| 软件产品的正当防卫 | |
| 日期:2022/9/16 15:56:43 作者:张冬冬 来源:北京大律师网 | |
前一段时间,计算机软件界突然流行一个新名词:“江民炸弹”。由此引发了关于软件产品是否可以、如何采取和采取何种措施进行防卫的热点论题。现先将事件简述如下: —1997年7月23日,国内5家反病毒软件公司(以下简称五厂商)在北京联合举行新闻发布会,一起谴责国内另一家著名的反病毒软件公司—北京江民新技术有限责任公司(以下简称江民公司)。在发布会上,五厂商向多家新闻机构发放了一份“联合声明”,称江民公司6月下旬发布的KV300 L++版反病毒软件(网络下载版)(以下简称KV300,本文无特殊说明,所指的均是这一特定下载版本)中含有“逻辑炸弹”,“在特定条件下对计算机实施破坏,其结果与某些计算机病毒的破坏作用相似……” —7月24日,江民公司对五厂商的“联合声明”做出了强烈反应,认为这是“不正当的侵权行为”,并多次在各专业计算机报刊上登载“严正声明”。江民公司对此的解释是:江民公司并未在KV300中安放任何破坏性程序。五厂商所称的“逻辑炸弹”,其实是江民公司为打击日益猖獗的盗版软件行为而在软件中编制的“逻辑锁”,这一“逻辑锁”首先不可能对任何购买正版产品的用户造成任何影响和损失,其次对部分盗版用户也只是起到暂时锁住机器的作用。江民公司特别强调,KV300中的“逻辑锁”与病毒没有关系,因为病毒是具有自我复制和传染性的破坏性程序,而“逻辑锁”却不会对用户数据造成任何伤害。 —从五厂商提供的材料及江民公司接受采访的报道中,确有用户用INTERNET上一个叫“中国毒岛论坛”的站点上下载的非法解密软件MK300V4对KV300进行解密时,导致被锁机,不能从软盘或硬盘上引导机器,只能由江民公司负责解锁或者自行对硬盘进行格式化。
国内有关新闻媒体对此进行了热点讨论,直至公安机关作出认定、处罚后方告一段落,但这些报道主要是从产业竞争角度来探讨的。笔者认为该事件涉及到两个新的法律问题,第一,计算机病毒的定义;第二,软件产品是否可以进行必要的防卫手段。下面试作分析。 一、“KV300”的定性 这个事件双方在对KV300的性质理解是不一致的。五厂商认为:“KV300反病毒软件中含有‘逻辑炸弹’,在特定条件下对计算机实施破坏,其结果与某些计算机病毒的破坏作用相似”。但江民公司认为KV300不是“逻辑炸弹”而是“逻辑锁”。笔者在进行研究后认为: 1.“逻辑炸弹”与“逻辑销”的区别。根据《英汉计算机、通信、电子、金融、安全辞典》(清华大学出版社1994年出版)的解释,所谓“逻辑炸弹”(Logic Bomb)是指:“在计算机安全方面,不法分子故意装入计算机系统中的在一定逻辑条件下才动作的具有窃取信息或者破坏功能的程序、指令。例如,将犯罪指令装入某个文件的关键字或字母,一旦检索到该字或者字母消失了,‘炸弹’就触发逻辑装置,从而作案者达到窃取信息或者破坏计算机系统功能的目的”。而大多数舆论、读者认为计算机词汇中只有“逻辑炸弹”,没有“逻辑锁”,因而“逻辑锁”的概念是不成立的。我认为,判断一个词是否合适,不能以现在是否已存在为标准。计算机技术作为一种高科技产业,随着研究的发展、细化,必然会出现更多、更准确的词汇。 2. KV300不属于计算机病毒。