近年来，小程序逐渐成为平台标配和互联网基础设施，是当下移动互联网的一大机遇。2018年6月，小程序仅有微信小程序和快应用，到2019年6月360小程序加入战场后，市面上已有9家小程序平台，几乎主流的互联网平台都有了自己的小程序。Questmobile报告显示，2019年6月，百万量级以上的小程序数量已达883个，同比暴增1倍。[1]以小程序为代表的互联网新业态已在网络生态占据举足轻重的地位，其背后的法律问题亦逐渐浮出水面。如刚刚落下帷幕的“中国小程序第一案”——“杭州刀豆网络科技有限公司诉长沙百赞网络科技有限公司、深圳市腾讯计算机系统有限公司侵害作品信息网络传播权纠纷”中法院对小程序平台服务的法律属性及小程序平台服务提供者法定义务的认定即引发业界关注。

　　小程序“用完即走”的特点与SaaS服务相似，常常被同时提及，但二者实质并不相同。小程序服务包括两个方面，一是小程序开发者通过小程序平台为小程序使用者提供商品与服务，小程序使用者通过点击小程序获取服务；二是小程序平台向小程序开发者提供的技术服务，即小程序平台服务。如依据《微信小程序平台服务条款》，腾讯公司所提供的小程序平台服务是指腾讯向注册、登录、使用微信小程序的个人或组织提供的技术服务，包括远程接口调用，前端框架开发、服务连接渠道、数据加密传输以及与此相关的互联网应用技术等。[2]

　　本文将从中国小程序第一案出发，以微信小程序为例，通过对比小程序平台服务与SaaS服务，为小程序平台服务法律属性的探讨提供参考。

　　一 中国小程序第一案案情简介

　　被告一长沙百赞网络科技有限公司（以下简称“百赞公司”）使用被告二深圳市腾讯计算机系统有限公司（以下简称“腾讯公司”）的微信小程序平台上注册开发了“在线听阅”、“咯咯呜”、“回播”三个小程序。百赞公司未经原告杭州刀豆网络科技有限公司（以下简称“刀豆公司”）许可，在前述小程序上传播刀豆公司享有信息网络传播权的作品。刀豆公司认为，腾讯公司作为微信小程序的平台管理者，具有审核义务；但腾讯公司在应知的情况下，仍放任百赞公司的侵权行为，该行为构成帮助侵权行为；两被告的行为违反《中华人民共和国著作权法》等法律规定，侵犯了刀豆公司就涉案作品享有的信息网络传播权。因此，刀豆公司向杭州互联网法院提起诉讼，要求百赞公司承担侵权责任，腾讯公司下架涉案小程序并承担赔偿责任。

　　2019年2月27日，杭州互联网法院对本案作出判决，判决被告一百赞公司赔偿原告刀豆公司经济损失（含为制止侵权行为所支付的合理开支）15000元，并驳回原告其他诉讼请求，即被告二腾讯公司无需承担侵权责任。2019年12月，杭州市中级人民法院对该案作出二审判决，维持了一审认定。

　　二 小程序平台服务与SaaS服务最大区别：对数据和业务系统的控制能力不同

　　在前述案例中，一审法院对小程序平台服务的技术特点做出了详细阐释。一审法院认为，小程序展现给使用者的是一组基于移动端的网页页面，其技术实现原理总体包括“架构”和“接入”两方面：

　　（1）架构。首先，小程序开发者使用腾讯公司小程序平台服务提供的框架、组件、接口等完成小程序页面的搭建。开发者完成页面设计开发后，在小程序平台提交小程序注册信息并提交审核。其次，小程序平台服务封装了操作系统底层的接口能力，将安卓及iOS平台不同使用方式的接口通过基础库统一成相同的实现方式，从而帮助开发者用一份代码，实现双平台运行效果。

　　此时，小程序平台服务提供的仅是一套页面开发技术方案，协助开发者构建自身的小程序页面并将该小程序接入微信运行，使得小程序使用者无需另行安装应用软件即可享受相应服务。

