计算机软件侵权案件中“后门取证”的可行性探究
发布时间:2023-11-30
文 | 苏国宝 汇业律师事务所 合伙人
众所周知,计算机软件的侵权行为具有强隐蔽性,权利人往往难以通过常规手段获取侵权的证据,以至于陷入维权困境。而在技术上,的确存在一种手段可以相对容易地获取此类侵权的证据,也即“后门取证”。比如,通过软件对权利人发出的特定命令的反馈或者软件在运行时向权利人发出的特定信息,来证明侵权人在使用权利人的计算机软件。
但在“后门取证”便捷性的诱惑背后存在诸多问题,软件中留有后门是否合法?“后门取证”是否具有合法性?是否有措施可以降低“后门取证”的合规风险?这些问题也是计算机软件侵权案件中权利人较为关注的问题,笔者在实务中就曾多次遇到权利人就这些问题的咨询。本文将就这些问题进行初步的探讨。
一、何为“后门”
在信息安全领域,后门(backdoor)通常指代一种可以绕过正常的安全性控制而获取系统或程序的控制访问权限的机制[1]。换言之,通过后门将可以实现在未经用户知情或许可、不通过身份验证的情形下访问设备,甚至取得对程序或系统的存取权。利用者可以经由后门对系统内的信息与数据进行读取,并可能实现再次入侵、隐藏操作痕迹、避过监控系统、提供恶意代码等远程控制、修改系统的操作[2]。
因此,软件或系统中留有后门可能带来安全隐患,参考《公共互联网网络安全威胁监测与处置办法》第2条,“…网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等”,该文件也将后门归于网络安全隐患的诱因。
但与其他漏洞不同,后门通常是信息产品/服务提供商或黑客故意设置的,因为在软件开发时,设置后门可以方便修改和测试程式中的缺陷。但如果后门被其他人知道(泄密或者被探测),或是软件发布前没有去除后门,那么后门将在客观上成为计算机系统安全方面的缺陷[3]。
二、“设置后门”的合法性问题
在探讨“后门取证”的合法性之前,首先应该明确“设置后门”是否合法。当前并无明确的法律规定绝对限制后门的存在,但这并不意味着在信息产品/服务中留有后门就一定是合法的。
1、法律规定态度不明确
《中华人民共和国网络安全法》第22条规定:“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
可见,法律明确禁止的是设置恶意程序。联合后文的“安全缺陷、漏洞”,不难解释出后门程序也具有归属恶意程序的可能,有时,后门程序就是一种恶意程序。
但如何判断恶意?法律的界定仍较为模糊,此种模糊也引发了相关人员的积极讨论——热补丁机制、自动更新机制、远程维护机制是否为恶意程序?例如,常见的情景为宽带出现问题,运营商客服在收到反馈后就能远程调整家里的光猫——这是否为一种恶意程序?[4]
2、事前的告知和授权可在一定程序上赋予后门合法性
尽管何为恶意程序还有待相关法律规定进行完善,但从司法实践来看,根据最高人民法院(2020)最高法知民终221号判决书,笔者判断事前告知/获得授权能够在一定程度上消除“恶意”。
根据案情,诗诺公司以推广、销售剑维公司的产品及售后服务为主要业务,在双方合作关系解除前后,诗诺公司以发现剑维公司在向诗诺公司销售的涉案软件中留有后门,剑维公司可通过其终端远程监测并知晓客户软件的具体使用情况和客户电脑中的内容为由,认为剑维公司的行为违法违约,向剑维公司主张六年的毛利损失共计48603225元。
上海知识产权法院(原审法院)认为:剑维公司在本案中的证据已经可以证明,剑维公司可通过软件使用人许可的“安全机制”,识别、侦测、收集盗版软件,并进行盗版软件数据的传输和使用。而诗诺公司证据中的0405邮件和李周通话录音,反映的是剑维公司监测获知的客户在电脑上使用盗版软件的情况,既没有证据表明上述0405邮件和李周通话录音所涉及的信息内容超出了上述“安全机制”所识别、侦测、收集、传输、使用的盗版软件数据的范围,更没有证据表明上述0405邮件和李周通话录音所涉及的信息内容并非来自于上述“安全机制”,而是诗诺公司所主张的系通过涉案软件中留有的后门,窃取了客户电脑中的内容而获知的。没有证据表明,上述剑维公司在其软件中设置“安全机制”识别、侦测、收集、传输、使用的盗版软件的数据行为,属于违反《计算机信息系统安全保护条例》第七条、《中华人民共和国侵权责任法》第二条或其他法律规定的违法行为。
