【学科分类】 行政法
【作者简介】中国社科院法学研究所研究员、宪法行政法研究室主任;联系方式:北京市东城区沙滩北街15号(100720);电子信箱:zhouhh@cass.org.cn。
【收稿日期】2010年11月11日
【版权声明】作者授权本网首发,转载请注明"中国法学网首发"
【责任编辑】刘小妹
2010年9月27日,360宣布腾讯QQ侵犯用户隐私,在用户不知情的情况下扫描用户电脑,并推出能够监测QQ扫描行为的"隐私保护器"。对于360的指控,腾讯全面予以否认,公开声明QQ安全模块绝没有进行任何用户隐私数据的扫描、监控,更绝对没有上传用户数据,并于10月14日正式起诉360不正当竞争。10月27日,百度、腾讯、金山、傲游、可牛等共同发表一份《反对360不正当竞争及加强行业自律的联合声明》,在倡导同行公平竞争、呼呼主管机构介入调查的同时,也承诺并呼吁同行企业"不与360发生任何形式的合作"。
10月29日,360推出一款名为"扣扣保镖"的安全工具,称该工具全面保护QQ用户的安全,包括阻止QQ查看用户隐私文件、防止木马盗取QQ帐号以及给QQ加速等功能。同日,腾讯发表声明,指该软件通过外挂手段对腾讯QQ的多项功能进行破坏,严重影响QQ软件的安全和完整服务,是一种明目张胆的违法行为。11月3日,腾讯决定将在装有360软件的电脑上停止运行QQ软件,并将QQ安全模块代码交由第三方机构检测。11月4日,360决定召回360扣扣保镖。整个事件大致告一段落。
短短的一个多月时间里,究竟谁是谁非,众说纷纭,莫衷一是。尤其是在激烈的争执过程之中,难得有理性的讨论空间和冷静的思考时间。整场事件下来,阵线虽然似乎分明,但并没有明显的赢家,当事双方、关联企业、用户、监管机构,大家都很受伤!
对于这次注定会载入我国互联网发展史册的标志性事件,确实有必要在事态基本平静下来之后的今天,严肃认真地从不同方面进行理性探讨,以避免类似悲剧再次发生,为中国互联网的公平竞争秩序奠定制度与规范基础,保护用户的合法权益。其中,从法律角度分析当事双方的是非曲直,当然是不可或缺的一个重要方面。
鉴于整个事件肇始于用户隐私问题,我们将首先分析QQ的扫描行为是否属于窥探用户隐私;然后分析双方争执最大的扣扣保镖软件的法律属性问题,试图明确外挂的含义、种类与范围。需要说明的是,由于本次争议技术与法律问题交织,我们只能对相关法律问题进行分析,技术问题需要由权威技术部门作出结论。
要回答QQ的扫描行为是否窥视了用户的隐私,必须首先明确什么是隐私?
对于什么是隐私,不同的人肯定有不同的看法,不同的法律文化之下,隐私概念的含义也大相径庭。1国际学术界普遍认为,东亚国家(中、日、韩)普遍缺乏英美法系国家那样的隐私观念,2不论是汉语还是日语,隐私概念都是后来引入的外来概念。因此,讨论隐私的含义,只能从法律规定入手,根据成文法来找对话的共同基础。
然而,在我国,由于隐私保护长期未得到足够的重视,在这个问题上,法律规定比较模糊,容易导致自说自话,莫衷一是,普通用户更难以辨明其中是非。这应该是这次争议发生的一个重要的原因,其实也是判断整个争议是非曲直的基础。因此,必须对我国法律上的隐私含义进行系统梳理,奠定对话和讨论的基础,否则,这场争论毫无意义,不可能有结果,也无法为未来处理类似争议提供有益的借鉴。
对于隐私,新中国立法中最早出现的概念是民间与历史传统中使用得更多的"阴私"概念。第一个法律规定是1956年全国人民代表大会常务委员会就最高人民法院提出的什么案件可以不公开进行审理的问题所作出的《全国人大常委会关于不公开进行审理的案件的决定》。该决定规定:"人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满十八周岁少年人犯罪的案件,可以不公开进行"。这一规定确立了不公开审理的基本划分原则,其内容与规定方式基本为后来的诉讼法继续沿用。到七十年代末,1979年制定的刑事诉讼法第111条和人民法院组织法第7条都继续沿用了"阴私"的提法。最高人民法院曾经明确界定过阴私案件的范围,由此也就间接界定了阴私的含义。根据《最高人民法院关于依法公开审判的初步意见》(1981)的规定,"有关个人阴私的案件。一般是指涉及性行为和有关侮辱妇女的犯罪案件"。可以看出,阴私概念的普遍使用体现了传统文化的强大影响,并且,当时隐私(如果我们认为当时存在这种观念的话)的范围是非常窄的,属于所谓的高度敏感信息,法律所保护的主要是当事人诉讼程序上不公开审理的权利。
