1為什麽要在KV300中設置邏輯炸彈?
1997年夏天,京城壹大新聞熱點是姜敏公司在其殺毒軟件KV300的l++版本中設置了邏輯炸彈。
l++版KV300為什麽要裝邏輯炸彈?姜敏公司總經理王江民先生在《北京青年報》上寫了壹篇文章《不是炸彈,是邏輯鎖》,內容如下三段。
-kv 300 l++版是為互聯網上的壹個站點——“中國毒島論壇”設計的。這個網站允許人們下載國產殺毒軟件的關鍵制盤工具,為盜版提供了極其便利的條件。……
-北京姜敏新技術有限公司在kv 300 l++版本中增加了具有高智能邏輯判斷的“邏輯鎖(防盜鎖)”程序。這個程序的運行機制是:當盜版者使用“中國毒島論壇”提供的解密密鑰復制盜版光盤並在電腦上運行時,其“邏輯鎖”的嚴格邏輯判斷程序能夠準確識別盜版光盤,立即啟動,並鎖定盜版者的電腦硬盤,強制電腦停止工作,硬盤數據暫時無法使用。所以這種高智能邏輯判斷條件的“邏輯鎖”,對於正版KV300的用戶來說,絕不會有任何錯鎖。此外,“邏輯鎖”不會破壞硬盤數據。盜版用戶只需向姜敏新技術有限公司總部承認盜版,並通過姜敏公司向有關部門登記,有助於追查盜版窩點,即可獲得解鎖條件,恢復硬盤工作。壹旦“邏輯鎖”被使用,盜版活動立即被阻止,壹些盜版者被迫向姜敏公司承認盜版過程,以換取解鎖條件。
-所有正版KV300用戶可以放心,不會有任何問題。我們的“邏輯鎖”和五家殺毒廠商所說的“邏輯炸彈”是不壹樣的。大家都知道鎖和炸彈的概念。鎖是用來鎖東西的,但是可以用鑰匙打開。炸彈被用來炸毀壹個物體並徹底摧毀它。如果不使用原裝KV300,“邏輯鎖”會鎖住電腦硬盤,但不會破壞硬盤數據。只有軟件著作權人會用“鑰匙”解鎖,而“邏輯炸彈”會破壞信息,這將是不可挽回的。
值得註意的是,王江民先生在接受采訪時說:為了決定是否放置邏輯鎖,我確實考慮了很長時間,並仔細研究了相關的法律法規。王江民先生還提出了“主動邏輯鎖”和“被動邏輯鎖”的理論。他說:有主動和被動的邏輯鎖。在軟件中設置“被動邏輯鎖”。軟件被“小偷”盜走後,無法在小偷的機器上使用。如果在壹個軟件中放置壹把“主動邏輯鎖”,壹旦“小偷”竊取後,該軟件在“小偷”的機器中使用,它會立即通過“主動邏輯鎖”鎖定這臺電腦的存儲,就像“小偷”被鎖在屋子裏壹樣,只有版權所有者才能用“鑰匙”解鎖。如果“賊”愛面子,只能自毀“門”來開鎖。這叫“偷雞不成,蝕把米”。(轉引自、齊彥勛、桑《為首都的“彈”與“鎖”》,載《中國消費者報》7月31997第3版。)在這裏,王江民先生的“邏輯鎖”理論,以及“主動邏輯鎖”和“被動邏輯鎖”的劃分,在計算機領域是聞所未聞的。
這個比喻在壹段時間內誤導了輿論,使得壹些媒體、非計算機專業人士、壹些計算機專業人士甚至軟件知識產權工作者無法正確理解姜敏公司行為的違法本質。
如果要和日常生活中的事情打個比方,可以這麽說:家家戶戶安裝防盜門是沒有問題的。但是如果有人給防盜門通電,或者底層居民在自家院子的圍欄上安裝防盜網,就會造成嚴重的問題。壹是帶電防盜門或柵欄電網的安裝者(以下簡稱“安裝者”)無權實施這種可能危及公眾安全的行為;第二,無辜的人可能受害;第三,即使小偷被電擊致死,壹方面小偷是因不當死亡而有罪,另壹方面“安裝者”本人無權代替執法機關執法;第四,退壹步講,即使被電死的人依法“罪大惡極”,“安裝工”也無權對他動私刑。這是壹個法制社會最起碼的要求。在這裏,“安裝者”應該承擔的法律責任是顯而易見的。
2當時媒體的反應
如何看待姜敏公司設置邏輯炸彈?
