1 為什麽要在KV300中設置邏輯炸彈
1997年夏季北京的壹大新聞熱點,就是江民公司在其反病毒軟件KV300的L++版中設置邏輯炸彈壹事。
為什麽要在KV300的L++版中設置邏輯炸彈,江民公司總經理王江民先生在《北京青年報》上撰文《不是炸彈 只是邏輯鎖》作了說明,該文內容如下列三段所示。
——KV300L++版是針對英特網上的壹個站點——"中國毒島論壇"而設計的。這壹網址讓人們下載國內反病毒軟件的密鑰盤的制作工具,為盜版提供了極便利的條件。……
——北京江民新技術有限公司在KV300L++版中加入了具有高智能化邏輯判斷的"邏輯鎖(反盜鎖)"程序。這壹程序的運行機理是:在盜版者使用"中國毒島論壇"提供的解密匙復制盜版盤,並上機運行時,其"邏輯鎖"嚴格的邏輯判斷程序即可準確識別出盜版盤來,立即啟動,並鎖死盜版者的電腦硬盤,迫使電腦停止工作,硬盤數據暫無法使用。所以,這壹有高智能邏輯判斷條件的"邏輯鎖"對正版KV300的使用者絕不會有任何誤鎖,再說,"邏輯鎖"對硬盤數據不進行破壞,盜版使用者只要向江民新技術有限公司總部承認盜版行為,經江民公司向有關部門登記備案,有利於追查盜版窩點,就可獲得解鎖條件,恢復硬盤工作。"邏輯鎖"壹經使用,立刻使盜版活動受阻,壹些盜版者被迫向江民公司承認盜版經過,以換取解鎖條件。
——所有正版KV300用戶,盡管放心,不會有任何問題。我們的"邏輯鎖"與五家反病毒廠商提到的"邏輯炸彈"是有區別的,鎖與炸彈的概念人人都清楚,鎖是用來鎖住某件物體,但可以用鑰匙打開。炸彈是用來炸毀某個物體,使物體徹底毀壞。如果沒有使用正版的KV300,"邏輯鎖"將計算機的硬盤鎖住,但並不破壞硬盤數據,只有軟件版權擁有人,才會用"鑰匙"解開,而"邏輯炸彈"將信息炸毀後,將不可修復。
值得註意的是,王江民先生在記者采訪時表示:為了決定是否安置邏輯鎖,我確實考慮了很長時間,並精心研究了有關法規。王江民先生還提出了"主動邏輯鎖"和"被動邏輯鎖"之說。他說:邏輯鎖有主動和被動之分。在軟件中安放"被動邏輯鎖",軟件被"小偷"盜走後,在"小偷"的機器中就無法使用這種軟件。如果壹種軟件中安放了"主動邏輯鎖","小偷"偷走後,在"小偷"的機器裏壹旦使用該軟件,那麽,馬上被"主動邏輯鎖"將這部計算機的存儲體鎖住,就像"小偷"被反鎖在屋裏,只有版權所有人才能用"鑰匙"解開。假如"小偷"愛面子,則只能自毀"房門"來解鎖,這就叫"偷雞不成,反蝕把米"。(引自胡奎、齊彥洵、桑司文《"炸彈"與"鎖"爭諸京城》,載《中國消費者報》1997年7月31日第3版。)這裏,王江民先生的"邏輯鎖"之說以及"主動邏輯鎖"和"被動邏輯鎖"的劃分法是計算機界前所未聞的。
這壹比喻在壹段時間內誤導了輿論,使得壹些傳媒、廣大非計算機專業人員、部分計算機專業人員乃至軟件知識產權工作者都不能正確認識江民公司行為的違法實質。
如果要以日常生活中的事情作壹個比喻的話,我們可以這樣說:家家戶戶安裝防盜門,沒有任何問題。但是,如果有人給防盜門通電,或者底層住戶在自家庭院的圍墻上安裝防盜電網,就會產生嚴重問題。第壹,通電防盜門安裝者或圍墻電網安裝者(簡稱"安裝者")無權實施這種可能危害公***安全的行為;第二,無辜者可能受害;第三,即使是小偷,如果被電擊致死,壹方面小偷罪不當死,另壹方面"安裝者"自己無權代替執法機關執法;第四,退壹步說,即使被電擊致死者依法確實"罪該萬死","安裝者"也無權私刑將他處死。這是法制社會的起碼要求。這裏,"安裝者"應承擔的法律責任是明顯的。
2 傳媒當年的反應
應當如何看待江民公司設置邏輯炸彈壹事?