由于改革开放所带来的观念上的冲击与进步,可以看到,从上个世纪80年代、尤其是90年代初以后,不论是政府文件、立法还是民间,普遍以"隐私"概念代替了习惯的"阴私"概念(包括1996年的刑事诉讼法修改明确将阴私改为隐私)。其中,1982年的民事诉讼法(试行)是第一个使用"隐私"概念的法律,1989年的人民调解委员会组织条例是第一个使用"隐私"概念的行政法规。截至2010年10月底,共有22部法律使用该概念,尤其是侵权责任法,明确将隐私权作为一项独立的民事权益加以规定。
随着法律概念的变化,这一时期的特点表现在:(1)法律保护的权利种类已经从过去的诉讼程序权利进入到了主要是民事实体权利的领域,诸如未成年人保护法、妇女权益保障法等法律都明确将隐私权明确作为一项实体权利加以规定,最高人民法院的司法解释也确认了隐私权的民事权利地位;3(2)权利保护的方法已经从单一的不公开审理诉讼程序保护发展到诉讼程序保护与民事侵权救济程序保护并重的二元保护体制。(3)就诉讼程序权利而言,由于原来的司法解释仍然有效,最高人民法院并未就"隐私案件"的范围制定新的司法解释,因此,变化的只是概念,其范围应该说与传统的"阴私"概念仍然有延续性。4相反,就实体权利而言,由于所有使用了隐私概念的法律或司法解释都没有给该概念下一个定义,也没有界定或者描述这种权利的范围,5因此,这么多年来,实体权利的边界不论在立法还是实践中实际上一直处于相对模糊状态,既包括典型意义上的民事权利,其所指对象相对比较特定,通常是传统意义上不愿意让人知道的比较私密的信息,总是会与名誉相关;当然,在有些法律规定中,隐私概念有时候也指向客观事实或者公法上的权利,如一般意义上的个人信息,与名誉无关,这里的隐私其实也就与后面所指的个人信息概念重合了,我国有些民法学者已经开始采用这种方式解释传统的隐私概念。隐私概念这种程序意义上的明晰化与实体意义上的模糊化,以及公私法关系的交织,造成该概念逻辑体系的不清晰,甚至许多立法机关也无法准确辨析并正确使用,6也导致实践中无法有效地保护隐私权。
自上个世纪九十年代末开始,尤其是进入新世纪以来,由于信息化的迅猛发展与权利观念的进一步提升,首先从信息化7和消费者权利保护8这两个领域的地方立法开始,逐步出现了个人信息概念,并于本世纪后开始在法律和行政法规中逐步得以采用,其中最为重要的是刑法修正案七,明确规定了非法获取个人信息罪与非法提供个人信息罪。9这一时期,不但出现了新的概念,更重要的变化在于:(1)相比于边界模糊、主要依靠传统民事侵权法予以保护的隐私权,个人信息概念更为中性,其覆盖范围远远超出传统的民事侵权法所能覆盖的范围。比如,对于不当采集、使用、披露、交换或者传播个人姓名、住址、电话、职业、学历等客观个人信息的行为,很难用传统的侵权法认定为是侵权行为并加以追究,而采用个人信息保护法则容易得多。这样,采用个人信息概念,其保护的范围就比隐私权的范围要大,边界相对也更为明确,10由此实现了权利边界的扩张。(2)由于个人信息保护超出了传统的隐私权侵权民法保护的范畴,因此,对个人信息的保护手段除了传统的两种方式以外,又增加了刑事制裁、政府的监管责任和行政法保护方式,这样,就从传统的事后保护向事前、事中、事后并重的多阶段、全过程保护迈出了一大步。其实,在国际上,谈个人信息保护,普遍都是一个公法与政府监管问题,不是普通的民事侵权问题。
通过梳理中国立法的历史进程,可以非常清晰地看到,随着社会的发展,不但概念体系在发生变化,而且,概念所蕴含的观念与制度也在发生着潜移默化的巨大变化。当然,另一方面,由于现行法律对于隐私、个人信息保护的规定大多数情况下都非常原则、简单,就使得这两个概念不但在立法中交织不清,也很难准确界定各自的范围。但是,如果我们抛开细枝末节,可以看到伴随概念从阴私到隐私再到个人信息的渐次演变,其范围明显是逐步扩大的;阴私的范围最窄,属于所谓的高度敏感个人信息;隐私主要是一个民事法律概念,更多情况下是与名誉等民事权利交织的私密信息;个人信息则是一个比较中性的公法概念,覆盖范围最广,包括各类不同性质的个人信息。
根据腾讯公司的公开声明,其所扫描的是用户电脑中的可执行文件,不涉及用户文档或者聊天记录等信息,并且绝不上传用户数据。如果事实如此,则其扫描的显然不可能是民事权益意义上的阴私、隐私或者名誉相关信息,所谓的窥探隐私之说自然无法成立。惟一只有一种可能,那就是其扫描的数据是否属于中性的个人信息(数据)?其行为是否属于对个人信息的侵犯?
