“流氓”还是“良民”?——从“反流氓软件第一案”终审结果所引发的思考
2007年3月 23日,被称为“中国反流氓软件第一案”的“中国反流氓软件联盟”成员孙中鹏状告北京中国搜索在线信息技术有限公司(以下简称“中搜”)的“IGphone”软件侵权案,有了最终结果。北京市第一中级人民法院终审认定,因孙中鹏没有证据显示其电脑价值因安装被诉软件而受贬损,也没有证据显示其因此丧失了具体的可得利益,驳回了他要求中搜公司赔礼道歉、停止侵害并赔偿经济损失人民币 94元的诉讼请求。至此,“中国反流氓软件第一案”以“中国反流氓软件联盟”败诉而告终,而留给广大网民和法律工作者的,是关于中国在恶意软件侵害网民利益方面的法律空白的思索。“流氓软件”概念STRONG>
曾几何时,世界上最大的上网群体——中国网民们在被病毒、垃圾邮件的侵害中不断斗争、成长时,又有一种较新的、介于病毒和合
http://www.dffy.com/upfile/20070404161012-0.gif
法软件之间的程序,已经对互联网和计算机造成了不小的影响。这种程序大多具有安装过程隐蔽、后台运行、强加广告、难以彻底卸载等特点,被网民们形象地称作“流氓软件”。
“流氓软件”还不像计算机病毒那样具有明确的法律概念,本文依照中国互联网协会2006年11月 22日公布的恶意软件最终定义,将其暂称为“恶意软件”。具有以下特征之一的即为恶意软件:
1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。①
从以上的定义可以看出,恶意软件与计算机病毒还是有很大区别的。《中华人民共和国计算机信息系统安全保护条例》中的计算机病毒定义为:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。而恶意软件不会破坏计算机功能或者毁坏数据(仅修改部分系统配置和数据),也不会自我复制,恶意软件的传播主要依靠其他软件的捆绑安装或网页插件下载。正因为恶意软件并未触及法律底线,所以肆无忌惮,广泛传播。
猖獗的原因STRONG>
恶意软件的猖獗与巨大的利益驱使是分不开的。在中国互联网界,恶意软件已形成一条众所周知的灰色产业链。据《财经时报》报道显示,恶意软件大多与国内某些热门的共享软件进行捆绑,如:弹出窗口插件(恶意软件的一种)的作者与热门共享软件作者联系,向其出一定的价格将广告插件捆绑在共享软件上,之后再向下游的广告客户销售这些插件,用户在安装共享软件后同时也安装了广告插件,电脑就会自动弹出广告窗口。据报道,全国已有数百家依靠各种插件为生的组织,其中不乏“正规公司”,有的年收入已超过千万。
但目前尚无法律条文对强行播放广告等行为进行约束。而相对于电视台、电台、报刊等媒体,这种弹出式广告之类受到的法律法规a>约束显然更小,因此在巨大利益诱惑下,越来越多的恶意软件制造者进入此行业。
网民的觉醒STRONG>
近年来,恶意软件有愈演愈烈之势,深受恶意软件之害的网民们逐渐觉醒。要制止恶意软件的“恶行”,不能只靠网民们自身在个人电脑上与恶意软件“作战”,而是应该拿起法律的武器,对恶意软件侵害用户权益的行为提起诉讼,把“战场”扩大至法庭。从 2006年9月初开始,网民们纷纷向恶意软件宣战。
2006年9月 4日,民间“中国反流氓软件联盟”成员孙中鹏以中国搜索公司“IGphone”软件及其强制安装的“网络猪”流氓软件侵犯用户权益为由,向北京市海淀区人民法院提起诉讼。这成为中国“反流氓软件”的第一案。
2006年9月 11日,“中国反流氓软件联盟”发起人董海平以阿里巴巴公司和国风因特软件公司“雅虎助手”软件涉嫌侵犯用户权益为由,向北京市朝阳区人民法院提起诉讼。
