[法律研究]恶意软件法律问题浅析
作者:刘旭霞 韩慧玥
《桂海论丛》 2007年 第04期
多个检索词,请用空格间隔。
摘要:随着网络科技的发展,一种新型的介于正规计算机软件与病毒软件之间的恶意软件,屡屡扰乱广大计算机用户的正常生活,构成了一系列的侵权行为。我国目前的法律在这一领域缺失,因此虽然有相关刺益团体展开了诉讼,却因为没有相关法律规制以及诉讼主体不明确等原因造成诉求未果。文章结合这一现实情况,探析规制恶意软件的法理基础,寻求规制恶意软件的法律对策。
关键词:恶意软件;理论基础;法律思考
中图分类号:D920.0 文献标识码:A 文章编号:1004-1494(2007)04-0087-03
现阶段,恶意软件侵害广大用户合法权益现象越来越多,因此提起的诉讼也屡见不鲜。2006年11月9日,中国反恶意软件联盟发起人董海萍诉北京阿里巴巴信息技术有限公司、国风因特软件(北京)有限公司恶意软件纠纷一案,在北京市朝阳区人民法院开庭审理。2006年11月初,拥有网络实名、雅虎助手、雅虎WIDGET等软件,向网络用户提供免费服务和免费客户端软件的北京阿里巴巴信息技术有限公司以不正当竞争将北京三际无限网络科技有限公司告上法庭。2006年11月17日,国内著名的反病毒软件公司瑞星推出卡卡上网安全助手,首次公开将恶意软件作为清除对象,同时也将面临着被清除软件的厂商起诉的风险。针对恶意软件提起的诉讼和因被当作恶意软件而提起的不正当竞争诉讼,都面临着一系列的法律问题,既有实体法上的缺失,也有程序法上的不足,需要尽快完善。
一、恶意软件概述
(一)恶意软件的概念
恶意软件源于国外的“Badware”一词。在著名的StopBadware.org网站上,“badware”定义为:是一种跟踪你上网行为并将你的个人信息反馈给“躲在阴暗处的”市场利益集团的软件,并且,他们可以通过该软件能够向你弹出广告。
中国互联网联盟公布了恶意软件的定义,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律、法规规定的计算机病毒除外。本文作者也认可这一定义。
(二)恶意软件的特点
恶意软件通常具有以下几个特点:1.采用多种技术手段,强行或者秘密安装,并抵制卸载;2.强行修改用户软件设置,如浏览器主页,软件自动启动选项,安全选项等;强行弹出广告,或者其他干扰用户占用系统资源的行为;3.侵害用户信息和财产安全;4.未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。
恶意软件同计算机病毒不同。计算机病毒是指自身具有;或使其它程序具有破坏系统功能;危害用户数据或其它恶意行为的一类程序。病毒会让你电脑瘫痪或系统不稳定或是让你数据泄密,而恶意软件则只是让你运行时,不受控制的打开或屏蔽某些网站或其它可执行文件。从这种意义上来说,恶意软件与病毒仅有一步之遥。
另外,恶意软件与合法软件也不同。合法软件是指为方便用户使用计算机工作、娱乐而开发的一类软件,属于白色软件。合法软件的传播受《中华人民共和国著作权法》和《计算机软件保护条例》的保护,而恶意软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带,侵害电脑用户的合法权益。这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。
(三)恶意软件的分类
根据不同的特征和危害,恶意软件主要有如下几类:广告软件(Ad Ware)、间谍软件(Spy Ware)、浏览器劫持程序、行为记录软件(Track Ware)、恶意共享软件(malicious shareware)等。随着网络的发展,恶意软件的分类会越来越细,一些新种类的恶意软件将不断出现,分类标准必然会随之调整。
