那些推荐江民的，知不知道当年的江民炸弹

那些推荐江民的，知不知道当年的江民炸弹

下面通过对KV300逻辑炸弹案的述评，给出判定技术保护措施是否合法的界限，提出相应的立法建议。 1 为什么要在KV300中设置逻辑炸弹 1997年夏季北京的一大新闻热点，就是江民公司在其反病毒软件KV300的L＋＋版中设置逻辑炸弹一事。 为什么要在KV300的L＋＋版中设置逻辑炸弹，江民公司总经理王江民先生在《北京青年报》上撰文《不是炸弹 只是逻辑锁》作了说明，该文内容如下列三段所示。 ——KV300L＋＋版是针对英特网上的一个站点——"中国毒岛论坛"而设计的。这一网址让人们下载国内反病毒软件的密钥盘的制作工具，为盗版提供了极便利的条件。…… ——北京江民新技术有限公司在KV300L＋＋版中加入了具有高智能化逻辑判断的"逻辑锁(反盗锁)"程序。这一程序的运行机理是：在盗版者使用"中国毒岛论坛"提供的解密匙复制盗版盘，并上机运行时，其"逻辑锁"严格的逻辑判断程序即可准确识别出盗版盘来，立即启动，并锁死盗版者的电脑硬盘，迫使电脑停止工作，硬盘数据暂无法使用。所以，这一有高智能逻辑判断条件的"逻辑锁"对正版KV300的使用者绝不会有任何误锁，再说，"逻辑锁"对硬盘数据不进行破坏，盗版使用者只要向江民新技术有限公司总部承认盗版行为，经江民公司向有关部门登记备案，有利于追查盗版窝点，就可获得解锁条件，恢复硬盘工作。"逻辑锁"一经使用，立刻使盗版活动受阻，一些盗版者被迫向江民公司承认盗版经过，以换取解锁条件。 ——所有正版KV300用户，尽管放心，不会有任何问题。我们的"逻辑锁"与五家反病毒厂商提到的"逻辑炸弹"是有区别的，锁与炸弹的概念人人都清楚，锁是用来锁住某件物体，但可以用钥匙打开。炸弹是用来炸毁某个物体，使物体彻底毁坏。如果没有使用正版的KV300，"逻辑锁"将计算机的硬盘锁住，但并不破坏硬盘数据，只有软件版权拥有人，才会用"钥匙"解开，而"逻辑炸弹"将信息炸毁后，将不可修复。 值得注意的是，王江民先生在记者采访时表示：为了决定是否安置逻辑锁，我确实考虑了很长时间，并精心研究了有关法规。王江民先生还提出了"主动逻辑锁"和"被动逻辑锁"之说。他说：逻辑锁有主动和被动之分。在软件中安放"被动逻辑锁"，软件被"小偷"盗走后，在"小偷"的机器中就无法使用这种软件。如果一种软件中安放了"主动逻辑锁"，"小偷"偷走后，在"小偷"的机器里一旦使用该软件，那么，马上被"主动逻辑锁"将这部计算机的存储体锁住，就像"小偷"被反锁在屋里，只有版权所有人才能用"钥匙"解开。假如"小偷"爱面子，则只能自毁"房门"来解锁，这就叫"偷鸡不成，反蚀把米"。(引自胡奎、齐彦洵、桑司文《"炸弹"与"锁"争诸京城》，载《中国消费者报》1997年7月31日第3版。)这里，王江民先生的"逻辑锁"之说以及"主动逻辑锁"和"被动逻辑锁"的划分法是计算机界前所未闻的。 这一比喻在一段时间内误导了舆论，使得一些传媒、广大非计算机专业人员、部分计算机专业人员乃至软件知识产权工作者都不能正确认识江民公司行为的违法实质。 如果要以日常生活中的事情作一个比喻的话，我们可以这样说：家家户户安装防盗门，没有任何问题。但是，如果有人给防盗门通电，或者底层住户在自家庭院的围墙上安装防盗电网，就会产生严重问题。第一，通电防盗门安装者或围墙电网安装者(简称"安装者")无权实施这种可能危害公共安全的行为；第二，无辜者可能受害；第三，即使是小偷，如果被电击致死，一方面小偷罪不当死，另一方面"安装者"自己无权代替执法机关执法；第四，退一步说，即使被电击致死者依法确实"罪该万死"，"安装者"也无权私刑将他处死。这是法制社会的起码要求。这里，"安装者"应承担的法律责任是明显的。 2 传媒当年的反应 应当如何看待江民公司设置逻辑炸弹一事？ 