　　（2）接入。小程序平台服务为小程序开发者和小程序使用者之间的数据传递提供技术服务，协助小程序开发者响应小程序使用者的访问请求。一个小程序开发完成投入运行时，开发者通过小程序自行配置好的域名（唯一的网络通信接口）接收来自使用者的信息请求指令，收到该指令的开发者服务器向使用者返回服务器上存储的内容。通过微信客户端提供的接口，小程序可发起网络请求。微信客户端收到小程序发起网络请求的调用之后，会有一段服务器安全域名校验逻辑，校验通过之后，调用操作系统提供的接口向小程序自身的服务器发起网络请求。在收到服务器响应的数据之后，再返回给小程序逻辑层，由小程序来处理。每个小程序需事先设置一个通讯域名，小程序只可与指定的域名进行网络通信。

　　简而言之，小程序使用者对小程序页面的访问请求通过开发者的域名提供给开发者服务器，开发者通过小程序直接向使用者提供数据和服务。此时，小程序是开发者独立运营的一组框架网页架构，在作为端口的开发者域名与开发者服务器之间进行通信。

　　基于上述技术特点，一审法院认为，腾讯公司对小程序开发者提供的是架构与接入的基础性网络服务，其性质类似《信息网络传播权保护条例》第二十条规定的自动接入、自动传输服务。[3]

　　二审法院采取开放式视角考察网络服务类型，未局限于《信息网络传播权保护条例》所规定的四种类型：

　　（1）小程序开发者的服务器数据不保存于腾讯公司，所以，腾讯公司提供的不是自动缓存服务，也不是网络存储空间服务；

　　（2）小程序使用者在小程序上即可完成涉案作品收听，点击播放时并未发生跳转，因此，腾讯公司提供的服务不属于搜索或链接服务；

　　（3）腾讯公司为小程序开发者提供了框架、组件、接口等，用于其完成小程序页面的搭建，因此，不属于单纯的网络自动传输、自动接入服务。

　　综上，二审法院认为，腾讯公司提供的小程序平台服务是独立于《信息网络传播权保护条例》四种网络服务之外的新型网络服务。[4]

　　结合上述法院观点可发现，小程序内容存储于小程序开发者控制下的服务器，由开发者服务自行采取安全措施保障数据安全。本案所涉侵权作品内容存储于百赞公司控制下的服务器，提供小程序平台的腾讯公司无法触及该内容，因此无法直接删除涉案小程序中的被诉侵权内容。

　　而SaaS服务（软件即服务）则呈现出不同的特点。根据《信息安全技术 云计算服务安全指南》（GB/T 31167-2014），在SaaS服务模式下，云服务商向客户提供的是运行在云计算基础设施之上的应用软件。客户不需购买、开发软件，可利用不同设备上的客户端（如Web浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。应用软件层的安全措施由客户和云服务商分担，其他安全措施由云服务商实施。

　　SaaS客户数据及在后续运行过程中生成、获取的数据存储于SaaS服务提供者控制下的服务器上，均处于云服务商的直接控制下，云服务商具有访问、利用或操控客户数据的能力。当前主流的SaaS服务都采取数据集中管理，数据安全依赖于平台本身，客户数据存储风险相对较大。

　　三 小程序平台服务与SaaS服务的联系

　　（一）SaaS服务可为小程序开发提供技术支持

　　小程序的开发有两种方式，一是开发者通过传统方式以自建团队或软件外包的方式自主开发专属小程序。这种方式需不断的技术支持与升级开发投入，后期的维护成本是一笔较重的负担。二是开发者通过第三方SaaS服务完成小程序的开发。使用SaaS服务的优势在于开发者在购买软件后无需为软件更新和维护持续投入，只需支付服务使用费即可。以较具代表性的SaaS服务提供者杭州有赞科技有限公司的“有赞小程序”为例，客户购买“有赞小程序”服务后，可直接选择应用有赞提供的技术模板构建小程序，而无需具备太高的技术能力。

