计算机软件著作权纠纷因其侵权证据获取难、固定难,侵权比对繁琐、复杂等特点,实务中往往案件认定难度较高。
一般情况下,除非侵权人自行于外部可访问的网页、网站、客户端及其他应用程序中公开使用相关软件,否则权利人很难发现、固定软件使用情况。即使是可以公开访问、登录的应用终端界面,侵权人仍随时可以更改或关闭,不即时取证,侵权证据随时可能毁损灭失。因此,权利人如何固定侵权事实,是启动维权最为关键的一环。实践中被侵权软件的著作权人采取的取证方法通常包括:软件开发公司通过设置“后门”1收集软件使用者信息;远程调查取证(又称“Telnet取证”)2;通过公司介绍、主营业务信息、招聘信息取证;由法院保全侵权人办公场所的电脑进行取证;通过行政部门查处行为取证等。其中,传统的调查取证方式(如由法院保全侵权人办公场所的电脑进行取证、通过行政部门查处行为取证)虽然容易被法院采信证明力强,但因为取证成本高、时间长,证据极大可能会灭失,且该种取证方式往往需要权利人提供初步证据证明侵权行为可能存在,故实践中,此类取证方式并非权利人维权的最佳选择。而设置“后门”以收集使用者信息、远程调查取证以及通过公司介绍、主营业务信息、招聘信息取证等,均是在侵权人不知情的情况下,无需其配合便可以先行完成的取证方法,因其方便快捷,取证成本低,在一定程度上避免了证据的变更和灭失,往往成为很多权利人固定证据时优先考虑的选项。除传统取证方式外,上述这些取证方式具体如何进行,其合法性如何,能否被人民法院采信,司法实践中认定不一。本文拟在梳理相关案例的基础上,理清相关争议的症结,对合理确定举证责任的分配和转移提供适当指引。软件著作权人通过设置“后门”取证的合法性及可行性分析在探讨“后门取证”的合法性之前,首先应该明确“设置后门”是否合法。目前并无明确的法律规定绝对限制后门的存在,但这并不意味着在信息产品/服务中留有后门就一定是合法的。从法律规定方面来看,《中华人民共和国网络安全法》第22条3明确禁止设置恶意程序。但如何判断恶意,法律的界定仍较为模糊。从司法实践来看,根据最高人民法院司法裁判观点4,判断事前告知/获得授权能够在一定程度上消除“恶意”。因此,笔者判断,法律禁止的是设置未经披露的恶意程序,如果具有正当理由,信息产品/服务提供商则可以在信息产品/服务中预留合法的“安全机制”,此种技术干预措施因事前的披露而剥离于恶意程序之外。实践中,“后门利用”往往存在“非法入侵”、“数据盗取”、“远程控制”等法律风险,相关部门也在着手完善对利用后门等行为的规制5。“后门取证”作为一种典型的利用后门的行为,本质上同属于利用后门以获取网络/数据基础设施中传输和储存信息。本文主要讨论以下两个问题:1.通过合法的后门进行取证是否一定合法性?2.通过未经披露设置的后门进行取证所获得的证据是否具有当然的非法性?当前,涉及讨论司法实践中,“后门取证”合法性的案例较少,截至目前,笔者尚未检索到法院将权利人通过后门搜集到的信息作为直接认定用户侵权的充足案例。在仅检索到的一起案例中,人民法院将举证责任分配给被告6。因此,关于“后门取证”是否合法仍应基于《民事诉讼法》及相关法律法规的规定进行分析。根据《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第106条之规定7,判断“后门取证”的合法性应当通过判断来源是否严重侵害他人合法权益、是否违反法律禁止性规定来进行界定。1. 通过事先告知/获得授权的后门进行取证具有合法性一般而言,权利人因事先的合同约定取得设置后门及从后门获取相关信息的权利,则该种取证方式获得的证据具备合法性。但是,若事先签订的合同被认定为无效,则以此种方式获得的证据因不具备合法性而无法作为认定侵权事实的重要依据。实践中,在权利人获取的部分信息超出授权范围的情况下,因为事前约定,访问系统并获取的在授权范围内的信息仍具有合法性,并不违反禁止性法律规定,也不违背公序良俗。但超过授权范围获取的信息是否一定不能作为证据,需结合权利人“后门取证”行为的必要性,及其所获取信息的范围是否为“调查和制止侵权的合理范围”综合考虑,若权利人收集的信息仍落入其调查和制止侵权的合理范围之内,且不通过“后门取证”的方式极难取得相应的证据,则不构成“严重侵害”他人合法权益,仍应当认为具备正当性8,可以作为认定侵权事实的依据。2. 利用事先未合法披露的后门进行取证应不具有合法性根据《中华人民共和国网络安全法》第21条9及第27条10之规定,法律明文禁止未经授权的访问,通过未经披露的后门进行获取信息的行为也应当理解为一种法律明文禁止的行为,因此,所取得的证据不应具有合法性,无法作为认定侵权事实的依据。