2006年9月 18日, “中国反流氓软件联盟”成员以很棒公司的“很棒小秘书”软件涉嫌强制安装并侵犯用户隐私为由,向上海市浦东新区人民法院提起诉讼。
2006年9月 19日,“中国反流氓软件联盟”成员以易趣公司的易趣工具条软件有强制安装等恶意行为侵犯用户权益为由,向重庆市沙坪坝人民法院提起诉讼。
2006年9月 20日,“中国反流氓软件联盟”向中国消费者协会投诉“中国缘”网站以MSN骚扰方式推广其网站的行为。
2006年9月 25日,“中国反流氓软件联盟”成员在北京、济南、乌鲁木齐、西宁、大连、天津、武汉、成都等八个城市同时发起对千橡公司的诉讼,诉千橡公司旗下的IEBAR、dudu加速器等软件有浏览器劫持、强行弹出广告等恶意行为。
2006年10月 10日,“中国反流氓软件联盟”成员以CNNIC(中国互联网信息中心)“中文上网”软件存在强制安装、无法彻底卸载等恶意行为,向广州市天河区人民法院提起诉讼,把CNNIC推上被告席。CNNIC因此成为国内首家被起诉的互联网官方机构。
2003年10月 20日,“中国反流氓软件联盟”以中国电信互联星空存在劫持浏览器、强制插入广告等恶意行为为由,向国家信息产业部、中国电信总公司正式投诉中国电信。②
恶意软件是否违法?STRONG>
我们为网民们极强的法律意识叫好,然而,由于国内有关互联网方面的法律法规a>制定的相对滞后,恶意软件的行为是否违法很难有个明确的说法。但是,从现有的法律法规a>来看,恶意软件确实在一定程度上存在违法行为。
1)违反《合同法》
《中华人民共和国合同法a>》第三条规定:“合同当事人的法律地位平等,一方不得将自己的意志强加给另一方。”
安装过软件的人都知道,在运行软件安装程序后,首先显示的是一份《最终用户许可协议》(End User License Agreement ),这份协议是软件作者或发行者与用户之间的合法合同,软件作者或发行者通过此协议将软件直接或间接授权给用户使用。用户只有在接受此协议的条款后才能继续安装和使用此软件。但是,某些共享软件许可协议条件苛刻,甚至含有对用户不利的条款,如“本软件为共享软件,不对任何用户使用此软件所遭遇到的任何理论上的或实际上的损失承担责任”,用户有权利选择安装或不安装该软件。然而,某些捆绑了恶意软件的共享软件,并不提供被捆绑插件的说明,也未声明捆绑插件造成的损失由谁来负责,有的甚至连 EULA都不提供,直接让用户安装使用,恶意软件就随着共享软件的安装而同时被安装,用户自始至终都不知道已经被一纸协议“忽悠”了。这种行为违反了诚信和公平原则,共享软件作者和恶意软件作者一样难辞其咎。
2)违反《消费者权益保护法》
首先我们确定用户和恶意软件作者之间是否构成消费关系。
从法律上讲,消费者是为个人的目的购买或使用商品和接受服务的社会成员。消费者主体应当具备以下几个要素:第一,消费者应当是公民为生活目的而进行的消费,如果消费的目的是用于生产,则不属于消费者范畴;第二,消费者应当是商品或服务的受用者;第三,消费的客体既包括商品,也包括服务;第四,消费者主要是指个人消费。
网络用户作为个人下载安装共享软件或浏览网页,是出于生活目的而不是生产目的。共享软件作者向用户提供软件,网站向用户提供信息,软件和信息都可视为商品或服务,用户自然是其受用者,虽然用户不直接向共享软件作者和网站经营者支付费用(共享软件作者和网站经营者通过广告等形式间接获利,有的共享软件需要注册付费后使用),但具备以上四个要素,用户与共享软件作者和网站经营者之间的消费关系不容置疑,,更不用说网络运营商向用户提供的上网客户端程序了。
而恶意软件通过捆绑共享软件或以网页插件形式安装到用户电脑中,恶意软件便是商品或服务的一部分,同样和用户构成消费关系,不能因为恶意软件是“附赠”的就否认这种关系。