二、对恶意软件予以法律规制的法理基础
恶意软件为广大计算机用户带来诸多危害,侵犯了他们的合法权益,虽有反恶意软件联盟等专门机构和组织提起过诉讼,但因法律上的缺失以及证据不足等原因屡遭败诉。因此,我们必须从法源上探析规制恶意软件的法学理论基础。
(一)秩序与安全:规制恶意软件行为的传统法理价值
法的目的性价值构成了法律制度所追求的社会目的,反映着法律创制和实施的宗旨。传统的法的目的性价值包括秩序、自由、效率、正义等。随着对人权的重视,安全价值也愈显其重要性。恶意软件虽然存在法律规制的缺失,但从法的价值理论来看,仍然有其规制的基础,因为恶意软件首先违背了秩序与安全价值。
1.实现法的秩序价值必须规制恶意软件行为。秩序价值是法的首要的和最基本的价值。法的秩序价值具体来说有四个方面:第一,法在维护阶级统治秩序方面的价值;第二,法在维护权力运行秩序方面的价值;第三,法在维护经济秩序方面的价值;最后,法在维护正常的社会生活秩序方面的价值。值得注意的是,恶意软件行为是在巨大的经济收益的刺激下出现的,而且该行为不符合市场经济正常的秩序和规范,所以,恶意软件行为肯定会扰乱整个经济秩序,最终影响经济的正常发展。
作为法律意义上的“秩序”,兼具有实质性和形式性两种涵义。实质意义上的“法律秩序”,主要指一种安宁、和平、有序的社会合法状态;形式意义上的“法律秩序”,主要是指法律必须具备一定的稳定性、连续性以及法律规范之间的相互协调性。作为法律价值形态之一的“秩序”,是指人们的生存、安全需要有法律所体现和保障;以及法律部门之间、法律规范之间的某种共通性、协调性与一致性,前法与后法的连续性。前者是“法律秩序”的实质价值,后者是“法律秩序”的形式价值。具体到本文中,恶意软件的行为违反的主要是“法律秩序”的实质价值,恶意软件行为的大量存在干扰了广大计算机用户的正常生活,对用户的隐私也产生了一定的威胁,更有一些恶意软件会使计算机用户在不情愿的情况下进入一些收费的服务网站,侵犯了用户的经济安全。从更深层次的意义上说,恶意软件行为将会对整个社会的安宁、和平和有序产生危险,不利于整个社会生活秩序的正常发展。对恶意软件予以规制,有利于稳定计算机用户正常的上网秩序,有利于维护正常的交易秩序,有利于保障安宁、和平、有序的社会状态,从而有利于实现秩序的价值。
2.保障法的安全价值必须规制恶意软件行为。安全是人的基本需求。马斯洛认为:“我们可以将整个机体描述为一个寻求安全的机制,感受器、效应器、智力以及其它能力则主要是寻求安全的工具。……这个压倒一切的目标不仅对于他目前的世界观和人生观,而且对于他未来的人生观都是强有力的决定因素。”而秩序价值的核心也是安全,没有安全就没有秩序。
法律所具有的满足人们对安全的需要的价值就是法的安全价值。在构建和谐社会的大背景下,法的安全价值突显其重要性,其地位得到了提升。霍布斯将人的安全比作人间至高无
上的“法律”,突出强调了法的安全价值。雷加森斯·西克斯也认为:“法律本身并不是一种纯粹的价值,而是一个旨在实现某些价值的规范体系。它的首要目的是实现集体生活中的安全;人类之所以创制法律,乃是因为他们想使他们的人际关系与财产关系得到保护和具有确定性。……如果法律秩序不表现为一种安全的秩序,那么它根本就不能算是法律”。对于自然人而言,其安全价值主要体现为两个方面:人身安全和财产安全。前者是主体得以生存的必备条件,是由人肉体器官的脆弱性、生命的短暂性及不可复生性决定的;后者是由财产的有限性、流动性及易失性决定的。财产安全既包括对财产现有利益享有的安全(静的安全),也包括对财产取得新利益之活动的安全,即交易安全(动的安全)。恶意软件的行为违反财产安全:其一,恶意软件使得部分计算机用户在不知情或不情愿的情况下进入收费服务,导致用户静的财产安全被侵害;其二,恶意软件行为破坏了交易安全,影响了用户对所期待的新利益的取得,影响了用户财产的动的安全。更甚者,会侵犯整个社会的交易秩序与交易安全,影响整个社会的经济安全。规制恶意软件行为,有利于维护广大计算机用户的财产安全,有利于维护网络交易安全,有利于维护整个社会的经济安全,有利于法律安全价值的实现。
