa.eu

[4] Warto zauważyć, że przedmiotowe ograniczenie odpowiedzialności nie ogranicza się jedynie do naruszenia praw autorskich. Chodzi to zarówno odpowiedzialność karną, cywilną, jak i administracyjną.

[5] Należy odróżnić pojęcie zwłoki od pojęcia opóźnienia. W przeciwieństwie do opóźnienia, zwłoka jest zachowaniem zawinionym. W tym przypadku chodzi o sytuację, w której możemy zarzucić usługodawcy, że nie uniemożliwił stosownego dostępu do utworu w sytuacji, w której był to w stanie zrobić.

[6] Strona 26 i nast. omawianych założeń.

[7] Wskazuje się, że enumeratywne wymienieniu elementów wiarygodnej informacji pozwoli usługodawcą na stworzenie odpowiedniego formularza umieszczonego na ich stronach Internetowych.

[8] Vide J. Barta, R. Markiewicz, „Przechowywanie utworów na stronach internetowych”, Zeszyty Naukowe Uniwersytetu Jagiellońskiego – Prace z Prawa Własności Intelektualnej, zeszyt 3 (105) 2009, str. 14.

[9] Dz. Urz. WE L z 2001 r., nr 167, poz. 10.

[10] Opinia opublikowana na http://curia.europa.eu

[11] Zob. tezę 136 opinii.

[12] Teza 155 opinii.

[13] Teza 163 opinii.

[14] Na  temat zasady proporcjonalności (oraz orzecznictwa do tej zasady referującego) por. Agnieszka Frąckowiak-Adamska, Zasada proporcjonalności, jako gwarancja swobód rynku wewnętrznego Wspólnoty Europejskiej”, Wolters Kluwer Polska, Warszawa 2009.

[15] Za „kamienie milowe” ugruntowujące zasadę proporcjonalności uważane są orzeczenia Trybunału Sprawiedliwości w sprawach Cassis de Dijon (C-120/78), Keck i Mithouard (połączone sprawy C-297/96 oraz C-268/91), SEVIC Systems (C-411/03) oraz Tanja Kreil (C-285/98).