2020年6月,欧盟电信监管机构(BEREC)发布了有关执行网络中立性法规的最新指南,专为各国监管机构在各自的市场评估互联网服务。BEREC上一次发布指南是在2016年,这次的新版本解决了此后出现的一些市场发展产生的新问题。该指南针对成员国监管机构(NRAs)的义务规定提供了详细解释,以保障在提供互联网接入服务时能够遵守平等和非歧视原则。NRAs应当最大程度的对这些指南进行考虑,有助于确保法规适用的一致性。

具体的适用对象和范围

在过去的几十年里,互联网已经发展成为一个开放的创新平台,对终端用户、内容、应用程序和服务提供商以及互联网接入服务提供商来说,接入壁垒低。现有的监管框架旨在提高终端用户访问和分发信息或运行其选择的应用程序和服务的能力。然而,大量的终端用户受到流量管理做法的影响,这些做法会阻塞或减慢特定的应用程序或服务。这些趋势需要在联盟一级制定共同规则,以确保互联网的开放,并避免因个别成员国采取的措施而造成内部市场的分裂。

终端用户是指不提供公共通信网络或公共电子通信服务的用户。反过来,用户是指使用或请求公共电子通信服务的法人实体或自然人。在这个基础上,BEREC理解终端用户包括个人和企业,包括消费者和内容和应用程序提供商(CAP)。在CAP使用接入服务与其他终端用户联系时,CAP作为终端用户受到该条例的保护。不过,有些CAP也可以经营自己的网络,与互联网接入服务提供商(ISP)签订了互连协议。

相关定义

1、公共电子通信提供者

公共电子通信提供者,是指提供公共通信网络或者公开提供电子通信服务的企业。公共电子通信(PECP)包括公共通信网络和电子通信服务(ECS)。PECP的定义不包括非公开提供的电子通信服务或通信网络的提供者。不仅向预先确定的终端用户群提供,而且原则上向任何希望使用该服务或网络的客户提供的电子通信服务或网络应被视为是公开可用的。只向预先确定的一组终端用户提供的电子通信服务或网络可视为不公开提供。虚拟专用网(VPN)服务通常由PECPs向希望签署提供此类服务的合同的任何人提供。这些将被认为是公开提供的;而特定VPN的操作将是私有网络。

以下例子可被视为未向公众提供的服务或网络,但须由国家安全局逐案进行评估:咖啡馆和餐馆提供的互联网接入;公司内部网络;私有的m2m网络。可用于进行评估的标准包括提供服务的合同关系、用户范围和是否预先确定范围。当终端用户直接与ISP就该服务签订合同时,这更有可能被认为是一种公开可用的服务。具有封闭的终端用户组的企业服务通常不会被认为是公开可用的,因为这些用户组对一般公众不可用。

2、互联网接入服务

互联网接入服务是指无论使用何种网络技术和终端设备,都可公开获得的电子通信服务,该服务可接入互联网,从而连接到互联网的几乎所有端点。互联网接入服务提供对互联网的访问,原则上是对互联网的所有端点的访问,而不考虑终端用户使用的网络技术和终端设备。然而,由于互联网接入服务提供商无法控制的原因,互联网的某些端点可能并不总是可访问的。因此,当互联网接入服务提供到互联网的几乎所有端点的连接时,该供应商应被视为遵守了条例所指的互联网接入服务的相关义务。因此,互联网接入服务的提供者不应将连通性限制在互联网的所有可达端点。

BEREC将子互联网服务理解为限制访问服务或应用程序(例如禁止使用VoIP或视频流)或仅允许访问互联网预定义部分(例如仅访问特定网站)的服务。NRAs应该考虑到这样一个事实,即ISP可以通过提供此类子互联网服务来轻松规避监管。因此,这些服务应被视为在该规例的范围内,而这些服务提供有限的互联网接入,则应构成对该规例第3(1)、3(2)及3(3)条的侵权。

维护开放的互联网接入

1、终端用户权利

终端用户有权通过使用互联网接入服务访问、发布信息内容,使用、提供应用程序和服务,以及选择使用终端设备。终端用户有权选择使用终端设备。2008/63/EC指令将终端设备定义为直接或间接连接到公共电信网络接口的设备。因此,终端设备选择权包括接入公用电信网络接口的设备。互联网接入服务提供商不应该限制使用除了那些由制造商或经销商的终端设备以外的终端设备连接到网络。在考虑终端用户是否可使用其选择的终端设备时,NRAs应评估ISP是否为其用户提供设备,并限制终端用户以自己的设备替换该设备的能力,即是否提供强制性设备。此外,NRAs应考虑强制设备是否有被视为ISP网络一部分的客观技术需要。如果没有,如果终端设备的选择是有限的,这种做法将与规定相冲突。终端用户有权通过其互联网接入服务,访问和发布信息和内容,不歧视地使用和提供应用程序和服务。这项权利的行使不应损害有关内容、应用或服务的合法性的法律或国家法律。本规定不寻求规范内容、应用或服务的合法性,也不寻求规范与之相关的程序、要求和保障措施。这些事项仍受欧盟法或符合欧盟法的国家法管辖。