1997年夏天,由於這壹事件的特殊性和復雜性,在中國軟件產業發展史上是空前的。無論是新聞界、軟件行業還是公安機關,都壹時難以確定此事的性質,所以媒體的態度都比較謹慎。
壹些報紙宣傳姜敏公司設置邏輯炸彈的做法。比如《北京科技報》當時就發表了這樣的評論:“KV300這種攻防兼備的反盜版措施,既保護了購買正版的消費者的利潤和KV300的知識產權,又打擊了盜版者,可謂壹舉兩得。王江民和他的KV300現象,對目前國內大多數小軟件開發者來說,都是壹種寶貴的啟示,或許是小軟件開發者成功的捷徑。”(見宋欣聚焦視角《王江民與KV300現象》發表於8月1997日《北京科技報》民營產業專刊。公眾輿論壹度傾向於姜敏公司。
媒體出現上述現象的主要原因:壹是姜敏公司所謂的“邏輯鎖”而不是邏輯炸彈,帶來了很多媒體在認識和理解上的混亂;其次,姜敏公司提出“中國毒島論壇”的質疑,為其行為找壹個冠冕堂皇的理由;第三,這件事在國內是史無前例的,查處需要時間。當時公安機關未能及時表態。
3作者當時的評論
提交人在1997年8月11日就此事發了壹份傳真評論。要點如下:
(壹)設定行為的性質判斷
《中華人民共和國計算機信息系統安全保護條例》(以下簡稱《安全條例》)第七條規定:“任何組織或者個人不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機信息系統的安全。"
《安全條例》第二十三條規定,“故意輸入計算機病毒和其他有害數據,危害計算機信息系統安全的”,給予行政處罰。註意,這裏應受處罰的行為不僅包括故意輸入“計算機病毒”,還包括故意輸入“其他有害數據”,只要這些行為“危害計算機信息系統安全”。
關於“計算機病毒”,《治安管理條例》第二十八條給出了定義,即“是指編譯或者插入計算機程序,破壞計算機功能或者數據,影響計算機使用,能夠自我復制的壹組計算機指令或者程序代碼。”這裏,計算機病毒的定義有三個要素:壹是“破壞計算機功能或數據”,註意“破壞計算機功能”和“破壞數據”只要其中壹個成立,兩者之間的關系;二是“影響電腦使用”;三是“自我復制”。這三個條件必須同時滿足。
“數據”在安全規程中沒有定義,但在中國國家標準GB/T11457-89《軟件工程術語》第2.119節中有定義,意思是“事實、概念或指令的正式表達,適用於人或自動設備。因此,計算機程序也屬於“數據”的範疇。也就是說,《安全條例》第二十三條所說的“其他有害數據”包括計算機病毒以外的其他有害計算機程序。
(二)設立行為的法律後果
我國只有公安機關和/或司法機關才有權依法決定當事人的行為是否違法,是否應當追究法律責任。
1994 2月18當日生效的《治安管理條例》是公安機關和/或司法機關的執法依據。這是國務院的行政法規。
現將有關法律法規引用如下。
《安全條例》第二十三條規定:“故意輸入計算機病毒和其他有害數據,危害計算機信息系統安全的……由公安機關給予警告或者對個人處5000元以下罰款,對單位處15000元罰款;有違法所得的,除沒收外,可以並處違法所得1至3倍的罰款。”
《治安管理條例》第二十四條規定:“違反本條例規定,構成違反治安管理行為的,依照《中華人民共和國治安管理處罰條例》的有關規定處罰;構成犯罪的,依法追究刑事責任。”
《治安管理條例》第二十五條規定:“任何組織或者個人違反本條例規定,給國家、集體或者他人財產造成損失的,應當依法承擔民事責任。”
因此,公安機關和司法機關可以依據《治安管理條例》的規定,對該事件中的設定行為進行定性和處理。
任何單位和個人認為因姜敏公司的設立而遭受財產損失的,可以依法起訴,追究姜敏公司的民事責任。當然,姜敏公司的設立是否違法甚至構成犯罪,是否應當承擔民事責任,最終還是要由公安機關和/或司法機關來決定。
公安機關對該行為進行了處理,姜敏公司不服的,可以依據《治安管理條例》第二十六條“依法申請行政復議或者提起行政訴訟”。
另外,需要指出的是,1997年3月4日修訂的《中華人民共和國刑法》第二百八十六條規定:
“違反國家規定,刪除、修改、增加或者幹擾計算機信息系統功能,致使計算機信息系統不能正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