根据《中华人民共和国计算机信息系统安全保护条例》(以下简称《安全条例》)第28条,对计算机病毒的定义是:“是指编制或者在计算机程序中插入的,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”我认为,根据该定义,构成计算机病毒有三个要素:1、该病毒应是在计算机主程序里的一个子程序;2、病毒执行、发作的表现为自我复制;3、病毒引起的后果是破坏或者毁坏数据,影响计算机使用。三个条件是并列的,不能取舍。对于“逻辑炸弹”和“逻辑销”而言,按照以上分析,“逻辑炸弹”和“逻辑销”均是计算机病毒发作的一种结果,只不过是在程度的轻重上不一样。但由于KV300不具备“自我复制”这一不可或缺的必备要件,因此,仅就《安全条例》的规定而言,KV300不能被认定为计算机病毒。
因此,笔者认为KV300从性质上讲不是计算机病毒,那么它的行为后果应该如何定性呢?我认为它不是一个违法行为,而是“正当防卫”行为。请见下述: 二.软件产品是否可以具有防卫性及法律依据 1、软件产品是否可以采取防卫措施 实践中,任何产品为保护自己的合法权益,均可以采用一定的防卫措施。一般产品对于保卫自己不受非法侵犯的手段是通过定期改变包装,加载防伪标志,建立指定、专门的销售代理机构等方法,我简称为被动防卫行为,这是由一般产品不可能具备攻击性特点决定的。而软件产品则不然,它可以通过编程加密的手段使该产品不但达到被动防卫的功能,而且基于软件程序具备可执行的特性,软件权利人可以将其设定为在满足一定的逻辑条件下,通常是在出现有人企图非法破译、解密软件等条件下,采取执行软件程序中特定的子程序进行主动防卫,达到使不法侵害人不能继续实施侵害的目的如造成机器死机、锁住机器等。KV300正是一个典型的主动防卫事例。因此笔者认为,软件产品是可以采取防卫行为的,只不过由于其具有的与其他普通产品的不同的特性决定其可以采用主动防卫手段。 2、软件产品防卫行为的法律依据 软件产品作为一种产品,在生产、流通、销售、产品质量等方面与其他产品同样要受到《产品质量法》、《民法通则》的调整,并且因其固有的特性使其还要受到《著作权法》、《计算机软件保护条例》、《安全条例》等其它相关的特殊法律规范的调整。但是上述法律、法规没有对计算机软件产品是否可以在遭受不法侵害时采取主动防卫措施,以及如何界定防卫的标准、限度和损害责任认定等问题作出明文规定。《产品质量法》只是对因产品的缺陷、质量问题导致消费者受到损害作出了一些规定。对于不是产品缺陷、质量问题而是由于产品的防卫措施给消费者、用户造成损害的问题并未作出规定。因此笔者认为很有必要对此进行一些探讨。
由于计算机已纳入刑事犯罪范畴,根据于1997年10月1日起实施的《中华人民共和国刑法》(以下简称为修订后的刑法)第20条的规定,对犯罪行为可以采取“正当防卫”行为而不负刑事责任。按照江民公司的解释,他们是在进行防卫行为,那么他们所述的防卫和修订后的刑法所规定的“正当防卫”有何异同呢? 三、如何界定“软件防卫” 对于如何界定“软件防卫”这个问题,我认为应借鉴一下“正当防卫”的内容规定。修订后的刑法第20条规定的“正当防卫”是指:“为了使国家、公共利益、本人或者他人的人身、财产和其他权利免受正在进行的不法侵害,而采取的制止不法侵害的行为”。 它的概念是很严格的,有五个要件:第一,防卫的目的必须是为了国家、公共利益、本人或他人人身、财产或者其他权利免受不法侵犯;第二,防卫的起因必须是针对不法侵害;第三,防卫的时间必须是不法侵害正在进行中;第四,防卫的对象必须是不法侵害人;第五,防卫不能超过必要的限度。 