由于我国缺少一部统一的《个人信息保护法》,对于如何保护个人信息并没有一套现成的规定,加之现行法律对于个人信息的界定同隐私概念一样非常抽象、模糊,因此,QQ的扫描行为是否构成对个人信息的侵犯,其实无法简单地进行法律上的判断。如果一定要回答这个问题,必须也只能采用类比的方法,借鉴国际上其他国家的通行做法或者评价标准。这就意味着,下面的分析采用的是比国内法律更高、更为严格的标准。
在个人信息保护制度比较健全的国家,除其他条件以外,判断是否对个人信息构成侵害有两个最为重要的前提:(1)所涉及的个人信息必须是"可识别特定个人"的信息;(2)必须有个人信息"处理"的行为。这两个条件均属于必要条件,只有分别满足这两个要求,才有可能判断行为违法。
各国法律对于何谓个人信息,表述不太一样。比如,《欧盟1995年指令》第2条规定,"个人数据是指任何与已经确认的或可以确认的自然人(数据主体)有关的信息;可以确认的自然人是指直接或间接的参考他的识别号码或他所特有的身体、生理、精神、经济、文化和社会识别等众多因素中的一个或几个可以对其进行确认的人"。《日本个人信息保护法》第2条规定,"本法所称的个人信息系指,与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分(包含可以较容易地与其他信息向比照并可以借此识别出特定个人的信息)"。《韩国公共机关个人信息保护法》第2条规定,"个人信息系指与生存着的个人有关的信息中,可以利用该信息中所包含的姓名、居民登记号码等事项识别该个人的信息(包含虽然仅仅利用该信息并不能够识别出特定个人,但可以较为容易地将其同其他信息相结合并识别出特定个人的信息)"。各国法律表述虽然差别很大,但是,可以看到,在各国的法律规定以及法律实践中,"可识别特定个人"是对个人信息的核心要求。个人信息必须可以与特定的个人挂钩,能够根据该信息识别特定的个人,如果具体信息不能识别特定的个人,属于一般的商业信息或者综合信息等,则不属于个人信息。
"处理"是一个专门的法律概念,在各国个人信息保护中至关重要。其实,个人信息保护法规范的并不是静态的个人信息,而是动态的个人信息处理活动。也就是说,个人信息并不是法律规范的对象,必须有"处理"个人信息的行为,才能启动个人信息保护法。对于何谓处理,各国法律大同小异。简而言之,处理是指以手动或者自动的方式,对个人信息的特定操作,如采集、分类、保存、利用、转移、提供、销毁等,贯穿个人信息操作的全流程,其基础当然是个人信息的采集行为。如果仅仅只是私下口头宣扬、传播他人的不良信息或者一般信息,可能会满足民事上隐私权侵权的要求,但是,这种口头传播行为绝对不属于"处理"活动,不违反个人信息保护法,不会引发个人信息保护法的适用。例如,《欧盟1995年指令》第2条规定,"处理是指对个人数据所作的任何操作或-组操作,操作可以通过自动或非自动的方式进行,如采集、记录、组织、存储、改变或更改、检索、咨询、使用或通过传输进行公开,以及传播或使其能够被使用、排列或组合、组块、删除或破坏"。《韩国公共机关个人信息保护法》第2条规定,"处理系指利用计算机所从事的对信息的输入、保存、编集、检索、删除以及输出及其他与之相似的行为"。
可见,要构成对个人信息的侵犯,首先必须存在"可识别特定个人"的信息,其次还要有个人信息的"处理"活动。用这两个标准来分析QQ扫描用户电脑的行为,根据腾讯的公开声明,其扫描只是针对用户电脑中的可执行文件或者系统配置,因此,扫描并不涉及"可识别特定个人"的信息;同时,根据腾讯的公开声明,QQ扫描绝对不上传用户的信息,只在扫描发现病毒后予以清除,这样,没有上传信息就不可能有个人信息保护法律意义上的信息采集活动,因此,QQ扫描用户电脑并不涉及信息"处理"活动。在既没有个人信息,又没有处理活动的情况下,当然不能说QQ扫描侵犯了用户的个人信息。其实,类似的扫描广泛存在于各种安全软件、程序之中,是一种普遍的现象。从更广泛意义上讲,信息的自由流动与共享,是信息社会飞速发展的一个重要条件,我们每个人都在享受信息化带来的这种好处,个人信息保护与信息的自由流动从来都不存在根本的冲突。如果QQ能够从一开始就告知用户这种扫描的事实并赋予用户选择权(事件发生后作了改进和反思),也许可以从源头上避免这场事件的发生,不给竞争对手可乘之机。当然,从法律上澄清了是否存在窥探隐私问题,对于判断整个事件的是非和定性其他相关问题具有决定性的意义。