《中华人民共和国消费者权益保护法》第八、九、十条规定,消费者享有知情权、自主选择权和公平交易权。而某些捆绑了恶意软件的共享软件仅仅明确说明捆绑插件的功能如“在任何网页都可进行搜索、可以翻译网页、实用的上网工具”等,而对捆绑插件会更改浏览器主页、随系统自启动而占用资源等负面作用不予说明,侵犯用户知情权。有的共享软件安装过程中不给用户选择是否安装捆绑插件的选择,强迫用户安装,有的网站在用户浏览网页时自动后台下载恶意软件安装,侵犯用户自主选择权和公平交易权,如媒体播放工具“暴风影音”曾因强制安装恶意软件而被国内著名软件下载网站“华军软件园”封杀。
在恶意软件侵犯消费者权益行为中,共享软件作者和网站经营者同样有不可推卸的责任。
3)侵犯公民财产权
《中华人民共和国民法通则a>》规定:“公民的合法财产受法律保护,禁止任何组织或者个人侵占、哄抢、破坏或者非法查封、扣押、冻结、没收。”
计算机用户的电脑部件如CPU、硬盘、内存等当然属其合法财产。恶意软件通过强制安装占用用户硬盘空间,自动运行占用CPU 使用率、内存空间等系统资源,甚至有改动系统设置等行为,虽然并未对CPU、硬盘、内存等计算机物理部件直接造成物理伤害,但作为一种程序,其运行必然占用CPU使用率、硬盘空间及内存空间,理论上会使用户电脑损失一部分系统资源,使用户运行正常程序时受到影响。用户损失的系统资源目前看来应定为虚拟财产,但法律上对此还没有一个正式的概念,虚拟财产损失能否计算,这一点还值得商榷。
4)侵犯公民隐私权
某些恶意软件在运行过程中,监视用户的上网数据,刺探用户的上网喜好,收集用户的Email地址等,将获得的信息出售给第三方以供其市场分析。这也是用户为什么会收到大量带有广告的垃圾邮件的原因之一。这显然侵犯了用户隐私权。
但《中华人民共和国民法通则a>》?并未将隐私权作为一项独立的人格权加以保护,司法上只能根据最高人民法院的司法解释通过名誉权对隐私的间接保护,“ 对未经他人同意,擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私,致使他人名誉受到损害的,按照侵害他人名誉权处理。”,这使得构成恶意软件侵犯隐私权就必须以其侵犯名誉权为前提条件。
网民的失利
当网民们纷纷发起对恶意软件的诉讼时,却频频遭遇败诉的结果。
2006年11月 17日,原告董海平状告北京阿里巴巴信息技术有限公司、国风因特软件(北京)有限公司一案,因证据不足被北京市朝阳区法院一审驳回而败诉。
2006年12月 18日,孙中鹏状告中搜公司一案,在北京市海淀区法院一审宣判:因证据不足,法院驳回了孙中鹏的全部诉讼请求。
2006年12月 18日,原告李先生状告千橡公司一案,因证据不足被北京市海淀区法院一审判决驳回原告诉讼请求。
2007年3月 23日,孙中鹏状告中搜公司一案,因缺少有力证据证明软件对电脑造成损害,北京市第一中级人民法院终审驳回孙中鹏的全部诉讼请求。
全面败诉原委
至此,互联网业的几起“反流氓软件”案均以网民的败诉而告终。笔者分析了孙中鹏状告中搜案的一审终审材料,认为有以下两大原因导致败诉。
1)“流氓软件”、“恶意软件”无明确法律定义
“流氓软件”这一称呼是由网民创造并在网络上流传,以其形象性很快为大多数网民认可并使用。“恶意软件”则有一定的“身份”,从一般的称呼到被正式定义:中国互联网协会 2006年11月20日公布的恶意软件最终定义正式将此类软件命名为“恶意软件”。
但无论是“流氓软件”还是“恶意软件”,在没有正式的法律来确定其概念之前,法院只能以“软件”这一正式名词来称呼它,而不能接受相对主观的“流氓”、“恶意”等称呼,因此,以“流氓软件”或“恶意软件”这些名称来起诉此类软件,很难得到法院的认可并获支持。