首先,笔者认为,判断正当防卫的最基本条件是该行为首先必须符合“目的”要件规定,即必须有不法侵害行为发生,权利人才可以采取“正当防卫”行为。换句话说,只要有不法侵害行为发生,权利人就可以采取防卫行为。在这个事件中,当 KV300的非法用户使用非法软件进行解密行为时,就已经符合正当防卫目的要件的规定。这里我们要认清很重要的一点:软件权利人在进行防卫行为前,要绝对确认防卫行为只能唯一指向不法侵害人,该防卫行为如果不能正确、唯一的判断出不法侵害者的身份,是不能进行防卫的,否则就需承担相应的责任。而只要在保证了该条件下进行的防卫行为,就是合法有效的声卫行为。关于这一点,多数媒体的报道从未被给予正确的关注。其次,正当防卫行为雄护的权益包括人身、财产及其他权利。软件产品所含有的知识产权本身就是一种无形的财产权益。因此,我认为江民公司从正当防卫的目的要件上讲是符合法律规定的。下面我根据正当防卫的要件具体来分析以下江民公司的行为是否完全合法。
在具体分析前需要说明的是,我们不能直接、完全的适用修订后的刑法中对正当防卫严格的定义,但是可以借鉴它的构成标准。它们之间有一个很大的不同点:刑法所指的正当防卫行为人和不法侵害人是以自然人为主体,而我们现在讨论的这个事件均是由软件程序作为实施侵害行为和实施正当防卫行为主体的。但我认为事实上这二者并不矛盾。因为软件程序的不法侵害及防卫行为也是通过相应的行为人所设置的程序指令进行的,侵害和防卫行为均体现了行为人意志,所以我认为在对其进行人格化后是应当可以适用的。 四、软件产品正当防卫的判断标准及防卫限度 根据修订后的刑法所规定正当防卫的五个构成要件,让我们来分析一下KV300是否符合其要求,从而判定该行为是否合法有效。笔者认为对于前四个要件基本上是没有问题的,关键在于对第五个要件应如何理解“必要限度”及适用何种判断标准。 在修订后的刑法的规定中,正当防卫行为的必要限度要求较旧刑法所规定的更明确及范围更广泛(即无限防卫)。对其分为两种情况:第一种是,公民在遭受一般的侵害人身、财产权益行为时(比如盗窃、抢夺),防卫人采取的措施不能明显超过必要限度,造成重大损害,否则即为防卫过当;第二种是,在遭受严重的侵害人身及财产安全时(例如杀人、持刀抢劫等),没有防卫的限度要求,亦称无限防卫。相对应的,软件程序在进行防卫时所能造成的后果也可以分为两种:一种是有限防卫造成轻微的或者一般的后果,比如致使该软件不能或者部分不能运行、运行过程中出现死机、计算机被锁住等;另一种是由无限防卫造成的严重后果,比如删除硬盘所有的文件、格式化硬盘等。 在上述两种防卫限度中,我认为,根据修订后的刑法的立法旨意,它对于无限防卫的权利只在不法侵害人的行为后果可能严重危及人身安全时赋予防卫人行使,而在软件产品的不法侵害行为中,侵害行为的对象是软件产品,是软件权利人的财产权利,在侵害行为造成的后果上不可能危及到软件权利人的人身安全问题。因此,我认为软件防卫中,不能适用修订后的刑法对于无限防卫的规定。而只能对有限防卫进行探讨。 对有限防卫而言,也分为两种情况:一种是正当防卫,一种是防卫过当。刑法理论中对于防卫限度的规定是“不能明显超过必要限度、造成重大损害”,它基本是以防卫行为、手段“足以有效制止正在进行不法侵害行为”作为判断标准的。只有在防卫行为给侵害人造成了“重大损害”的后果时,才能认定为防卫过当。从KV300给非法用户造成锁机的后果来看,它只是使不法行为失去了继续不法侵害行为的条件,未给非法用户的计算机里存储的数据造成损害、破坏,是符合正当防卫限度要求的,所以从法律上应该说是合法有效的。