对于企业而言,源代码是极其重要的核心资产。从技术角度看,源代码构成了软件的“基因”,包含了实现软件功能所需要的算法、逻辑等关键要素。在商业层面,源代码是企业实现软件产品差异化、建立竞争优势的关键所在,能够为企业创造源源不断的商业价值。
实践中,有许多企业曾遇到过或正面临着企业技术骨干从公司离职后,未经公司授权或同意,利用其在职期间获知的系统账号密码或取得的系统权限,从公司获取有关计算机软件源代码,用于后续开发并获利的问题。离职技术骨干的此类行为无疑对公司的技术资产安全与正常业务经营造成了极大破坏。在面临此类问题时,部分企业试图以侵犯商业秘密罪或者侵犯著作权罪为由追究有关行为人的刑事责任,但这两种控告路径都有各自难以解决的问题。本文拟在分析前两种控告路径的基础上,提出员工窃取公司源代码的控告新视角,即以非法获取计算机信息系统数据罪追究有关行为人的刑事责任。
《刑法》第二百一十九条,有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。
计算机软件及其所包含的功能架构、算法逻辑以及特殊的数据处理方式等,是企业能够在市场竞争中脱颖而出的关键所在,属于企业的核心机密,可以作为商业秘密被加以保护。企业员工未经企业许可,将企业作为商业秘密加以保护的计算机软件源代码用于开发其他软件的行为,可能构成侵犯商业秘密罪。
认定行为人构成侵犯商业秘密罪,需要同时满足三个要件,一是对象属于商业秘密,二是行为人存在侵犯行为,三是行为人的侵犯行为与涉案经济损失或违法所得存在因果关系,且数额较大。在司法实践中,案件的争议焦点往往在于行为人所侵犯的对象是否属于商业秘密的问题。根据我国《反不正当竞争法》第九条对商业秘密的定义,商业秘密要具有秘密性、价值性和保密性。其中,秘密性和保密性是司法实践中在认定商业秘密时重点关注的问题。
就有关计算机软件是否具有秘密性的问题,企业需进一步确认,企业主张的权利软件中是否包含了开源代码。若该计算机软件中包含了开源代码,该开源代码附带有各种开源许可证的,则需进一步审查企业是否已遵守开源许可证的相关规定。若企业在软件开发的过程中对有关开源代码进行了修改,而该开源代码的开源许可证又要求对软件进行开源发布的,则企业将有关权利软件作为商业秘密加以保护的主张就不具有正当性。
就有关计算机软件是否具有保密性的问题,有赖于企业是否对有关计算机软件采取了相应的保护措施。例如,企业是否与员工签订了《保密协议》,是否对可能接触、知悉权利软件源代码的员工权限作出了限制,是否对有关存储设备配备了较高级别的保障措施等。若企业对权利软件采取了安全保密措施的,还需进一步对有关制度材料、操作日志等进行整理,以便后续控告的开展。
此外,企业还需进一步确认有关计算机软件的权属问题。该问题直接关乎到企业是否具有提起控告侵犯商业秘密侵权的权利。在这个问题上,需要关注软件代码的委托开发以及合作开发的问题。
通过上述分析可得,以侵犯商业秘密罪为由的控告方案的可行性取决于企业主张的权利软件是否具有秘密性,企业是否对有关权利软件采取了保密措施以及企业所主张的权利软件是否归属于企业。若在任一问题上得出为否的结论,则以侵犯商业秘密罪为由的控告方案就不具有可行性。
《刑法》第二百一十七条,以营利为目的,有下列侵犯著作权或者与著作权有关的权利的情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上十年以下有期徒刑,并处罚金:
(一)未经著作权人许可,复制发行、通过信息网络向公众传播其文字作品、音乐、美术、视听作品、计算机软件及法律、行政法规规定的其他作品的;
......