2)侵权取证困难重重
对于使用电脑的用户来说,恶意软件对系统造成的恶劣影响显而易见。但是要证明恶意软件侵权却是相当困难。这成为败诉的最主要原因。法院认定孙中鹏的证据存在以下缺陷,笔者对此逐一进行分析。
1、孙先生持自己携带的笔记本电脑到公证处进行公证,其笔记本电脑本身所安装各种程序以及是否携带病毒等情况均不明。
在这一点上,孙中鹏的证据确实存在不严密的情况。在公证处公证使用的是孙中鹏自己的普通笔记本电脑,除安装了操作系统之外,还安装有其他应用软件。在安装“IG1.0”之前用“ Ewido Anti-malware 3.5”(德国的反间谍软件产品,现更名为 Ewido Anti-spyware)和“流氓软件清理助手”(国内一款专门清理恶意软件的免费软件)对电脑进行了扫描,没有提示找到病毒或恶意软件。但是,仅凭这点这并不能100%证明电脑系统没有问题。因为这两款软件只是众多杀毒软件、反间谍软件、病毒专杀工具等的一小部分,没有任何一款杀毒软件是完美的,都可能存在漏报、误报等情况。
2、公证程序不完整,公证书载明下载软件为“ IGphone”软件,但载明安装软件为“IG1.0”软件。
法院的质疑无可厚非,因为软件业发展相对较快,某些小型共享软件的更新升级速度是以日为单位。公证书只能证明公证之时的版本的软件,而对版本升级后甚至升级后改名的软件无证明力。并且对于掌握软件源代码的开发者来说,修改或删除软件中对其不利的部分再进行发布轻而易举。
3、孙先生使用“ Ewido Anti-malware 3.5”及“流氓软件清理助手”软件进行检测,但上述软件并非相关部门认可的标准检测软件,其生产者也不具有鉴定资质。
互联网界开发杀毒软件、反间谍软件等企业多如牛毛,更有不少编程爱好者自主开发的反毒工具、恶意软件清除工具等,任何程序都有BUG,杀毒软件也不例外。而在反病毒、反恶意软件的标准上,各杀毒软件不尽相同:某些恶意软件被某一杀毒软件认为是病毒或带有恶意,但其他杀毒软件不认为其有危害,杀毒软件在反病毒上漏报、误报的现象也是层出不穷,更不用说在反恶意软件上的表现了。正因为软件固有的缺陷,所以目前还没有一款被相关部门认可的权威检测软件,检测标准也就无从谈起。
4、孙先生提供证据未能证明其电脑价值因安装“ IG1.0”软件和“IGphone”软件而受贬损,以及该损害后果具有的财产价值,也没有证据显示孙中鹏因此丧失了具体的可得利益。
这一点涉及到了虚拟财产的估值问题。关于虚拟财产,最高人民法院的司法解释是:“特殊的网络游戏环境,令虚拟物品具有了无形财产的价值,可以获得法律上的适当评价和救济。”但这仅仅是对网络游戏中的虚拟物品的解释,至于软件产生的CPU占用率、硬盘空间占用、内存空间占用等系统资源,却没有正式的解释。因此,对于恶意软件运行占用系统资源是否侵犯虚拟财产,很难做出定论,也就很难对虚拟财产作估值。
5、孙先生提供证据不能证明使用“IG1.0 “软件和”IGphone“软件与显示的数据之间具有必然的因果关系。
孙中鹏在使用”Ewido Anti-malware 3.5“和”流氓软件清理助手“扫描完电脑后,下载安装了”IG1.0“软件,显示”IG1.0“加载到系统自启动项,再次对系统进行扫描,显示”找到一个感染目标“,卸载” IG1.0“后进行扫描,仍显示”找到一个感染目标“。孙中鹏据此认为”IG1.0“卸载后的残留部分随电脑启动而启动,占用了系统资源,影响了电脑正常使用。虽然检测到”感染目标“是在安装及卸载”IG1.0“之后,但这也并不能100%证明是由” IG1.0“引起的,其他原因如文件冲突、尚未排除的病毒因素等也可能导致这种结果。