本次事件最终激化,关键在于360推出的扣扣保镖使争议从动口阶段演变到了实际动手阶段,并造成了连锁反应和双方的最终摊牌。腾讯方面认为,该款软件属于外挂手段,对QQ的多项功能进行了破坏,并因此决定在装有360软件的电脑上停止运行QQ软件;360方面认为,扣扣保镖是一款合法软件,并且,根据我国现行法律的规定,外挂仅只存在于网游领域,其他领域不存在外挂问题;一些专家和相关领域人士认为,腾讯方面让用户二选一的做法,属于滥用市场支配地位的垄断行为,侵犯了用户的权利。因此,要辨明整个事件的是非,无法绕开扣扣保镖的定性。如果扣扣保镖属于外挂,腾讯方面的最终处理方式当然是一种市场主体维护自身权利的合法自救方法,不涉及滥用市场支配地位(无论其规模有多大);如果扣扣保镖不属于外挂,腾讯方面的处理方式确实值得商榷,不但有滥用市场支配地位的违法嫌疑,也侵犯了用户的合法选择权。
要回答上述问题,首先需要权威机构对扣扣保镖与QQ分别进行技术检测、对比,从技术上予以科学定性。11由于两家厂商均已经将相关软件提交第三方机构,这项工作可望迅速展开。但是,由于扣扣保镖是正规安全厂商开发的一款软件,不同于一般的病毒或者木马程序,仅仅依靠技术检测可能难以确定该软件的性质。因此,需要在技术分析的基础之上,再从法律角度进行合法性分析。只有经过这样的两个环节,才能准确地为扣扣保镖定性,并进而判定整个事件的是非曲直。
就法律角度而言,需要明确的问题包括但不限于以下几个方面:(1)如何认识外挂的基本属性?外挂是否只存在于网游领域?是否所有的外挂都违法?(2)外挂违法的性质如何认定?(3)如何判断扣扣保镖的合法性?
(1)外挂的基本属性
外挂的英文名称为Plug-in,属于一种辅助性软件。维基百科对外挂的界定为:"外挂是指在计算机中,一系列为一个更大的应用软件程序添加特定的功能集的软件组件"。12由于外挂软件具有让第三方开发人员能够创建软件扩展应用功能,减少应用程序的大小,提高应用程序的性能,因此外挂软件在计算机领域大量存在。
在我国,外挂是网络产业尤其是游戏玩家的专门术语,通常与作弊相连,在执法与司法活动中也有使用。但是,究竟什么是外挂,其范围有多广,我国法律的规定一直非常模糊。迄今为止,专门明确提到并定义外挂概念的规范性文件只有一部,即2003年12月18日新闻出版总署、信息产业部、国家工商行政管理总局、国家版权局、全国扫黄打非小组办公室发布的《关于开展对"私服"、"外挂"专项治理的通知》(新出联[2003]19号,以下简称为"五部委文件")。在五部委文件中,"私服"、"外挂"违法行为是指未经许可或授权,破坏合法出版、他人享有著作权的互联网游戏作品的技术保护措施、修改作品数据、私自架设服务器、制作游戏充值卡,运营或挂接运营合法出版、他人享有著作权的互联网游戏作品,从而谋取利益、侵害他人利益。
根据五部委文件,明令禁止未经著作权人许可,开发和传播其网络游戏的"外挂"程序的行为。由于五部委文件只涉及网游领域,而QQ属于即时通讯软件,不属于网游软件,360因此认为不能适用五部委文件将扣扣保镖认定为外挂软件。
尽管五部委文件非常重要,在网游领域治理中已经并将继续发挥作用,但是,我们认为,五部委文件只是规章以下的规范性文件(甚至只是一份通知),其效力层级有限,只能实施上位法,并不能实质性改变权利义务关系或者设定新的法律规则。因此,要认识外挂的基本属性及其范围,必须在上位法中找依据,不能根据五部委文件否定上位法的规定。其实,如果仔细分析五部委文件可以看到,其认定网游外挂的两个核心构成要件分别在于未经许可,破坏他人对网络游戏产品的技术保护措施、修改作品数据,而这两个要件恰恰是《著作权法》第四十七条、《计算机软件保护条例》第二十四条两部上位法规定的要件,因此,五部委文件本身是与上位法完全一致的,是在网游领域具体实施上位法的规定。由于《著作权法》、《软件管理条例》均未将其适用范围限制在网游领域,根据五部委文件反推上位法的效力范围,将外挂限定在网游领域当然是经不起推敲的错误观点。