(二)社会和谐:规制恶意软件行为的现实法理价值
恶意软件行为对和谐社会的实现构成冲击,应该予以规制。在和谐世界的环境下,构建社会主义和谐社会成为我国生活的主题,社会和谐也是现实法理价值的重要体现。社会主义和谐社会特征是:首先是民主法治,即社会主义民主得到充分发扬,依法治国基本方略得到切实落实。其次是公平正义,即社会各方面的利益关系得到妥善协调,社会公平和正义得到切实维护和实现。再次是诚信友爱,即全社会互帮互助、诚实守信,全体人民平等友爱、融洽相处。最后,人与自然和谐相处就是生产发展,生活富裕,生态良好。同时,和谐社会坚持的一大宗旨便是“以人为本”。恶意软件行为首先便侵犯了秩序价值和安全价值,不利于民主法治目标的实现,也不利于社会和谐的实现。其次,恶意软件行为也在利益关系上有失偏颇,实现了部分个体对巨额利益的追逐,却忽视了对社会公共利益的考虑,显然也是违背公平正义这一和谐社会要求的。再次,恶意软件行为会使广大计算机用户对网络环境产生更多的不信任,不利于整个社会诚信制度的建立,不利于整个社会平等友爱、融洽相处环境的形成。最后,恶意软件行为会对人类安全的需求构成危险,不利于实现人与社会的和谐。
基于以上分析,规制恶意软件行为能够为实现和谐社会带来积极因素,为构建和谐社会提供秩序上的保证,为构建和谐社会提供安全上的条件,为构建和谐社会提供诚信之光,从而促进和谐社会的实现。
三、规制恶意软件的法律思考
作为上层建筑的法律是滞后于社会存在的,因此,我们必须不断完善相关立法,使规制恶意软件首先有法可依;同时,还要明确法律责任,并严格执法,加大对恶意软件的打击力度,以实现社会的秩序与安全,实现真正的社会和谐。
(一)事前规制——完善立法,加强对恶意软件的规制
1.从立法上明确恶意软件的定义。虽然目前行业协会对恶意软件进行了定义,但要使恶意软件得到法律上的规制,仅仅有行业协会的定义是不够权威的,也不利于法律对其进行准确和充分的规制。因此,应该首先在相关的法律中定义恶意软件,使其标准更明确。
2.补充《消费者权益保护法》中有关知情权的规定。恶意软件的特征之一就是不经用户的许可,或者未加任何提示地向用户计算机中安装第三方的商业软件,这种行为无疑是侵犯了广大计算机用户的知情权,将这项知情权纳入到消费者知情权的范围内,有利于恶意软件得到更加广泛的法律规制。
3.引入《反不正当竞争法》对恶意软件的规制。恶意软件的非正常转播,损害了合法软件的传播环境,使一些开展正当网络服务的软件厂商在软件的发布和使用上处于相对不利的地位。另一方面,许多“恶意软件”要么没有将其功能告诉用户,要么作虚假宣传将自己包装成一匹“披着羊皮的狼”以诱骗用户。恶意软件中的恶意广告软件(Ad Ware)散播虚假的广告信息,这种行为更是一种不正当竞争的行为,在市场经济的环境下,应该引入《反不正当竞争法》对恶意软件进行规制,阻断恶意软件存在的基础。
