【案例导读】
在从他人付费获得软件授权许可使用并获得软件源代码后,公司员工擅自将他人源代码上传至Github开源平台公共存储库,导致该源代码被Github平台多个分支用户,复制到其公共存储库,给他人造成重大经济损失的,该公司员工是否应该承担责任?该公司是否应该就其员工的行为承担责任?最高法院的以下判决,给出了答案。
【争议阶段】
从他人购买软件及源代码后,公司员工将源代码上传至Github开源平台,被多名网络用户复制、传播
【涉及技术问题】
1. Github开源平台公共存储库及Git分支的正确使用方式
2. 基于SpringMVC+Mybatis架构开发的软件,通过打包编译生成war包部署在阿里云平台,未进行IP及设备限制,能否起到保密效果?
【案情简介】
一、【事情起因】A公司与B公司签订软件许可使用合同,合同约定A公司授权B公司对C软件及源代码具有非专有、不可转让的使用许可,B公司需要对相关信息保密。合同签订B公司支付许可使用费后,A公司将装有涉案源代码包的加密U盘及密码,交付给B公司的负责人员。B公司出具了《C软件源代码使用许可项目签收表》。后A公司在Github开源平台发现有用户上传了C软件源代码,该源代码中的域名、代码注释、LOGO、客服电话、版权信息等多处标识,都指向B公司,截止A公司进行公证取证时,已有多位Github网络用户复制了前述源代码。故A公司起诉B公司侵权其商业秘密(技术秘密),要求B公司赔偿由此给其造成的经济损失5000万元。
二、【B公司抗辩】A公司主张的源代码不属于“不为公众所知悉”:因为在公开的代码文件中可以检索到多个与A公司主张的涉案源代码相同的代码;A公司对涉案源代码未采取相应的保密措施:A公司未采取授权办公场所访问及授权办公设备访问两级保护机制,故无法避免涉案源代码在非办公场所及非办公设备上泄漏,而且涉案源代码文件存储于阿里云服务器,阿里云属于设置公司外部的公共可访问资源,A公司未进行IP限制及设备限制,造成任何人均可以通过账户密码在公司外任意场所任意设备随时访问;A公司的源代码不具有商业价值:已有多个在先公开的开源项目的功能、技术与涉案源代码相同,故A公司源代码不具有商业价值。即使以上均成立,B公司也不应该就员工泄露源代码的行为承担责任。
三、【一审法院判决】A公司源代码构成技术秘密,Github上传的A公司源代码众多信息均指向了B公司,而且涉案用户在Github发布的另外3个存储库源代码,亦包含B公司信息,除了B公司或其知情的员工外,他人均难以做到。B公司对此未有合理解释,抗辩亦缺乏理据。A公司与B公司在涉案合同中明确约定,若B公司的员工违反保密义务,B公司应承担连带责任。综上,B公司应对侵权行为承担法律责任,根据涉案产品的研发与销售情况、侵权持续的时间、反漏洞费用以及A公司为制止侵权行为所支付的合理费用等因素,酌情确定B公司向A公司赔偿500万元。
【最高法院二审裁判要点】
A公司在二审确认B公司披露涉案源代码无恶意,也无获利;A公司主张涉案代码由B公司员工上传,但B公司应该对员工行为承担责任。最高法院认为:
1. 本案源代码披露行为一经实施即造成相应后果,不存在侵权行为持续,应适用旧法。涉案源代码在Github网站上被公开披露,披露行为一经实施,即造成源代码信息被公开的后果,此后该源代码在Github网站上持续被披露,直至新法实施后才被删除,仅是在Github网站上被披露状态的持续,并不是侵权行为的持续,源代码在网站上被删除也不意味着已经被公开的源代码能回溯到不公开的保密状态。因此,一审法院以被诉侵权行为持续至新法修改,认为本案应适用新法的法律适用有误,本院予以纠正。本案应当适用侵权行为发生时的法律,也即旧法。
2. B公司在二审申请对于涉案源代码非公知性重新鉴定,本院不予准许。A公司委托的鉴定机构从涉案源代码文件中提取了类名、方法名、变量名、表达式等作为关键词,在百度、谷歌两个知名搜索网站及Github、searchcode两个软件源代码共享网站进行检索,其检索范围为知名、主流的搜索引擎及软件源代码共享网站,是所属软件领域的相关公众最常使用、访问的网站,该鉴定检索方法、检索范围并无明显不当。而且B公司在二审期间已经单方委托鉴定,故B公司重新鉴定的申请,本院不予准许。
其他略。
【裁判结论】鉴定机构经评估作出的商业价值鉴定仅是确定知识产权商业价值的一种方式。在本案经审查不宜直接依据价值评估鉴定意见认定涉案技术秘密商业价值的情况下,依据本案现有证据情况,可以综合考虑涉案技术秘密的研究开发成本、实施该项技术秘密的收益、可得利益、可保持竞争优势的时间等因素酌情确定涉案技术秘密的商业价值,进而作为确定赔偿数额的依据。综合考虑本案的被诉侵权行为的性质、情节,涉案技术秘密的商业价值、A公司的维权合理开支等因素,本院认为一审判决适用法定赔偿方式酌定B公司赔偿经济损失及合理费用共计500万元,适用法律虽确有错误,但判赔金额较为合理,可予维持。本院进一步分别酌定B公司应承担的赔偿责任为赔偿经济损失450万元、合理开支50万元。
【实务操作启示】
由以上案例分析,笔者尝试归纳如下启示要点,供开发者在软件授权许可及二次开发使用他人源代码等实务操作中,作为参考:
略
【关联知识】
【Github本质上也属于“平台”,适用“通知-删除”避风港原则】
略
【法院判决中新法与旧法的适用】
略