在《国家版权局关于网吧下载提供"外挂"是否承担法律责任的意见》(国权办[2004]19号)中,进一步明确地指出了外挂的上位法依据。根据该意见,网吧下载、提供"外挂"的行为,或者明知下载"外挂"程序系顾客利用网吧服务器分配的空间所为,却不制止并继续向他人提供的,属于《著作权法》第四十七条(六)、(七)禁止的未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施,未经著作权人或者与著作权有关的权利人许可,故意删除或者改变作品录音录像制品等的权利管理电子信息的侵权行为。另外,根据《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》(2006修正)第六条的规定,人民法院审理外挂相关案件,也应该适用《著作权法》第四十七条第(六)项的规定。我们欣慰地看到,在相关的司法审判中,人民法院已经明确将外挂行为作为著作权侵权行为处理。例如,在上海暴雨信息科技有限公司诉浙江淘宝网络有限公司著作权侵权纠纷案中,浙江省杭州市西湖区人民法院在判决书中明确提出应该依据《著作权法》第四十七条第(六)项认定外挂行为。13
由此可见,结合技术特征分析,在我国成文法中,所谓外挂,应是指那些通过在权利人软件中嵌入新软件或程序的手段,违反《著作权法》第四十七条第(六)、(七)项、《计算机软件保护条例》第二十四条第(三)、(四)项的行为。从现行法律规定来看,所有未经权利人许可,破坏权利人对网络游戏产品的技术保护措施或者改变权利管理电子信息的行为(即所有的外挂),均属违法行为。当然,由于网络环境的特殊性,现实中确实存在许多软件保护法律明确授权范围之外的所谓良性外挂程序。这些外挂程序既方便了广大的网络使用者,也无害于软件权利人,并且还促进了技术的不断进步。对于这些可以称之为"合理不合法"的现象,是国家未来制定、修改网络相关法律时需要重点关注的领域,需要在法律中增设良性外挂与恶性外挂的区分标准。这些当然不在本报告的讨论范围之内,扣扣保镖由于侵犯了权利人的合法权利,也不可能归入良性外挂的范畴。
(2)外挂违法的性质
根据《著作权法》第四十七条、《计算机软件保护条例》第二十四条以及《著作权行政处罚实施办法》第二条的规定,软件违法行为可能引发三种结果,分别是民事侵权(违法),行政违法与刑事犯罪。可见,判断外挂的违法性,存在民事、行政与刑事三个标准,有三种可能的救济途径。
判断外挂的民事违法性标准非常明确,只要符合《著作权法》第四十七条第(六)、(七)项,《计算机软件保护条例》第二十四条(三)、(四)项规定的条件,即构成民事侵权行为,应承担相应的民事法律责任。当然,如何判断是否故意避开或者破坏技术措施,或者是否故意删除或者改变权利管理电子信息,需要借助一定的技术手段进行证明,不是单纯的法律问题。
如果软件民事侵权行为成立,同时又损害公共利益的,根据《著作权法》第四十七条、《计算机软件保护条例》第二十四条以及《著作权行政处罚实施办法》第二条的规定,则构成行政违法,著作权行政管理部门应予以行政制裁并采取法律规定的相应措施。由于公共利益是一个弹性很大的概念,在某些案件中,判断是否存在公共利益,可能会是一个很困难的过程。但是,在本次争议中,由于争议双方都拥有数量庞大的用户,争议的社会影响广泛,存在公共利益应是一个不争的事实。一旦判断民事侵权可以成立,政府管理机关其实应更迅速介入,积极发挥政府监管作用,有效保护消费者与社会利益,维护市场正常竞争秩序。
(3)扣扣保镖的违法性分析