一、何为“远程调查”取证?(又称为“Telnet取证”)Telnet取证流程可以简述为:打开“开始”项下的“运行”项,输入“Telnet ×××(被控侵权网站域名)21(端口)”语言代码访问被告网站服务器,检测远程服务器中是否使用权利人享有著作权的计算机软件。若本地计算机屏幕反馈页面显示有相应软件名称及版本,则说明通常情况下被探测的服务器上可能安装相关软件11。针对该种取证方式,关于其合法性和证明力等问题在司法实践中存在争议,主要集中为该种取证方式获取的证据是否合法,以及该证据能否达到证明侵权事实的“高度盖然性”标准。根据《民事诉讼法》及相关司法解释之规定,判断一项证据是否属于非法证据,主要考虑以下因素:1.该证据是否严重侵害他人合法权益;2.该证据是否违反法律禁止性规定;3.该证据是否严重违背公序良俗。关于此种取证方式是否合法,有观点认为对Telnet命令进行反馈,属于软件后门,其取得的证据不能作为认定事实的依据。但司法实践中,绝大多数法院认为信息反馈属于正常的软件与用户之间的信息交流,对Telnet命令进行信息反馈,不具备隐蔽性和破坏性,且其反馈信息仅限于软件名称、版本等告知性的内容,在探测者完成登录验证之前,不能使用系统的任何功能,也不能获得系统内的任何数据,因此该取证方式具有合法性。三、通过“Telnet远程取证”获得的证据是否已达到证明侵权事实的“高度盖然性”标准?由于Telnet命令获取的是远程服务器的用户欢迎信息,从技术角度来讲,该信息信息确实可以被人为设置或修改。因此,是否能直接依据Telnet远程取证证据认定侵权事实,实务中观点也并不一致。譬如,在美国磊若软件公司与深圳朗科公司侵犯著作权纠纷12中,一审法院和再审法院均认为通过Telnet命令操作获得的反馈信息有可能是不真实的,从而其与待证事实之间的关联性不具有确定性、唯一性,也即不认可采取Telnet命令方式取得的证据能够达到高度盖然性。但是在磊若软件公司诉广州合景房地产开发有限公司侵害计算机软件著作权案13及磊若软件公司与捷奥比电动车有限公司侵害计算机软件著作权纠纷案14中,法院均认为通过Telnet检测服务器反馈信息具有较高的确定性,已经可以达到民事诉讼证据高度盖然性的标准。值得一提的是,在广东高院审理的奥拓恩姆科技有限公司与深圳冠智达实业公司侵害计算机软件著作权纠纷一案15,广东高院推翻了之前的观点,指出虽然Telnet命令探测后的反馈信息与待证事实之间不具有确定性和唯一性,但若该反馈信息与待证事实之间存在高度可能性,则仍应认定负有举证责任的原告已完成了举证证明责任。由于被告无法证明其合法使用了正版软件等情形,故法院支持了原告对于被告侵犯其软件著作权的请求。因此,在无相反证据证明的情况下,目前多数法院也认可Telnet命令方式取证的有效性,即使最终法院未将其认定为判决侵权的关键性证据,也可视为软件著作权人完成了初步的举证义务。根据《最高人民法院关于适用<民事诉讼法>的解释》第90条之规定,若侵权人提出抗辩和反驳,如该用户欢迎信息已被人为故意篡改,应对此举证证明16,否则可能会因举证不能从而承担不利后果。软件著作权人通过侵权公司介绍、招聘信息、公司主营业务信息取证的合法性和可行性分析实践中,部分公司因行业专业性极强,为了精准定位到所需人才,一般会在招聘信息中对岗位的需求会进行详细描述,尤其是针对研发人员、项目人员的岗位中会提出熟练使用某个计算机软件的需求。通常情况下,权利人则会针对其发布的相关信息(如招聘信息、公开信息、网页信息或录音)进行公证,然后依据该经过公证的信息申请法院到侵权人的经营场所进行证据保全17。但是,对于在招聘信息或网站网页上提取的信息,在司法实践中一般只能作为初步证据出示,无法证明侵权事实,但权利人可以根据初步证据申请法院进行证据保全。在计算机软件侵权案件中,如何收集、固定侵权证据对权利人维权至关重要。“后门取证”、“Telnet取证”及通过公司介绍、招聘信息、主营业务取证作为软件侵权案件中权利人使用的新型取证方式,各有利弊,司法实践认定不一。针对目前上述取证方式可能受到的质疑,笔者建议如下:1. 权利人应尽量通过相关软件许可协议,取得用户对在软件中设置防盗版软件安全机制的书面授权,譬如在软件安装时以显著方式取得用户的同意;2. 权利人作为原告,应当充分利用证据规则,以“后门取证”所取得的证据为基础,说服法院相信侵权行为极有可能存在,从而推动法院采取证据保全措施或者将进一步的举证责任分配给被告。