　　（二）服务提供者在一般情况下均无法直接删除侵权内容

　　虽相较于小程序平台服务提供者，SaaS服务提供者具有访问客户数据的技术可行性，但根据相关国家标准和行业伦理，包括SaaS服务提供者在内的云服务商负有极为严格的安全保护义务、保密义务和隐私保护义务。根据《信息安全技术云计算服务安全指南》（GB/T31167—2014）7.3.2，云服务商未经客户授权，不得访问、修改、披露、利用、转让、销毁客户数据，并应采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性和可用性。云服务商未经允许不得访问客户数据是云计算服务行业发展的信任根基，若云服务商能够未经允许访问并直接删除客户数据，将会对行业造成极大的负面影响。这一观点在我国“首例云服务器侵权案”——“北京乐动卓越科技有限公司诉阿里云计算有限公司侵害作品信息网络传播权纠纷案”中得到法院的认可（可参考《云服务商的侵权责任认定探析——以首例云服务器侵权案二审改判为视角》）。因此，虽然理由并不相同，但在一般情况下，小程序平台服务提供者与SaaS服务提供者均无法直接删除涉嫌侵权内容。

　　（三）小程序开发者使用SaaS服务的风险防范建议

　　如前所述，若小程序开发者选择使用第三方SaaS服务开发小程序，其相关业务数据将存储于云服务商控制的服务器上，具有相对较高的数据存储风险。同时，SaaS服务提供者具有不得未经允许访问客户数据的义务。因此，可考虑完善云服务合同的数据保护条款等措施加强客户控制力，防范数据风险：

　　（1）明确数据所有权。客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务运行过程中收集、产生、存储的数据和文档都归客户所有，云服务商应保证客户对这些资源的访问、利用、支配等权利。

　　（2）明确云服务商对客户数据的访问权限。未经客户授权、不得访问、修改、披露、利用、转让、销毁任何客户数据。若合同允许云服务商在某些情况下访问客户数据，应明确具体情形的标准及可访问范围，并要求云服务商在进行该操作前及时通知云服务客户以保证操作的透明度。

　　（3）注意保密条款的签署。云服务客户应与可访问客户信息或掌握客户业务运行信息的云服务商签订保密协议。同时通过合同明确要求云服务商与能够接触签署时信息的云服务商内部员工签订保密协议。

　　（4）在签订合同时提前约定退出要求。比如在退出服务过程中，应要求云服务商完整返还客户数据；云服务商在客户退出云计算服务后仍应承担一定义务，如保密义务或彻底清除数据义务等。

　　四 结语

　　通过前述分析可知，小程序平台服务有别于SaaS服务，小程序平台服务提供者仅向小程序开发者提供网页架构与基础接入等基础性网络服务，未直接面向小程序使用者提供数据存储或搜索链接服务，实际上对开发者提供的具体服务和数据没有管理权限。

　　但小程序平台服务与SaaS服务之间仍存在密切联系。自开发的小程序开发者数据存储于其自身控制的服务器上，小程序平台服务提供者对该数据没有控制能力。利用SaaS服务开发小程序的小程序开发者数据存储于SaaS服务提供者的服务器上，SaaS服务提供者在技术上具有较强的控制能力。但二者均不得在未经允许的情况下访问客户数据，适用SaaS服务开发小程序的开发者需注意防范数据未经允许访问的风险。

　　【参考资料】

　　[1]通信信息报：《四个月拥抱两大巨头有赞SaaS迎小程序时代的高光时刻》. [2019-08-14](2020-01-15).https://mp.weixin.qq.com/s/MhxRUfiIXz4XHQ05tH8bbw.

　　[2] 《微信小程序平台服务条款》. (2019-01-15).https://developers.weixin.qq.com/miniprogram/product/service.html.

　　[3] (2018)浙0192民初7184号.

　　[4] 梁博文洪晓纯：《维持原判：小程序首例案二审解读及平台合规治理回顾》. [2019-12-20](2020-01-15).https://mp.weixin.qq.com/s/ktn6yka_unsLyW5U-MTvsQ.

　　作者：吴丹君律师 张振君律师助理

　　来源：微信公众号“大数据法律研究”