由于扣扣保镖特别针对QQ开发,只对QQ发生作用,并通过将自己的主要功能模块加载到QQ运行进程,拦截QQ进程的系统,修改QQ软件客户端,改变QQ软件部分功能,因此,可以说扣扣保镖完全符合国际上对于外挂程序嵌入特征的一般界定。根据上述对我国法律规定的分析,只要有坚实的技术分析为基础,能够证明其故意避开或者破坏QQ软件的技术措施,或者故意删除或者改变QQ软件的权利管理电子信息,从法律上论证扣扣保镖构成民事侵权或者行政违法都并不太难。
随着互联网的高速发展与迅速普及,网络上侵犯软件著作权的现象愈演愈烈。许多著作权人更倾向在数字化作品中和网络上使用各种技术手段保护自己的权利。如计算机软件中加入特殊指令,使得一般用户难以用通常方法对软件进行复制;或设置密码,只有正版用户输入著作权人提供的密码后才能运行软件。再如提供数字化作品的网站可在服务器上设置登录口令,使未缴纳著作权使用费,从而没有获得登录密码的人无法阅读或下载该网站中的作品。这被称为"技术措施"(technological measure)或"著作权保护系统"(copyright protection system)。14为了使这些技术措施真正实现对著作权人权利的保护,各国立法和国际公约都规定了对规避和破坏保护著作权的技术措施行为的惩罚措施。《版权公约》第十一条关于技术措施的义务条款规定:"缔约各方应规定适当的法律保护和有效的法律补救办法,制止规避由作者为行使本条约或《伯尔尼公约》所规定的权利而使用的、对就其作品进行未经该有关作者许可或未由法律准许的行为加以约束的有效技术措施。"各缔约国立法也相应规定了对规避和破坏保护著作权的技术措施行为的惩罚措施。
美国国会于1998年10月通过了《千禧年数字版权法》。该法第1201条区分了两种类型的技术措施:一种是"访问控制措施",即通过设置口令等手段限制他人阅读、欣赏文学艺术作品或运行计算机软件;另一种是"保护著作权人权利措施",即防止对作品进行非法复制、发行等的技术措施。15该法规定任何人不得制造进口、向公众提供、或非法买卖任何可构成下列三种情形之一的技术、产品、服务、设施、部件或零件:(1)主要的设计或制造目的是为了规避"访问控制措施"或"著作权保护措施";(2)除了以上目的之外,仅具有有限的商业用途;(3)由明知其将被用于规避技术措施的人销售。典型的案例有美国法院判决的Website 2600网站侵权案。美国纽约第二上诉法院核准了地区法院对网站Website 2600的侵权判决,该网站提供破解DVD密码的软件DeCSS,供破解DVD电影密码,使用户能在个人计算机上演示,侵犯了权利人利用技术措施保护其作品的权利。16而扣扣保镖与上述软件类似,其提供令无需付费的普通用户获得付费QQ会员专属的去广告功能,实质属于对QQ客户端会员特权服务功能的破解,明显属于第一种的"访问控制措施",应予以禁止。
欧盟对于技术措施的保护则更加严格。2001年5月,欧盟通过了《版权和相关权指令》。该指令和美国《千禧年数字版权法》一样,禁止制造、进口、发行、出售、出租、以商业目的持有可以规避技术措施的设施和产品。但《版权和相关权指令》和美国立法的重大区别在于它没有将"技术措施"区分为"访问控制措施"和"著作权保护措施",而是一般性地将"技术措施"定义为:用于阻止或限制未经著作权人或法律规定的相关权利人(包括《欧洲数据库指令》规定的"特别权利"的权利人)准许的行为的措施。这实际上泛指著作权人在数字化作品和网络作品中设置的各种类型的技术措施。若是依照欧盟法律,则对360公司推出扣扣保镖,作为破解QQ客户端广告工具的行为,可直接认定为制造、发行可规避软件保护技术的,侵犯腾讯公司软件著作权的行为。
腾讯公司推出的QQ会员服务,只有付费购买了会员服务才能享有系列软件的拓展功能,如QQ会员用户登录时,QQ客户端将能屏蔽flash广告、上线广告等内容,而普通免费使用的用户的客户端则不具有这一功能。眼下扣扣保镖即可用于破解QQ客户端会员身份的限制,间接为非会员用户提供了去广告版的QQ客户端。虽然,最终的去广告行为是由用户触发,但扣扣保镖实际上是扮演了破解工具的角色,侵犯了QQ客户端所有人的著作权。
《计算机软件保护条例》第二十四条同时也规定了故意删除或者改变软件权利管理电子信息的行为也是侵犯著作权的行为。