(六)未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的。
我国《著作权法》明确将计算机软件作为作品加以保护,并就著作权人对作品享有的著作权权利进行了详细规定。企业员工未经企业授权及许可,复制企业有关计算机软件的源代码,并用于开发其他软件的行为,可能构成侵犯著作权罪。
在计算机软件涉侵犯著作权罪的案件中,“复制、发行”是重要的行为模式之一。就“复制”而言,司法实践不要求被控侵权软件达到与权利软件“一模一样”的程度,而采取“实质性相似”的标准对权利软件与被控侵权软件是否属于同一作品进行认定。“实质性相似”标准既有“质”的要求,又有“量”的要求,其法律本质在于能体现作者独创性安排的实质性部分。
一方面,判断权利软件与被控侵权软件是否构成“实质性相似”需要对二者的源代码进行比对。计算机软件的源程序,作为人类按照一定的程序设计语言规范书写的作品,是人类独创性智力成果的直接体现。因此,将源代码进行比对是最有效、最直接的内容比对方法。但企业若难以获得被控侵权软件的源代码的,可以通过提供自身的源程序,并采用证据保全的方式,通过获得被告的目标程序并进行反编译的方法获得被告的源程序,而后进行鉴定比对。概言之,认定被控侵权软件与权利软件是否“实质性相似”的核心在于认定被控侵权软件实现硬件产品功能的目标程序或功能性代码与权利软件是否“实质相同”。
另一方面,出于可操作性的现实考量,司法实践中往往以权利软件与被控侵权软件源代码的重合条数作为“实质性相似”的判断标准。也即,对于逻辑及功能实际上相同或相似,但在语言表达上有所不同的源代码,将会被排除在“实质性相似”的认定范围之外。并且,我国目前没有法律法规或规范性文件明确,应当达到何种比例,被控侵权产品与权利作品才构成相同或实质性相似。因此,各地法院对“实质性相似”的认定标准并不统一,多数法院以70%作为“实质性相似”的判断标准,但也存在着部分法院以100%的相似率为判断标准。
通过上述分析可得,以侵犯著作权罪为由的控告方案首先面临着就被控侵权软件源代码的取证困难问题,该方案的实际控告效果也因不同法院对“实质性相似”认定标准的不同而在结果上不可控。此外,需通过司法鉴定的方式对被控侵权软件与权利软件的源代码进行比对,这导致整个诉讼流程可能会花费较长的时间。
《刑法》第二百八十五条之二,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
以非法获取计算机信息系统数据罪为由的控告方案与该行为人取得源代码的行为息息相关。企业员工未经授权或者超越授权,获取储存在企业计算机信息系统中的有关计算机软件的源代码的行为,可能构成非法获取计算机信息系统数据罪。
非法获取计算机信息系统数据罪的行为模式可以总结为:“侵入”行为+“获取”行为/其他技术手段+“获取”行为。
就“侵入”行为而言,由于行为人先前为企业技术开发人员,因此,该员工在企业就职期间具有进入有关计算机信息系统的权限。对于行为人本身具有进入相应计算机信息系统的权限,以合法方式进入计算机信息系统能否被认定为是“侵入”行为的问题,最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)确认,非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。也即,认定行为人是否具有“侵入”行为的核心在于,审查行为人是否未经授权或超越授权进入了有关计算机信息系统。尽管该员工在企业任职期间具有进入有关计算机信息系统的权限,但企业的授权范围显然限于与软件的开发、运维等有关的事项,而并未授权该员工从公司的工作电脑上复制、拷贝有关计算机软件的源代码。因此,该员工超越企业授权范围进入计算机信息系统的行为可以被认定为是“侵入”行为。
就“获取”行为而言,尽管目前尚未有法律和司法解释对“获取”行为的内涵进行明确,但参照通行的国际标准ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念进行界定,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。在该问题上,需要企业提供有关计算机信息系统的操作日志,对该员工从公司系统中将有关计算机软件的源代码转移存储至别处的行为加以佐证。
通过上述分析可得,以非法获取计算机系统数据罪为由的控告方案,与该员工从企业获取有关计算机软件源代码的行为有关。而只要在计算机信息系统上进行了操作,就一定会在有关系统的操作日志上留痕,因此,该方案在取证上的难度最小,具有较强的可行性。
转自:“中国政法大学刑事辩护研究中心”公众号
作者:陈沛文 上海靖霖律师事务所党支部副书记、高级合伙人、网络犯罪研究与辩护部主任
往期推荐 | |