但是,从各种舆论中很多读者包括计算机业界人士有以下几种看法: 第一,KV300虽然未破坏、损害非法用户的数据资料,可是从实际结果来看,用户在遭到锁机后不能在对计算机进行任何其他与解密行为无关的操作,只有在将机器送至江民公司进行解锁后方可继续使用(否则只能对机器进行格式化),这属于防卫过当;第二,KV300不是执法者,对版权问题应由国家法律进行保护;第三,对后果考虑不周,在全国范围大面积实施报复惩罚措施事先没有公告,程序运行时没有必要的提示和警示,肯定会有无辜受害者;第四,公安部计算机安全监察部门对 KV300进行了鉴定,认为“其有破坏计算机功能的子程序”,根据《安全条例》,江民公司的行为已受到处罚等。 上述看法我认为在法律上是不能成立的。第一,是否防卫过当的问题,很重要的一点是是否造成了重大损害后果。而 KV300只是将机器锁住,并未破坏数据,在送至江民公司解锁后仍可继续使用,因此,不属防卫过当;第二,KV300确实不能随意充当执法者,但这里存在一个概念区分的问题,KV300的行为不是执法行为,而是防卫行为;第三,对于任何计算机软件而言,都是可以通过跟踪等方法进行解密,如果事先公告、提示、警告,那么这个防卫程序对解密者又有什么用处,而且认为 KV300会伤及无辜受害者的这种观点更是没有道理,难道非法用户也可以称为无辜?对于第四点,公安机关的认定、处罚行为,我个人认为是有欠妥当,有待于进一步探讨。首先,KV300不是计算机病毒,不能依据《安全条例》处罚;第二,KV300的行为也不属于《安全条例》第22条中其他的处罚行为。 笔者研讨这个问题很重要的一个目的是:如果KV300的防卫程序针对的不仅是网络,那么我们将依靠什么来判断它的合法与非法性(即在《安全条例》已不能适用的情况下)? 通过以上分析,笔者认为KV300的行为应属正当防卫,是合法有效的。但由于软件产品的特殊性,应对其防卫限度标准作出合理的判定。因此,出于遵循商业惯例的通常作法,结合保护我国软件行业上来看(不是严格按照法律规定),我认为软件产品防卫的手段不应超过以下两种限度:第一种限度(轻微限度):1、使解密行为不能继续进行;2、使机器在解密过程中死机;3、解密后的软件部分或者全部不能运行等;第二种限度(较严重的限度):使进行非法活动的机器锁机(锁机的时间不应是无限的,比如锁住机器几个小时或者几天)等;以上只是一个粗略的分类,具体哪些措施应属正当防卫之列,仍需各界专家、学者继续进行深入探讨。
另外,笔者认为,从法律上看根据现阶段我国的实际情况,打击软件盗版和侵权行为不能仅仅通过实施加密等被动的防卫手段,毕竟这种手段比较有限,不能充分维护权利人的权益,所以应允许软件权利人采用一些主动的防卫手段。软件制作者自己也应通过发行演示版、降低价格、扩大锁售网络等方法来增加软件产品的知名度,大力加强用户的合法意识等手段维护自己的合法权益。 五、软件产品正当防卫要件的分析 综上,我认为对于软件产品正当防卫的要件虽然可以适用修订后的刑法的规定,但它们之间还是存在很大的不同,笔者试将“软件产品正当防卫”的要件陈述如下: 1、软件产品正当防卫要件的构成。 (1)目的要件及防卫人的主体资格:建议定义为“为了国家、公共利益、本人或者他人的财产权利免受正在进行的不法侵害”。防卫人在主体资格上与刑法规定的自然人是完全不同的,作为软件防卫主体是软件程序,而不是自然人。 这里需要说明两点: ①为什么仍将国家、公共利益和他人利益归纳进来呢?