最高人民法院与原审法院持同样观点,对预留的安全机制的合法性予以认可:“…该证据仅仅证明,剑维公司为维护正版,采取了特定安全措施,并通过与最终用户的技术协议和软件安装时提示的最终用户许可协议对最终用户进行了告知。综上,诗诺公司提交的证据尚不足以证明剑维公司违反了网络安全法的相关规定。”
客观来看,剑维公司预留的“安全机制”可对正版和盗版软件进行同样的检测并通过比较来确定目标软件是否为盗版,从后门的定义出发,此种预留的安全机制显然为一种可以绕过前门系统对软件进行检测的程序,但因事先的告知和授权的签订,案涉程序的合法性被认可。
笔者判断,法律禁止的是设置未经披露的恶意程序,如果具有正当理由,信息产品/服务提供商则可以在信息产品/服务中预留合法的“安全机制”,此种技术干预措施因事前的披露而剥离于恶意程序之外。
三、“后门取证”的合法性问题
除了设置后门需要注意合法性外,利用后门同样需要注意合法性风险。实践中,后门利用常面临着“非法入侵”、“数据盗取”、“远程控制”等指控,一不小心就可能违法违规,相关部门也在着手完善对利用后门等行为的规制。
参考全国信息安全标准化技术委员会于2023年8月25日发布的《关于国家标准<信息安全技术网络攻击和网络攻击事件判定准则>征求意见稿征求意见的通知》,里面提到,“网络攻击(network attack)指通过计算机、路由器等计算资源和网络资源,利用网络中存在的漏洞和安全缺陷实施的一种行为,其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息;或延缓、中断网络和数据服务;或破坏、摧毁、控制网络和数据基础设施。…5.1攻击技术手段包括漏洞利用、后门利用、后门植入…”
可见,利用后门窃取网络和数据设施中传输和存储的信息很可能属于一种网络攻击,是一种非法行为。
“后门取证”作为一种典型的利用后门的行为,本质上同属于利用后门以获取网络/数据基础设施中传输和储存信息,本文需要讨论的是,通过合法的后门进行取证是否具有当然的合法性?通过未经披露设置的后门进行取证所获得的证据是否具有当然的非法性?
1、司法实践缺失,没有充足的案例支撑结论性意见
当前,涉及讨论“后门取证”合法性的案例缺失,尚未检索到法院将权利人通过后门搜集到的信息作为直接认定用户侵权的充足案例。
其中,辽宁省沈阳市中级人民法院在(2021)辽01民初702号判决书中将举证责任分配给被告:
原告米拓对被告的侵权行为举证系通过提交电子数据包,该电子数据包为对被控侵权网站进行网页取证,百度取证和北京国创鼎诚司法鉴定所为此联合签发肆份《电子数据保全证书》,并在证书中标明了签发机构、签发编号、数字指纹、委托人、申请时间、数据类别、来源网站等具体信息。
被告认为原告米拓提交的“电子数据保全数据包”证据是通过后门程序使用非法手段获取的,证据来源不合法,提出“网站后台的代码数据,属于非公开的涉密信息,其他人无法获取。米拓公司通过非法手段收集数据的行为,已严重侵害他人合法权益、违反了法律禁止性规定,该证据不应作为认定案件事实的根据。”
法院辽宁省沈阳市中级人民法院则以中德公司虽对该份证据的取证过程存在异议,但并无相反证据予以证明为由,在核验数字指纹信息后对“电子数据保全证书及其数据包”予以采信。
偶发性的案例并不能反映出司法态度,具体的效力仍应基于《民事诉讼法》及相关法律法规的规定进行分析。
2、“后门取证”的合法性分析
“后门取证”的合法性之争的关键点落于证据来源是否符合法律规定,根据《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第106条,“对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据,不得作为认定案件事实的根据。”
因此,判断“后门取证”的合法性应当通过判断来源是否严重侵害他人合法权益、是否违反法律禁止性规定来进行界定。
(1)通过事先告知/获得授权的后门进行取证
一般而言,权利人因事先的合同约定取得设置后门及从后门获取相关信息的权利,故所涉证据应当具备合法性。当然,若事先签订的合同归于无效,则正当性的基础则可能丧失。
即使是在获取的部分信息超出授权范围的情况下,因为事前约定,访问系统、获取的在授权范围内的信息仍具有合法性,并不违反法律的禁止性规定,也并不违背公序良俗。