笔者认为要100%证明”IG1.0“是否导致此类问题,就必须在专家指导下,从被检测的计算机入手,从硬件的完好无损、正版操作系统的正确安装、驱动程序的正确安装及未安装其他不相关软件等方面进行严格控制和监视,确保试验的硬件环境和软件环境不受其他因素干扰。但在这方面,国内尚无专门法律规定和权威官方机构鉴定。
国外立法状况
2004年,美国犹他州通过了第一部针对间谍软件的法案《间谍软件控制法》(Spyware Control Act),随后美国18各州相继颁布相关法律。
2005年,美国加州《保护消费者反间谍软件法》(Consumer Protection Against Computer Spyware Act)正式生效,该法在对”间谍软件“定义中指出,收集和传送用户的个人信息和有关电脑使用数据(包含但不限于用户正在或已经浏览的网页),这些特点和中国国内一些恶意软件特点相似。
此外、印度、俄罗斯等国也制定了相关反间谍软件法律。
几点建议
1)加快立法进程
在互联网发展日新月异的当代,中国必须加快关于互联网法律法规a>的立法进程,以适应社会发展的需要。值得欣慰的是, IT业35名知名人士组成的民建中央企业委员会IT小组,以民建中央的名义在全国两会期间提出了关于制定《恶意软件惩治办法》的提案,人大已受理此提案,预计半年之内会有结果。至此,中国反恶意软件立法进程已进入初始阶段。
2)设立权威的官方检测鉴定机构
国内目前还没有能够对计算机软件、硬件和网络进行准确检测的官方权威机构。在法庭上对恶意软件举证不能仅靠一纸公证书,毕竟,计算机取证具有很强的专业性、复杂性,并不是每个公证处都有能力进行公证,也不可能在法庭上专门配备计算机取证人才a>。如果成立一个权威的官方检测鉴定机构,那么法院涉及到的计算机取证方面的问题,都可以委托该机构来做,由该机构出具一份具有法律效力的检测鉴定结论书,这既能使计算机取证具有公信力,也是减轻法院负担的有效办法。
3)加强国际合作
网上无国界,要想有效地对网络行为进行管理,就必须加强国际合作。中国应当在掌握本国网络发展特点的基础上,积极吸取国外网络犯罪教训,借鉴他国立法经验,促进本国网络社会健康发展,还网民们一个美好的网上家园。
① http://www.isc.org.cn/20020417/ca386749.htmA>
② http://www.94xyz.com/read.php?tid=6640A>
【参考文献】
“对‘流氓软件’的法律思考”,载http://www.chinacourt.org/public/detail.php?id=222634A>
“‘反流氓软件联盟’证据不足再次败北”,载http://www.chinacourt.org/public/detail.php?id=227628A>
“对流氓软件的一点看法”,载http://blog.sina.com.cn/u/4ae0a0d9010005mcA>
李松,黄洁,常鸣:“反流氓软件联盟告中搜终审败诉”,载《法制日报》2007年3月27日
“恶意软件惩治办法提案已受理 或沿用过去定义”,载http://it.sohu.com/20070320/n248846548.shtmlA>
SpywareGuide Staff@XBlock.comA>?? Thoughts on the Consumer Protection Against????? Computer Spyware Act?? http://www.xblock.com/articles/article_show.php?id=54A>
[澳] 张立中 著:《计算机犯罪及其法律防范》, Computer Crime and Legal Prevention,法律出版社1999年1月版
(作者声明:未经作者同意,禁止转载、复制、引用)
页:
[1]