1997年的夏天,由於這壹事件的特殊性和復雜性在我國軟件產業發展史上前所未有,不論是新聞界、軟件界,還是公安機關,對此事的性質壹時都難以確定,所以,傳媒的態度較為謹慎。
有的報紙宣揚江民公司設置邏輯炸彈的做法。如《北京科技報》當時刊登了這樣壹段評論:"KV300這種以攻為守的反盜版措施,既保護了購買正版消費者的利潤和KV300的知識產權,又打擊了盜版者,可謂壹箭雙雕。王江民與他的KV300現象,對於我國目前絕大多數的小型軟件開發商來說,是壹個寶貴的啟迪,或許是小型軟件開發商通往成功之路的壹條捷徑。"(見《北京科技報》1997年8月18日《民營產業》專版刊登的宋欣的焦點透視《王江民與KV300現象》。)輿論壹度向江民公司壹方傾斜。
造成輿論界上述現象的主要原因在於:第壹,江民公司所謂"邏輯鎖"而不是邏輯炸彈的提法給許多傳媒帶來理解上的困惑和認識上的混亂;第二,江民公司引出"中國毒島論壇"的問題為其行為找到了冠冕堂皇的理由;第三,此事在國內史無前例,查處需要時日,公安機關當時未能及時表態。
3 筆者當時的評論
筆者在1997年8月11日就此事發出傳真評論,要點如下:
(壹)設置行為性質的判斷
《中華人民***和國計算機信息系統安全保護條例》(以下簡稱"《安保條例》")第7條規定:"任何組織或者個人,不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機信息系統的安全。"
《安保條例》第23條規定,對"故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的",給予行政處罰。註意,這裏規定應給予處罰的行為不僅包括故意輸入"計算機病毒",而且包括故意輸入"其他有害數據",只要這些行為"危害計算機信息系統安全"。
關於"計算機病毒",《安保條例》第28條給出了定義,即"是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的壹組計算機指令或者程序代碼。"這裏,計算機病毒定義的要件有三項:壹是"破壞計算機功能或者毀壞數據",註意"破壞計算機功能"與"毀壞數據"兩者是"或"的關系,只要兩者之壹成立即可;二是"影響計算機使用";三是"能自我復制"。這三項條件必須同時滿足。
關於"數據",《安保條例》並未給出定義,但在中國國家標準GB/T11457-89《軟件工程術語》第2.119節給出了定義,即指"事實、概念或指令的形式化的表現形式,它適於由人或自動裝置進行通信、解釋或處理。"因此,計算機程序也屬於"數據"的範疇之內。換句話說,《安保條例》第23條所說的"其他有害數據",就包括計算機病毒以外的其他有害的計算機程序。
(二)設置行為的法律後果
只有我國的公安機關和/或司法機關才有權依法決定,當事人的行為是否違法、是否應當追究其法律責任。
1994年2月18日發布並於當日起施行的《安保條例》是公安機關和/或司法機關的執法依據。它是國務院的行政法規。
現將相關的法規條款照引如下。
《安保條例》第23條規定:"故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的,…由公安機關處以警告或者對個人處以5000元以下的罰款、對單位處以15000元以下的罰款;有違法所得的,除予以沒收外,可以處以違法所得1至3倍的罰款。"
《安保條例》第24條規定:"違反本條例的規定,構成違反治安管理行為的,依照《中華人民***和國治安管理處罰條例》的有關規定處罰;構成犯罪的,依法追究刑事責任。"
《安保條例》第25條規定:"任何組織或者個人違反本條例的規定,給國家、集體或者他人財產造成損失的,應當依法承擔民事責任。"
因此,公安機關和司法機關可以依據《安保條例》的規定,對本事件中設置行為的性質進行認定和處理。
如果有單位或個人認為其因江民公司的設置行為而遭受財產損失,則可以依法起訴,追究江民公司的民事責任。當然,江民公司的設置行為是否違法乃至構成犯罪,是否應承擔民事責任,都應由公安機關和/或司法機關最終決定。
如果公安機關對此行為作出了處理、而江民公司又不服,則它可以依照《安保條例》第26條的規定,"依法申請行政復議或者提起行政訴訟"。
另外,有必要指出,1997年3月14日修訂的《中華人民***和國刑法》第286條規定:
"違反國家規定,對計算機信息系統功能進行刪除、修改、增加、幹擾,造成計算機信息系統不能正常運行,後果嚴重的,處5年以下有期徒刑或者拘役;後果特別嚴重的,處5年以上有期徒刑。
違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。
故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,依照第壹款的規定處罰。"
註意,這裏第三款的"計算機病毒等破壞性程序"壹語中有壹個"等"字。因此,只要是故意制作、傳播"破壞性程序"(並不限於計算機病毒),"影響計算機系統正常運行,後果嚴重的",就可能被追究刑事責任。這與前面關於《安保條例》第23條中的"其他有害數據"包括了計算機病毒以外的其他有害的計算機程序的解釋是壹致的。
新刑法將於1997年10月1日起施行。這是計算機用戶必須特別註意遵守的法律規定。
(三)幾點思考
1.軟件著作權人的權利是有限制的
在法制國家中,權利人行使權利不可能是沒有任何限制的。對於軟件著作權人來說,同樣如此。
我國著作權法第4條第2款規定:"著作權人行使著作權,不得違反憲法和法律,不得損害公***利益。"《計算機軟件保護條例》第9條第(三)項指出:著作權人以復制、發行等方式行使其著作權中的使用權,以"不損害社會公***利益"為前提。
2.軟件著作權人行使權利的手段要合法
江民公司設置行為的目的,用王江民先生的話說,是為了對付某BBS論壇上變本加厲的盜版活動。如果有人利用某BBS提供的鑰匙盤制作程序MK300V4來制作盜版KV300L++版鑰匙盤,將會出現硬盤被鎖現象。
但是,對付盜版活動的手段是否合法,是值得重視和研究的問題。
如果有人提供所謂"盜版盤制作工具",則應當通過法律手段來追究所謂"盜版盤制作工具"提供者的責任。
如果需要追究使用所謂"盜版盤制作工具"的壹般計算機用戶的責任,也應當通過法律手段來解決,而不應當使他們的"硬盤被鎖"(且不論是否還有其他結果)。因為軟件著作權的權利人並沒有權力因他人使用盜版軟件而去鎖住他人的硬盤。
註意這裏享有某種"權利"和行使某種"權力"的差別。法制的壹個基本原則就是,應由法定機關、依照法律規定、行使法定權力、追究法律責任。
計算機病毒的早期制作者中,有些人的動機就是為了防止或懲治盜版。但是,這種做法在當時就沒有法律依據,並且現在已被法律所禁止。因為這樣做的結果常常是"影響計算機系統正常運行"(引自新刑法)、"危害計算機信息系統的安全"、"給國家、集體或者他人財產造成損失"、"危害國家利益、集體利益和公民合法利益"(引自《安保條例》)。
因此,除非有國家有關機關的特別批準,否則,在計算機信息系統安全專用產品(即用於保護計算機信息系統安全的專用硬件和軟件產品)中,就不應當包含這樣的功能,即在研制者設定的條件下使計算機信息系統不能正常運行。
可以設想,在現代電子戰爭條件下,經過國家有關機關的批準,就可以制造計算機病毒等破壞性程序,並將其輸入敵方的計算機信息系統中,以擊敗敵方。這種情況下的行為,才是合法的。
4公安機關的處理
1999年9月1日,公安部發出題為《增強法制觀念 確保我國計算機信息系統安全》的新聞通稿,就江民公司邏輯炸彈事件正式表態。(參見《中國計算機報》1997年9月8日A3版刊登的消息《設置邏輯鎖屬違法行為 公安部強調保護信息系統安全》;《電腦報》1997年9月5日第1版刊登的消息《國家公安機關認定KV300L++"邏輯鎖"違法》。)
公安部計算機管理監察司負責人在公安部召開的新聞發布會上指出:鑒定證實,KV300L++網上升級版中有破壞計算機功能的子程序。江民公司的這壹行為違反了《中華人民***和國計算機信息系統安全保護條例》規定。北京市公安局計算機安全監察部門將根據以上事實對江民公司的違法行為進行處罰。
公安部有關負責人在強調了1999年10月1日起實施的新刑法第286條第3款的規定後指出:今後再發生類似事件,公安機關將會根據刑法和有關法規,予以嚴厲查處。
公安部有關負責人指出:計算機信息系統安全是關系到國家、集體、個人的利益的重要問題。從事計算機信息系統安全專用產品研制的單位、個人要有高度的責任心和高尚的職業道德,嚴格按照法律、法規和規章從事商業活動。
9月8日,北京市公安局計算機安全監察處做出處理決定。
5 "邏輯鎖"還是邏輯炸彈——學術術語方面的爭議
國內有關各界在認識江民公司邏輯炸彈案中存在爭議和分歧的壹個原因在於,江民公司的行為究竟是不是設置邏輯炸彈。