权利管理信息保护是现代版权制度中的一个重要内容。权利管理信息的主要作用在于标明权利人、声明权利以及公示作品的使用条件。在传媒技术发展日新月异的当代社会,权利管理信息在保护版权人利益方面日益彰显出其重要性。在数字化时代,著作权人的权利管理信息更加容易被更改或删除,不仅用户易失去了应有的知情权,著作权人也易失去对作品的管理权。
我国于2007年正式加入《世界知识产权组织版权条约》(World Intellectual Property Organization Copyright Treaty,WCT)(简称《版权公约》)。《版权公约》将权利管理信息定义为:"识别作品、作品的作者、对作品拥有任何权利的所有人的信息,或有关作品使用的条款和条件的信息,和代表此种信息的任何数字或代码,各该项信息均附于作品的每件复制品上或在作品向公众进行传播时出现。"公约明确规定,"缔约各方应规定适当和有效的法律补救办法,制止任何人明知、或就民事补救而言有合理根据知道其行为会诱使、促成、便利或包庇对本条约或《伯尔尼公约》所涵盖的任何权利的侵犯而故意从事以下行为:(Ⅰ)未经许可去除或改变任何权利管理的电子信息;(Ⅱ)未经许可发行、为发行目的进口、广播、或向公众传播明知已被未经许可去除或改变权利管理电子信息的作品或作品的复制品。"这一规定不仅明确禁止各软件公司直接侵犯其他软件著作权人的权利管理信息,也严禁任何公司在明知或应知情形下,诱使、促成、便利或包庇侵犯其他软件著作权人权利管理电子信息的行为。
虽然360公司推出的扣扣保镖一直声称赋予用户选择权,但其也难免去除或改变QQ客户端权利管理信息的嫌疑。最明显的表现是,扣扣保镖植入QQ客户端面板的安全键,直接去除了QQ安全模块插件著作权人的权利管理信息,改为自己的扣扣保镖。在QQ安全模块仍处于运行状态时,其著作权人不仅失去了名称标识,也失去了标示有关作品使用的条款和条件的信息的权利。360公司具体诱使、促成、便利的行为表现为,在扣扣保镖软件的首页上,其通过极低的体检评分和对QQ客户端健康问题的夸大,诱使用户选择其"一键修复"功能,通过扣扣保镖内置可植入QQ客户端的代码,直接促成去除或改变软件著作权人权利管理信息,也间接侵犯用户知情权。
360公司转嫁责任于用户的行为是与《版权公约》的精神是相背离的,有损社会公共利益。其他国家的法律一般从严规制类似行为,如欧盟《协调信息社会中版权和相关权利特定领域的指令》(简称欧盟《版权和相关权指令》)对权利管理信息的保护采用了与《版权公约》相关条款基本相同的行文,而美国的《数字千年版权法》甚至还有所突破:(1)不但禁止删除或修改他人用以表明作品、作者身份及使用条件的著作权权利管理信息,还禁止故意伪造权利管理信息的行为;(2)权利管理信息的范围广于《版权条约》。 作为公约的缔约国,我国执法部门有义务根据公约规定采取措施制止360公司相关行为。根据我国《信息网络传播权保护条例》第二十六条规定,权利管理电子信息是指说明作品及其作者、表演及其表演者、录音录像制品及其制作者的信息,作品、表演、录音录像制品权利人的信息和使用条件的信息,以及表示上述信息的数字或者代码。QQ安全模块插件属于该法所保护的范围,应根据《计算机软件保护条例》第二十四条的规定,由360公司承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任,可并处罚款。
参考文献:
* 课题组负责人为周汉华研究员,参加课题研究与写作的还有朱宝丽博士、顾伟与裴亚南。
1 各国法律采用的概念都不一样,分别有隐私、个人数据、个人信息、个人生活等。可见,周汉华著,《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第28页。
2对于(美国)宪法意义上的隐私权的简单介绍,可见如,Solomon Rosengarten, The Right to Privacy-Origin and Scope, 2 Crim. Just. Q. 54 (1974).