2、协议

为行使访问和发布信息内容的权利,以及使用和提供自己选择的应用程序和服务的权利,终端用户应就特定的数据量和互联网访问服务的速度与互联网访问服务供应商达成协议。该等协议以及互联网接入服务供应商的任何商业行为,都不应限制这些权利的行使,从而规避本规例保障互联网开放接入的规定。应授权国家管制机构和其他主管当局对协议或商业行为进行干预,因为这些协议或行为有可能导致终端用户的选择范围实际上大大缩小。为此目的,对协议和商业行为的评估,应考虑到互联网接入服务提供商以及所涉及的内容、应用和服务提供商各自的市场地位。应要求国家管制机构和其他主管当局,作为其监测和执行职能的一部分,在协议或商业行为会破坏终端用户权利时进行干预。

互联网接入服务提供商在提供互联网接入服务时,不论发送方和接收方、访问或分发的内容、使用或提供的应用程序或服务、或使用的终端设备,应平等对待所有流量,不歧视、不限制或不干扰。根据欧盟法和已发布的判例法的一般原则,不应区别对待可比的情况,也不应同样对待不同的情况,除非这种处理是客观合理的。因此,在评估ISP是否遵守这一原则时,NRAs应该采用两步评估:第一步,评估所有的流量是否被平等对待。第二步,评估情况是可比的还是不同的,以及是否有客观理由可以对相同的情况采取不同的处理。但NRAs应考虑到,同等对待并不一定意味着所有终端用户将体验相同的网络性能或服务质量(QoS)。互联网服务提供商阻止、减慢、限制、干扰、降低或歧视对特定内容、一个或多个应用程序(或其类别)的访问,除非参照第3条第3款第三项的例外情况证明有合理理由,否则该行为可能构成技术歧视和不平等待遇。

该条并不妨碍互联网接入服务提供者实施合理的流量管理措施。为了证明是合理的,这种措施应是透明的、非歧视性和相称的,不应基于商业考虑,而应基于客观上不同的技术考虑,是互联网接入服务提供商为优化整体传输质量和实施的不同类别的流量管控,有利于优化整体的用户体验。

NRAs在评估ISP的做法时应该使用这些原则:不阻塞;没有减速;没有改变;没有限制;没有干扰;没有退化;不区分特定内容、应用程序、服务或其他特定类别。

3、维护网络的完整性

为了保护网络的完整性和安全性,可能需要采取超出合理流量管理措施的流量管控手段。例如,防止恶意软件传播造成的网络攻击或间谍软件导致的终端用户身份盗窃。会破坏完整性和安全性的典型攻击和威胁包括:用流量淹没网络组件或终端设备以破坏其稳定(例如拒绝服务攻击);欺骗IP地址以模仿网络设备或容许未经授权的通讯;黑客攻击网络组件或终端设备;恶意软件、病毒等的散布。针对这些威胁,ISP可能采取的流量管理措施的典型例子包括:阻止IP地址或范围,因为它们是攻击来源;阻止实际发起攻击的IP地址;阻截显示可疑行为的IP地址/IAS;阻断有明显迹象显示属于僵尸网络的IP地址;阻断特定端口令。NRAs应该考虑,为了制止攻击和实施安全措施,ISP使用安全监控系统通常是合理的。

4、个人资料的处理

所有流量管理措施均须涉及处理个人资料的情况,这种处理应遵守欧洲议会和理事会条例2002/58/EC(GDPR)。

保障互联网开放的透明度措施

国家管制机构应当确保ISP为所有终端用户提供的相关信息都包含在一个清晰的、可理解的和全面的合同当中。另外,成员国法律还可以规定更多的透明度要求,包括关于要公布的信息的内容、形式和方式。ISP应当遵守以下要求,以确保信息清晰易懂:信息易于获取和识别;信息应该是准确的和最新的;对终端用户是有价值的,不能产生错觉;在不同的报价、ISP之间都具有可比性,以使得终端用户可以做出选择。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。