違反國家規定,刪除、修改、增加計算機信息系統中存儲、處理、傳輸的數據和應用程序,後果嚴重的,依照前款的規定處罰。
故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,造成嚴重後果的,依照第壹款的規定處罰。"
註意,這裏第三段的“計算機病毒等破壞性程序”這句話裏有壹個“等號”。因此,只要他們故意制作、傳播“破壞性程序”(不限於計算機病毒),“影響計算機系統正常運行,後果嚴重”,就可能被追究刑事責任。這與之前《安全條例》第二十三條“其他有害數據”包括計算機病毒以外的其他有害計算機程序的解釋壹致。
新刑法將於6月5438+0997+10月1日生效。這是計算機用戶必須特別註意的法律要求。
(3)壹些想法
1.軟件著作權人的權利是有限的。
在法治國家,權利人不可能不受任何限制地行使權利。軟件著作權人也是如此。
我國著作權法第四條第二款規定:“著作權人不得違反憲法和法律,不得損害社會公共利益。”《計算機軟件保護條例》第九條第三款規定,著作權人在“不損害公眾利益”的前提下,以復制、發行的方式行使其著作權的使用權。
2.軟件著作權人行使權利的手段應該是合法的。
用王江民先生的話說,成立姜敏公司的目的是為了對付論壇上愈演愈烈的盜版活動。如果有人利用某BBS提供的密匙盤制作程序MK300V4制作盜版KV300L++版密匙盤,硬盤會被鎖死。
然而,對付盜版活動的手段是否合法,是壹個值得關註和研究的問題。
如果有人提供所謂的“盜版光盤制作工具”,應該通過法律手段追究所謂“盜版光盤制作工具”提供者的責任。
如果要追究使用所謂“盜版光盤制作工具”的普通電腦用戶的責任,也應該通過法律手段解決,不應該鎖定其硬盤(以及是否有其他結果)。因為軟件著作權的擁有者無權因為別人使用盜版軟件而鎖別人的硬盤。
註意這裏享受某種“權利”和行使某種“權力”的區別。法律制度的壹個基本原則是,法律機關應當依法行使法律權力和追究法律責任。
在計算機病毒的早期生產者中,有些人的動機是為了防止或懲罰盜版。但這種做法在當時沒有法律依據,現在已經被法律禁止。因為這樣做的結果往往是“影響計算機系統的正常運行”(引自新刑法),“危害計算機信息系統的安全”,“給國家、集體或者他人財產造成損失”,“危害國家、集體利益和公民的合法利益”(引自治安管理條例)。
因此,除非有國家有關主管部門的特別批準,計算機信息系統安全專用產品(即用於保護計算機信息系統安全的專用硬件和軟件產品)不應含有使計算機信息系統在開發者設定的條件下不能正常運行的功能。
可以想象,在現代電子戰條件下,經國家有關機關批準,可以制作計算機病毒等破壞性程序,輸入敵方計算機信息系統,從而戰勝敵人。本案中的行為是合法的。
4公安機關處理
1999 9月1日,公安部發布題為《強化法制觀念確保我國計算機信息系統安全》的新聞稿,對姜敏公司邏輯炸彈事件作出正式聲明。(見《中國計算機報》9月8日A3版1997刊登的新聞《設置邏輯鎖違法》。公安部強調保護信息系統安全;0997年9月5日《計算機報》1版刊登的“KV300L++”邏輯鎖被國家公安機關認定為非法”的新聞。)
公安部計算機管理監督司負責人在公安部召開的新聞發布會上指出:經鑒定確認,kv 300 l++網絡升級版中存在破壞計算機功能的子程序。姜敏公司的這壹行為違反了《中華人民共和國計算機信息系統安全保護條例》。北京市公安局計算機安全監察處將根據上述事實對姜敏公司的違法行為進行處罰。
公安部有關負責人在強調了6月1999 10日起施行的新刑法第二百八十六條第三款的規定後指出,今後公安機關將依據刑法及相關法律法規,嚴厲查處類似事件。
公安部負責人指出,計算機信息系統安全是關系到國家、集體和個人利益的重要問題。從事計算機信息系統安全專用產品開發的單位和個人應當具有高度的責任感和高尚的職業道德,嚴格按照法律、法規和規章從事經營活動。
9月8日,北京市公安局計算機安全監管部門作出決定。
5“邏輯鎖”還是“邏輯炸彈”——關於學術術語的爭論
對姜敏公司邏輯炸彈案的理解存在爭議和分歧的原因之壹是姜敏公司的行為是否是設置邏輯炸彈。