我們可以看壹看,在我國權威的計算機專業辭典中,"邏輯炸彈"究竟是指什麽。
定義1:所謂"邏輯炸彈",是"在計算機內有意安排的插入程序,並在特定的時間或特定的條件下執行,有可能使整個系統癱瘓或大量信息被刪除。"(引自中國計算機學會編《英漢計算機辭典》(續編),人民郵電出版社,1995年2月第1版,第187頁,"logic bombs 邏輯炸彈"詞條。)
註意定義1的三個要件:壹是"有意安排的插入程序";二是"在特定的時間或特定的條件下執行",這裏的"特定的時間"與"特定的條件"是"或"的關系,只要其中之壹成立就成立;三是"有可能使整個系統癱瘓或大量信息被刪除",這裏的"整個系統癱瘓"與"大量信息被刪除"也是"或"的關系,只要其中之壹成立就成立。
定義2:所謂"邏輯炸彈",是"在計算機安全方面,不法分子故意裝入計算機系統中的在壹定邏輯條件下才動作的具有竊取信息或者破壞系統功能的程序、指令。例如,將犯罪指令裝入操作系統作業程序,計算機系統運行時自動檢索某個文件的關鍵字或字母,壹旦檢測到該字或者發現字母消失了,'炸彈'就觸發邏輯裝置,從而作案者達到竊取信息或者破壞計算機系統功能的目的。"(引自計算機安全專業委員會繆道期、張鵬飛主編《英漢計算機、通信、電子金融、安全辭典》,清華大學出版社,1994年5月第1版,第245頁,"logic bombs 邏輯炸彈"詞條。)
註意定義2的三個要件:壹是"故意裝入……的程序、指令";二是"在壹定邏輯條件下才動作";三是"具有竊取信息或者破壞系統功能",這裏的"竊取信息"與"破壞系統功能"是"或"的關系,只要其中之壹成立就成立。
王江民先生關於"邏輯鎖"與"邏輯炸彈"的區別的說法是:被"邏輯鎖"鎖住後,可以用"鑰匙"打開。而被"邏輯炸彈"炸毀後,將不可修復。(引自廖天華《關於KV300L++所謂"邏輯炸彈"事件的追蹤報道》,載《電腦報》1997年8月8日第4版。)
對照邏輯炸彈的上述兩個定義,我們找不到"不可修復"這壹要件。定義1的要件之壹的"可能使整個系統癱瘓或大量信息被刪除",並沒有"不可修復"的附加條件。定義2的要件之壹的"具有竊取信息或者破壞系統功能",也沒有"不可修復"的附加條件。
將江民公司設置行為的技術效果與邏輯炸彈的上述兩個定義相對照,我們可以得出結論:該行為確實是設置邏輯炸彈。——這應當是學術上的結論。
由於"邏輯鎖"之說在計算機專業辭典中沒有定義,也未在傳媒報道中見到江民公司提供任何關於"邏輯鎖"的定義及其來源,因此,只能認為這壹說法是江民公司的壹種比喻,而不是壹個科學術語。該行為是否設置"邏輯鎖",無需進行討論。我們只要知道該行為的效果符合"邏輯炸彈"的定義就足夠了。
就執法機關而言,不管這種行為在學術術語上是稱為設置"邏輯炸彈",還是稱為設置"主動邏輯鎖",只要該行為本身觸犯了法律,就應當依法處理。就如同我們用不著花費時間去爭論魯訊小說中的孔乙己的行為究竟是"偷"還是"竊"壹樣。公安機關在處理本案時,就沒有在術語問題上多費筆墨,而是從法律角度明確定性為"破壞計算機功能的子程序"和"有害數據"。
6 公***秩序優先還是著作權人利益優先——法律方面的爭議
國內有關各界在認識江民公司邏輯炸彈案中存在爭議和分歧的另壹個原因在於,如何認識社會公***秩序與著作權人利益之間的沖突,在這兩者沖突時如何處理。
我們通常說:著作權法的基本作用是保持作者和其他著作權人的權利與廣大公眾的利益尤其是教育、研究和獲得信息的利益之間的平衡。註意這裏提到的"廣大公眾的利益"。
壹個社會應當保持正常的公***秩序,這是公眾利益的重要內容,也是國家健康發展、民眾安居樂業的起碼條件。社會公***秩序相對於某個人或某個單位的著作權權益來說,前者是"公利益",後者是"私利益"。問題不在於要不要維護"私利益","私利益"應當維護;問題在於維護"私利益"的結果不應當也不允許損害"公利益"。
為了認清江民公司實施邏輯炸彈行為的社會危害性,理解公安機關對江民公司行為進行制止和處罰的必要性和正確性,我們只要作壹個假設。
假設軟件著作權人都學習江民公司的做法,為了維護自己的著作權,都在自己的軟件中設置邏輯炸彈,我們的計算機信息系統還有什麽起碼的安全可言?我們的社會還有什麽正常的公***秩序可言?我們的國家還有什麽正常的社會管理秩序可言?如果江民公司的做法可以推廣,所有的軟件著作權人都照此辦理,豈不可以在壹夜之間消滅全球的軟件盜版?