3 1986年制定的民法通则虽然没有规定隐私权,但是,最高人民法院通过几个司法解释,其中最重要的包括最高人民法院关于审理名誉权案件若干问题的解答(1993)、最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见(试行)(1988),实际上将隐私权作为名誉权的一种,赋予了其民事权利的法律地位,并加以保护。
4 比如,《最高人民法院关于严格执行公开审判制度的若干规定》(1999)中,明确规定,"涉及个人隐私的案件;十四岁以上不满十六岁未成年人犯罪的案件;经人民法院决定不公开审理的十六岁以上不满十八岁未成年人犯罪的案件;经当事人申请,人民法院决定不公开审理的离婚案件",不公开审理。从这种个人隐私案件与其他几种案件并列的情况可以推论,个人隐私案件的范围是比较狭窄的,甚至不包括离婚案件。
5 比如,22部使用了隐私概念的法律(包括涉外民事关系法律适用法、人民调解法、侵权责任法、农村土地承包经营纠纷调解仲裁法、劳动争议调解仲裁法、未成年人保护法、反洗钱法、银行业监督管理法、治安管理处罚法、公证法、妇女权益保障法、传染病防治法、行政许可法、保险法、律师法、复议法、执业医师法、刑事诉讼法、行政处罚法、澳门特别行政区基本法、民事诉讼法、行政诉讼法),15部行政法规(分别是保安服务管理条例、流动人口计划生育工作条例、国务院关于加强市县政府依法行政的决定、护士条例、行政机关公务员处分条例、政府信息公开条例、地方志工作条例、机动车交通事故责任强制保险条例、海关行政处罚实施条例、全面推进依法行政实施纲要、乡村医生从业管理条例、税收征收管理法实施细则、外国律师事务所驻华代表机构管理条例、企业劳动争议处理条例、人民调解委员会组织条例),数以百计的部门规章或者其他规范性文件,都只使用了概念,均缺乏定义和范围描述。
6 比如,侵权责任法第二条、妇女权益保障法第四十二条均将隐私权与名誉权并列;相反,民法通则只规定了名誉权,并没有规定隐私权,在最高人民法院的司法解释中,也一直将隐私权解释为名誉权的一种;最应该采用个人信息概念的《政府信息公开条例》最终只采用了隐私概念。
7有关IC卡管理、征信体系建设、互联网使用与管理以及政府办公自动化等方面的地方信息化立法均有个人信息保护方面的规定。
8 非常有对比意义的是,1993年制定的《消费者权益保护法》并没有规定任何个人信息保护方面的内容,但是,进入二十一世纪以后,一些地方(如上海、云南、内蒙古、辽宁、安徽、福建、湖南、贵州)制定的消费者权益保护地方性法规普遍增加了对消费者个人信息加以保护的内容。
9如居民身份证法(2003)、护照法(2006)、国家信息化发展战略(2006)、刑法修正案七(2009)、统计法(2009年修订)、彩票管理条例(2009)、社会保险法(2010)等。
10 大部分立法对于个人信息都没有进行性质界定或者范围描述,只有地方消费者权益保护规定进行了非常有意义的尝试,比较接近国外法律对于个人信息定义的"可识别性"标准。例如,《上海市消费者权益保护条例》(2002)在我国第一次对个人信息的范围进行了描述,第二十九条规定,"经营者提供商品或者服务时,不得要求消费者提供与消费无关的个人信息。除法律、法规另有规定外,经营者未经消费者本人同意,不得以任何理由将消费者的个人信息向第三人披露。前两款所称的个人信息,包括消费者的姓名、性别、职业、学历、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等与消费者个人及其家庭密切相关的信息"。
11 在上海暴雨信息科技有限公司诉浙江淘宝网络有限公司著作权侵权纠纷案中,浙江省杭州市西湖区人民法院在判决书中明确提出,"一种软件,有其内在的内容,到底是否属于破坏互联网游戏作品的技术保护措施的产品,不是凭外表可以判定;单凭个别网络用户的观点,不宜认定一种软件属破坏原告的互联网游戏作品的技术保护措施的'外挂'软件"。
12 http://en.wikipedia.org/wiki/Plug-in_(computing),最后访问日期2010-11-6。
13 在与本次争议最为近似的腾讯科技(深圳)有限公司诉陈寿福著作权侵权及不正当竞争纠纷案中,北京市海淀区人民法院认定被告陈寿福发布珊瑚虫QQ的行为违反了《著作权法》第四十七条第一项的规定,没有援引第六项的规定。
14Craig Joyce,William Party,Marshall Leaffer,Peter Jaszi: Copyright Law(the Fourth Edition),Matthew Bender,1999.
15Chapter l2 of the US Copyright Law,§1201 (a) (3) (B) and (b) (2) (B),转引自王迁:《对技术措施立法保护的比较研究》,载《知识产权》双月刊,第74期,第13卷。
16高卢麟:《互联网与知识产权》,中国互联网大会主题报告,2002年11月25日,http://b2b.toocle.com/detail--4921859.html,最后访问日期2010-11-5。