我們可以看壹下“邏輯炸彈”在中國計算機科學權威詞典中實際上是什麽意思。
定義1:所謂“邏輯炸彈”,就是“故意安排在計算機中,在特定時間或特定條件下執行的插入程序,可能使整個系統癱瘓或刪除大量信息。”(引自中國計算機聯合會《英漢計算機詞典(續)》,人民郵電出版社,1995,2月1版,第187頁,“邏輯炸彈”詞條。)
註意1定義的三個要素:壹是“有意安排的插入程序”;二是“在特定時間或特定條件下執行”,這裏“特定時間”與“特定條件”的關系是“或”,只要其中壹個成立;第三,“有可能使整個系統癱瘓或者刪除大量信息”。這裏“整個系統癱瘓”和“刪除大量信息”的關系也是“或者”,只要其中壹個成立。
定義二:所謂“邏輯炸彈”是指“在計算機安全方面,犯罪分子故意放入計算機系統並在壹定邏輯條件下運行的,具有竊取信息或破壞系統功能的程序和指令。例如,當壹個犯罪指令被加載到操作系統中時,計算機系統會在運行時自動檢索壹個文件的關鍵字或字母。壹旦檢測到這個單詞或者字母消失,‘炸彈’就會觸發邏輯裝置,讓犯罪者竊取信息或者破壞計算機系統的功能。”(引自計算機安全專業委員會苗道奇、張鵬飛主編的《英漢計算機、通信、電子金融與安全詞典》,清華大學出版社,1994,1版,第245頁,“邏輯炸彈”詞條。)
註意定義2的三個要件:第壹,“故意加載……的程序和指令”;第二,“只在壹定的邏輯條件下行動”;三是“具有竊取信息或者破壞系統的功能”。這裏的“竊取信息”和“破壞系統功能”的關系是“或者”,只要其中壹個成立。
王江民先生關於“邏輯鎖”和“邏輯炸彈”區別的說法是,被“邏輯鎖”鎖住後,可以用“鑰匙”打開。被“邏輯炸彈”炸了之後,就無法挽回了。(引自廖天華《關於KV300L++所謂“邏輯炸彈”事件的跟蹤報道》,發表於《計算機報》8月8日第4版,1997。)
對比以上兩種邏輯炸彈的定義,找不到“不可挽回”的成分。沒有附加“整個系統可能癱瘓或大量信息可能被刪除”的條件,這是1的要素之壹。定義2的要件之壹是“具有竊取信息或者破壞系統的功能”,沒有附加“不可挽回”的條件。
將姜敏公司設置行為的技術效果與上述兩種邏輯炸彈的定義進行對比,可以得出該行為確實是設置邏輯炸彈的結論。——這應該是學術結論。
由於“邏輯鎖”壹詞在計算機詞典中沒有定義,姜敏公司在媒體報道中也沒有提供“邏輯鎖”的定義和來源,我們只能認為這個術語是姜敏公司的比喻,而不是科學術語。這種行為是否設置了“邏輯鎖”就不需要討論了。我們只要知道這種行為的效果符合“邏輯炸彈”的定義就夠了。
就執法部門而言,無論這種行為在學術上被稱為“設置邏輯炸彈”還是“設置主動邏輯鎖”,只要行為本身違法,就應該依法處理。就像我們不必花時間去爭論魯迅小說裏孔乙己的行為是“偷”還是“偷”壹樣。公安機關在處理此案時,並沒有在術語上花費過多筆墨,而是從法律角度明確定義為“破壞計算機功能的子程序”和“有害數據”。
6公共秩序或著作權人利益——法律糾紛。
國內對姜敏公司邏輯炸彈案的理解存在爭議和分歧的另壹個原因是,如何理解社會公共秩序與著作權人利益的沖突,以及兩者發生沖突時如何處理。
我們通常說,著作權法的基本功能是在作者和其他著作權人的權利與普通公眾的利益,特別是教育、研究和獲取信息的利益之間保持平衡。註意這裏說的“公共利益”。
壹個社會應該維持正常的公共秩序,這是公共利益的重要內容,是國家健康發展、人民安居樂業的起碼條件。社會公共秩序是“公共利益”,後者是相對於壹個人或壹個單位的版權權益而言的“私人利益”。問題不是要不要維護“私人利益”,而是要維護“私人利益”;問題是維護“私人利益”的結果不應該也不應該損害“公共利益”。
為了認識姜敏公司邏輯炸彈行為的社會危害性,理解公安機關制止和處罰姜敏公司行為的必要性和正確性,我們只需要做壹個假設。
假設所有的軟件著作權人都學習姜敏公司的做法,在自己的軟件中設置邏輯炸彈,以維護自己的版權,那麽我們的計算機信息系統的最低安全是什麽?我們社會正常的公共秩序是怎樣的?我國正常的社會管理秩序是怎樣的?如果姜敏的做法可以推廣,所有的軟件著作權人都照著做,全球的軟件盜版現象不是壹夜之間就可以消除了嗎?