4.完善有关软件管理组织的立法。网络是一种专业技术性很强的新兴事物,从开发到利用都涉及很多专业知识。而且软件本身具有两面性,利用好就能给人类带来利益,利用不好就可能产生侵权行为。一方面,建立一个专门管理软件的机构,对所有软件进行备案,对软件的传播进行强有力的管理和监督.对于利用该软件进行的任何行为,由该组织进行跟踪监督,建立一整套预防恶意软件侵犯广大计算机用户合法权益的事前机制。另一方面,对于投资商的捆绑软件通过法律实行实名制监管,建立一个网络安全信息资料库使各个投入使用的软件都能找到它们的最初开发商,这样不管什么时候在任何一台计算机上发现恶意软件,都可以通过网络安全信息库找到它的最初研发者,适用法律的强制性效力勒令其进行软件的改进或赔偿因此给用户带来的损失。为将来可能的诉讼提供有力的证据搜索机制。
(二)事后规制——确认法律责任,加强对恶意软件的规制
1.民事责任。民事责任是指民事主体因违反合同或者不履行其他民事义务所应承担的民事法律后果。《中华人民共和国民法通则》第一百三十四条规定的承担民事责任的十种方式,可以单独适用,也可以合并适用。对恶意软件侵权责任的承担方式,应该分情况讨论。对各种恶意软件侵权行为,首先应该承担的是停止侵害的民事责任;其次,由于恶意软件大多不能卸载,所以应该承担恢复原状的民事责任;对于恶意共享软件(malicious shareware)这种恶意软件,还要承担返还财产、赔偿损失等民事责任;对于间谍软件(Spy Ware)和行为记录软件(TrackWare)等,由于侵犯了用户的隐私及个人信息等人身权,还应该承担消除影响、赔礼道歉的民事责任。
2.刑事责任。刑事责任是指违反刑法上的义务所应承担的法律责任。恶意软件侵权案件一般来说不构成刑事责任,当严重的恶意软件侵权行为,扩展至整个计算机信息系统,破坏了整个计算机信息系统的安全,则可能会构成破坏计算机信息系统罪,就要承担刑事责任。刑事责任的主体,如果是自然人的.可处5年以下有期徒刑,并处罚金,如果是法人的,可对其主要责任人员和法定代表人处以自由刑,并处法人没收财产,罚金等财产刑。
3.行政责任。恶意软件侵害网络用户权益的行为可以根据《中华人民共和国治安管理处罚法》第二十九条的规定,处五日以下拘留;情节较重的,处五日以上十日以下拘留。软件的传播者以及利用传播行为营利者,都应当承担相应的法律责任。受行政处罚的主体应当是自然人和法人的法定代表人。同时,工商行政管理机关还可以处吊销相关机构营业执照、没收违法所得等行政处罚。
4.经济法责任。经济法责任有不同于民事责任、刑事责任和行政责任的独有特征,即“惩罚赔偿性责任”。恶意软件大量充斥市场,一方面是由于法律的缺失,但更重要的一方面是因恶意软件背后有巨大的经济利益。恶意软件的侵权成本主要由两部分组成,一部分是生产成本,另一部分是附加成本,包括赔偿恶意软件制作发布人的经济损失、被处罚款、公开道歉的费用及自身形象因被判侵权而受到损害带来的经济损失。恶意软件侵权预期收益就是通过恶意软件侵权直接获得的经济利益,主要有因其流氓行为而增加的市场份额收益、广告收益、及销售或自用其非法获取网络用户隐私信息所得收益。附加成本的大小主要取决于法律的规定,其开放性主要取决于法律对恶意软件的确定及认定标准。而我国现行法律对恶意软件缺乏明确的定义,加之互联网用户分散,大多数用户的网络技术水平及权利保障观念有待提高,也没有足够的精力起诉,恶意软件侵权法律责任又比较低,因而使得恶意软件侵权成本大幅降低,相应地恶意软件侵权获得之收益值较高,从而导致了恶意软件的盛行。若引入惩罚赔偿制度,对恶意软件行为人予以经济法责任,不仅要负担受害用户一般的民事赔偿,还要对其侵权行为负担数额较大的惩罚性赔偿:2倍或者3倍或者更加严厉,将增加其违法成本。作为市场上的“经济人”,在对成本和收益分析比较后,会作出符合自己利益最大化的选择。因此,对于恶意软件侵权行为施以经济法责任,使其违法成本大于因违法而得的收益,是一种有效的控制恶意软件的事后手段。
责任编辑 陆 莹