1. 从司法判例来看,目前多数法院认可Telnet命令方式取证的有效性,即使最终法院未将其认定为判决侵权的关键性证据,也可视为软件著作权人完成了初步的举证义务,侵权人需要提供其未使用侵权软件的相反证据进行反驳,否则可能会因举证不能承担不利后果。2. 对于被诉侵权人,若确未侵权,也应积极提出抗辩并提供相应反证,通过提交类案检索报告,佐证己方诉辩主张。三、关于“通过公司网页、招聘信息、主营业务介绍取证”司法实践中,通过此种方式获得的证据一般只能作为初步证据出示,无法证明侵权人实际使用其权利软件,权利人还需根据初步证据申请法院进行证据保全。
1. 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序,通过该程序,可以使软件开发者进入用户系统进行数据处理。一些软件公司在开发软件之时会设置“后门”,将软件使用者的信息进行收集并返回给软件公司,软件公司会将收集到的信息与其客户名单进行对比,不在名单中的用户则会被认定为侵权者。随后,软件公司会根据收集到的用户信息向侵权者发送律师函,要求其购买正版软件。
2. 软件侵权案件中的远程调查取证(又称“Telnet取证”)一般指权利人通过运行特定的程序或CMD命令(如Telnet命令)进行远程登录操作,通过反馈的数据确定被测服务器上是否安装了相关软件。在目前已有的案例中,软件著作权人使用Telnet命令来检测被侵权人服务器上否安装了侵权软件比较常见。3.《中华人民共和国网络安全法》第22条:“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”4. (2020)最高法知民终221号判决书:“…该证据仅仅证明,剑维公司为维护正版,采取了特定安全措施,并通过与最终用户的技术协议和软件安装时提示的最终用户许可协议对最终用户进行了告知。综上,诗诺公司提交的证据尚不足以证明剑维公司违反了网络安全法的相关规定。”5. 全国信息安全标准化技术委员会于2023年8月25日发布的《关于国家标准<信息安全技术网络攻击和网络攻击事件判定准则>征求意见稿征求意见的通知》:网络攻击(network attack)指通过计算机、路由器等计算资源和网络资源,利用网络中存在的漏洞和安全缺陷实施的一种行为,其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息;或延缓、中断网络和数据服务;或破坏、摧毁、控制网络和数据基础设施。…5.1攻击技术手段包括漏洞利用、后门利用、后门植入…”6. 辽宁省沈阳市中级人民法院:(2021)辽01民初702号判决书7.《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第106条:对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据,不得作为认定案件事实的根据。8. 参见最高人民法院在(2006)民三提字第1号判决书中的裁判要旨,对于法律没有明文禁止的行为,则应根据行为的正当性及是否严重侵犯合法权益进行进一步的判断。9.《中华人民共和国网络安全法》第21条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改…”。10.《中华人民共和国网络安全法》第27条,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动…”。
11. 参见(2015)粤知法著民初字第8号民事判决书12. 详见(2011)深南法知民初字第1039号《民事判决书》、(2014)深中法知民终字第504号民事判决书及(2015)奥高法民三提字第2号《民事判决书》。
13. 详见 (2015)粤知法著民终字第45号《民事判决书》。
14. 详见 (2015)苏知民终字第00108号《民事判决书》。
15. 详见(2017)粤民再463号《民事判决书》。16. 江苏高院(2015)苏知民终字第00300号判决(裁判要旨):诉侵权人从网络空间服务商处购买服务器空间,对服务器没有控制权、无法在其中复制安装系统软件的,系统软件著作权人通过telnet远程监测到该服务器上存在有其软件,在空间购买者没有过错的情形下,不应认定其系侵权行为人。17. 详见(2017)皖02民初138号、(2017)桂民终356号判决书及(2020)浙02知民初173号判决书。