我國新刑法將“破壞計算機信息系統罪”歸入“擾亂公共秩序罪”範疇的原因;這就是擾亂公共秩序罪被列入擾亂社會管理秩序罪的原因。
知道了這壹點,就可以明白,計算機信息系統安全是關系到國家、集體和個人利益的重要問題,是公安部有關負責人在9月1,6997日強調的。今後再發生類似事件,公安機關將依據《刑法》及相關規定嚴厲查處。
我們還應該註意到,姜敏公司的邏輯炸彈具有意想不到的社會危害。由於kv 300 l++版軟件及其盜版產品在社會上大量存在,必然會被別有用心的人用作破壞單位或他人電腦的工具。這樣,邏輯炸彈就成了計算機信息系統安全的隱患。只要它在社會上繼續存在,這種危險就壹天不能排除。
7 .確定技術保護措施是否是合法的界限
本案發生時,有報紙宣傳姜敏公司在本案中的做法。這種輿論在公安機關處罰姜敏公司後消失了壹段時間。後來又興起,以學術討論的形式出現。相關文章討論了在軟件著作權保護中實施“正當防衛”的可行性。
1996年2月通過的《世界知識產權組織版權條約》(以下簡稱《版權條約》)第11條規定:“各締約方應提供適當的法律保護和有效的法律救濟,以防止作者規避本條約或《伯爾尼公約》規定的權利。
在版權條約第11條要求各國立法保護作者的加密措施和停止解密的情況下,特別有必要澄清這個問題。否則,壹旦著作權條約本身在我國生效,或者2001 10年10月27日修訂的著作權法已經明確規定了以下情形:“未經著作權人或者與著作權有關的權利人許可,故意避開或者破壞權利人對其作品、音像制品等采取的保護著作權或者與著作權有關的權利的技術措施,、法律、行政法規另有規定的除外”——在侵權的情況下,軟件開發者可能認為可以采取壹切技術手段(包括本案中姜敏公司采用的技術手段)保護自己的商業利益。
這裏有兩個判斷技術保護措施是否合法的標準。
筆者認為,判斷技術保護措施是否合法的邊界,已經由著作權條約(在我國生效時)和我國現行法律法規給出。
(1)根據《版權條約》第11條,它要求受各國立法保護的作者的“有效技術措施”在目的上應“用於行使本條約或《伯爾尼公約》規定的權利”,在範圍上應“限於有關作者或法律不許可的行為”。
就本案而言,姜敏公司在采取技術保護措施時,至少存在壹個不足之處,即只考慮“抑制”了“未經相關作者許可”的行為,而沒有考慮“法律允許的行為”(如合理使用等。)無法“克制”。
(2)從我國現行法律法規來看,《安全條例》第二十三條規定“故意輸入計算機病毒和其他有害數據,危害計算機信息系統安全的”,應當給予行政處罰;根據刑法規定,“故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,造成嚴重後果的”,應當追究刑事責任。
因此,技術措施不能具有“危害計算機信息系統安全”或者“影響計算機系統正常運行”的效果。否則可能會受到行政處罰或追究刑事責任。
8立法建議
根據現行刑法、新著作權法、我國其他法律法規和著作權條約的精神,為解決著作權人可能濫用技術保護措施保護其著作權的問題,在修改《安全條例》和《計算機軟件保護條例》時,應專門規定技術保護措施合法性的標準,以與現行刑法和新著作權法的相關規定相匹配。
該標準應反映以下要素:
(1)措施目的——用於行使著作權法規定的權利;
(2)措施範圍——未經作者許可或法律允許,限制其作品的行為;
(3)措施後果——不得“危及計算機信息系統安全”或“影響計算機系統正常運行”。