因为如果仅在商业行为中,软件产品所涉及的利益只是权利人,但软件产品的应用范围不仅仅是在商业领域,还有其他非商业领域,可能会涉及国家、公共及他人的利益,比如有关国家安全系统的软件产品涉及到国家的利益;为用户订制的专门软件集成系统涉及到他人的利益等。 ②由于软件产品的特殊性,不会涉及到人身权利(前已述),因此本要件不应包括对人身权利的规定。 (2)起因条件:“必须是针对不法侵害行为”。这里的不法侵害行为,不仅仅指非法解密行为,是包括侵犯软件权利人合法权益的一切行为,比如企图进行非法的修改、升级等。 (3)时间条件:“防卫的时间可以是即时的也可有一定的时间期限”。对于刑法规定的即时防卫时间要件(即正当防卫行为应在侵害行为进行时同时实施)要做重大修改。软件产品的正当防卫行为不能严格使用它的要求,要放宽限制条件。因为有时可能软件权利人在设置防卫程序时,会将该程序设置为不在满足条件时就立即执行,而在以后的一个规定时间才执行。这也是软件产品所具有的特性所决定的。 (4)对象条件:“正当防卫的对象必须是不法侵害”。这里把“不法侵害人”改为“不法侵害”是因为防卫对象不同于刑法中不法侵害人的资格,它不是自然人,而是一个软件程序,只不过该软件程序是侵害人的意志体现。
(5)限度条件:这个要件可以适用修订后的刑法中规定防卫限度的标准“足以有效制止正在进行不法侵害行为”。限度标准分类如前所述。 六、软件产品正当防卫的其他特性 1、防卫行为的预先设置性。 在刑法理论中,防卫行为是不可以预先进行设置的。比如你不能随时带匕首等管制刀具,为了将来有可能发生的不法侵害,而只能在受到不法侵害威胁时以随机获得武器、手段进行防卫。因为在遭受到不法行为侵害前你无法会预见到是否会要进行防卫,反而你的预置行为还可能对他人的人身安全也构成威胁。也就是说该预置行为不能保证防卫行为、手段只会对不法侵害人进行。而对于软件产品的正当防卫则是可以适用的。 我们可以按照下面的标准来判断软件产品正当防卫中预置行为是否合法:只有当预置的程序在任何合法使用的条件,不会对合法权利人构成威胁的情况下,该预置行为才被认为是有效的。这在软件防卫行为中比较容易理解及适用,因为防卫的对象只涉及到财产权利。 2、软件产品正当防卫的多次性 软件产品正当防卫有多次、连续性的特点。因为不法侵害人即使当前使用的机器被锁住,则可使用另一台机器及相应的解密软件仍然可以再实施侵害行为。而在刑法所规定的正当防卫的多数情况中,很少有同一个正当防卫人可能受到多次侵犯的情况。 最后,即使从非法律意义上讲,如果按照有关部门的认定及处理,那么软件的开发者只能眼看着盗版者随意所为,而不能采取任何保护自己权益的措施,这岂不是造成了“亲者痛仇者快”的结果了吗?又有谁敢尽力、无后顾之忧地去进行软件的开发工作呢?这样的事实到底是谁的福音呢?在现在我国消费者的守法消费观念不是很强的情况下,我们不是想办法去加强消费者的法律意识,却转而去对软件权利人大加限制,甚至是以法律的手段去纵容不法者的违法行为,这难道是法律的宗旨吗?所以我认为,只要有不法行为发生,就可以采取防卫手段,只不过是在防卫限度上如何掌握、理解、适用的问题。KV300的防卫行为从道义及商业惯例上讲很多人觉得过分,但从法律上讲又是合法的,那么我们在法律和惯例之间应该如何取舍呢?我想这应该是不言而喻的。 本文责编/吉祥 来源网络
|
|
|
|
| 上一篇:H&M品牌是否构成生产、销售伪劣产品罪? 下一篇:《网络产品安全漏洞管理规定》重点条款解读及合规建议 |