我國新刑法之所以將"破壞計算機信息系統罪"放在"擾亂公***秩序罪"這壹類罪名之中;"擾亂公***秩序罪"這壹類罪名之所以放在"妨害社會管理秩序罪"這壹大類罪名之中,其原因就在於此。
理解了這壹點,就能夠理解1997年9月1日公安部有關負責人針對這壹事件強調指出的——計算機信息系統安全是關系到國家、集體、個人的利益的重要問題。今後再發生類似事件,公安機關將會根據刑法和有關法規,予以嚴厲查處。
我們還應當註意到:江民公司邏輯炸彈存在著其制作者始料不及的社會危害性。由於KV300L++版軟件及其盜版產品在社會上大量存在,因此,就難免會被別有用心的人利用,作為破壞單位或他人計算機的工具。這樣,該邏輯炸彈已經成為計算機信息系統安全的壹個隱患。只要它在社會上繼續存在壹天,這種危險性壹天就不能排除。
7 判定技術保護措施是否合法的界限
在本案案發當時,就有報紙宣揚江民公司在本案中的做法。這種輿論在公安機關對江民公司進行處罰之後,消失了壹段時間;後來就又有所擡頭,並且是以學術討論的形式出現。相關文章都探討了在軟件版權保護中實施"正當防衛"的可行性。
1996年12月通過的《世界知識產權組織版權條約》(以下簡稱"《版權條約》")"關於技術措施的義務"的第11條規定:"締約各方應規定適當的法律保護和有效的法律補救辦法,制止規避由作者為行使本條約或伯爾尼公約所規定的權利而使用的、對就其作品進行未經該有關作者許可或未由法律準許的行為加以約束的有效技術措施。"
在《版權條約》第11條做出規定要求各國立法保護作者的加密措施、制止解密的情況下,澄清這壹問題尤其必要。否則,壹旦《版權條約》本身在中國生效,或者,在2001年10月27日修改的著作權法中已經明確規定下列情況——"未經著作權人或者與著作權有關的權利人許可,故意避開或者破壞權利人為其作品、錄音錄像制品等采取的保護著作權或者與著作權有關的權利的技術措施的,法律、行政法規另有規定的除外"——為侵權行為的情況下,軟件開發者可能就會以為,他們可以采取壹切技術手段(包括本案中江民公司所采取的技術手段在內)來保護自己的商業利益。
下面給出用以確定技術保護措施是否合法的兩條標準。
筆者認為,判定技術保護措施是否合法的界限已經由《版權條約》(當該條約在中國生效後)和我國現行法律法規給出。
(1)從《版權條約》第11條看,它要求各國立法所保護的作者的"有效技術措施",在目的方面應當是"為行使本條約或伯爾尼公約所規定的權利而使用的",在範圍方面應當是"對就其作品進行未經該有關作者許可或未由法律準許的行為加以約束的"。
就本案而言,江民公司采取技術保護措施時,至少有壹個方面的欠缺,即它僅僅考慮了對"未經該有關作者許可"的行為"加以約束",卻沒有考慮到對"法律準許的行為"(如合理使用等情況)不能"加以約束"。
(2)從我國現行法律法規看,《安保條例》第23條規定,對"故意輸入計算機病毒以及其他有害數據危害計算機信息系統安全的",要給予行政處罰;刑法規定,"故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的",要追究刑事責任。
因此,技術措施不能出現"危害計算機信息系統安全"或"影響計算機系統正常運行"的效果。否則,就可能受到行政處罰或被追究刑事責任。
8 立法建議
根據現行刑法、新著作權法、我國其他法律法規和《版權條約》的精神,為解決可能出現的著作權人濫用技術保護措施以保護其著作權的問題,應當在修改《安保條例》和《計算機軟件保護條例》時,專門規定技術保護措施的合法與否的標準,以便與現行刑法、新著作權法的相關規定相配套。
這壹標準應當體現下列要素:
(1)措施的目的——為行使著作權法所規定的權利而使用;
(2)措施的範圍——對就其作品進行未經作者許可或未由法律準許的行為加以約束;
(3)措施的後果——不能 "危害計算機信息系統安全"或"影響計算機系統正常運行"。