超过授权范围获取的信息是否一定不能作为证据?结合计算机软件侵权行为具有隐蔽性较强、取证难度大等特点,笔者认为对此行为性质的判断,可能需要结合权利人“后门取证”行为的必要性,及其所获取信息的范围是否为“调查和制止侵权的合理范围”综合考虑,若权利人搜集的信息仍落入其调查和制止侵权的合理范围之内,且不通过“后门取证”的方式极难取得相应的证据,则不构成“严重侵害”他人合法权益,仍应当认为具备正当性[5]。当然,此种观点仍有待检验。
(2)利用事先未合法披露的后门进行取证
参考《中华人民共和国网络安全法》第27条,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动…”。
可知,“危害网络安全”的行为是法律明文禁止的。此处对“危害网络安全”的理解可结合《中华人民共和国网络安全法》第21条进行理解:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改…”。也即,法律明文禁止未经授权的访问。
那么,通过未经披露的后门进行获取信息的行为也应当理解为一种法律明文禁止的行为,因此,所取得的证据不应具有合法性。
四、对“后门取证”所获得的证据的可能抗辩
1、合法性抗辩
若以“后门取证”获得的证据提起侵权之诉,被告方首要可能提出的抗辩即为否认该证据之合法性。
关于“后门取证”的合法性问题,前文已有详细探讨,在此不再赘述。为确保证据的合法性,建议权利人应事先对软件中留有的后门进行披露,并对可获取信息的范围及对所获取信息的可适用范围进行明确约定。
2、真实性抗辩
从真实性角度出发进行抗辩也是常见的思路。计算机领域取证具有天然的特殊性,利用者可以通过代码的增减进行不同的操作,尤其是,通过后门可进行的操作空间大,除了能浏览、获取基本信息外,甚至还能够篡改系统数据。
因此,被告常常会利用此特性进行抗辩,如上文提到的(2021)辽01民初702号案例,被告中德公司除认为原告米拓提供的“电子数据保全数据包”不合法外,还提出对该证据的真实性无法确认,其认为“该证据并非通过正规司法鉴定机构或在诉讼中进行保全,无法认定证据的真实性…”。
面对此种抗辩,建议权利人可在事前取证中通过公证取证的方式来完善证据的真实性。
3、关联性抗辩
因预留程序的不同,“后门取证”所呈现的结果也不尽相同。有时,检测目标软件是否侵权的机制为权利人发送指令后通过侵权软件获得对应指令的结果,此时,如何证明获得的结果与侵权软件使用具有特定对应性是权利人所面临的一项挑战。
为应对在诉讼过程中可能面临的关联性抗辩,权利人可通过申请鉴定机构对“后门取证”的技术原理进行鉴定,证明特定的反馈结果与权利人的软件之间的联系。
五、结语
总体来说,“后门取证”的效力问题在法律上和司法实践当中仍未有定论,相关的案例极少,且随着中国网络安全、数据安全和个人信息保护的加强,“后门取证”的合法性更容易受到质疑。但是,考虑到“后门取证”在证明隐蔽软件侵权方面的可行性,笔者建议可在实务中继续尝试此种取证方式,并寻求司法层面的突破。
针对目前“后门取证”可能受到的质疑,笔者建议,一是应尽量通过相应的软件许可协议,取得用户对在软件中设置防盗版的软件安全机制的授权,比如在软件安装时以明显提示的方式取得用户的同意;二是充分利用证据规则,以“后门取证”所取得的证据为基础,说服法院相信侵权行为极有可能存在,从而推动法院采取证据保全措施或者将进一步的举证责任分配给被告。
*实习生彭丽珺对本文亦有贡献
注:
[1]参见潘永建、黄文捷、左嘉玮,《耸人听闻的“后门”?——美国<安全设备法>简评》,通力律师事务所https://mp.weixin.qq.com/s/5Z9TQSe4qWlR4n9pVWLGzQ
[2]参见孙淑华,马恒太,张楠等,《后门植入、隐藏与检测技术研究》,载《计算机应用研究》,2004年第7期,第78-81页。
[3]参见云智信安,《<云知第35期>——网络安全术语之后》https://mp.weixin.qq.com/s/az3NtyxIeXAfnLOLxJdCJQ
[4]https://www.zhihu.com/question/531724027/answer/2539891264
[5]参见最高人民法院在(2006)民三提字第1号判决书中的裁判要旨,对于法律没有明文禁止的行为,则应根据行为的正当性及是否严重侵犯合法权益进行进一步的判断。