1997年的夏天，由于这一事件的特殊性和复杂性在我国软件产业发展史上前所未有，不论是新闻界、软件界，还是公安机关，对此事的性质一时都难以确定，所以，传媒的态度较为谨慎。 有的报纸宣扬江民公司设置逻辑炸弹的做法。如《北京科技报》当时刊登了这样一段评论："KV300这种以攻为守的反盗版措施，既保护了购买正版消费者的利润和KV300的知识产权，又打击了盗版者，可谓一箭双雕。王江民与他的KV300现象，对于我国目前绝大多数的小型软件开发商来说，是一个宝贵的启迪，或许是小型软件开发商通往成功之路的一条捷径。"(见《北京科技报》1997年8月18日《民营产业》专版刊登的宋欣的焦点透视《王江民与KV300现象》。)舆论一度向江民公司一方倾斜。 造成舆论界上述现象的主要原因在于：第一，江民公司所谓"逻辑锁"而不是逻辑炸弹的提法给许多传媒带来理解上的困惑和认识上的混乱；第二，江民公司引出"中国毒岛论坛"的问题为其行为找到了冠冕堂皇的理由；第三，此事在国内史无前例，查处需要时日，公安机关当时未能及时表态。 3 笔者当时的评论 笔者在1997年8月11日就此事发出传真评论，要点如下： (一)设置行为性质的判断 《中华人民共和国计算机信息系统安全保护条例》(以下简称"《安保条例》")第7条规定："任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。" 《安保条例》第23条规定，对"故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的"，给予行政处罚。注意，这里规定应给予处罚的行为不仅包括故意输入"计算机病毒"，而且包括故意输入"其他有害数据"，只要这些行为"危害计算机信息系统安全"。 关于"计算机病毒"，《安保条例》第28条给出了定义，即"是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。"这里，计算机病毒定义的要件有三项：一是"破坏计算机功能或者毁坏数据"，注意"破坏计算机功能"与"毁坏数据"两者是"或"的关系，只要两者之一成立即可；二是"影响计算机使用"；三是"能自我复制"。这三项条件必须同时满足。 关于"数据"，《安保条例》并未给出定义，但在中国国家标准GB/T11457-89《软件工程术语》第2.119节给出了定义，即指"事实、概念或指令的形式化的表现形式，它适于由人或自动装置进行通信、解释或处理。"因此，计算机程序也属于"数据"的范畴之内。换句话说，《安保条例》第23条所说的"其他有害数据"，就包括计算机病毒以外的其他有害的计算机程序。 (二)设置行为的法律后果 只有我国的公安机关和/或司法机关才有权依法决定，当事人的行为是否违法、是否应当追究其法律责任。 1994年2月18日发布并于当日起施行的《安保条例》是公安机关和/或司法机关的执法依据。它是国务院的行政法规。 现将相关的法规条款照引如下。 《安保条例》第23条规定："故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，…由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。" 《安保条例》第24条规定："违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚；构成犯罪的，依法追究刑事责任。" 《安保条例》第25条规定："任何组织或者个人违反本条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担民事责任。" 因此，公安机关和司法机关可以依据《安保条例》的规定，对本事件中设置行为的性质进行认定和处理。 如果有单位或个人认为其因江民公司的设置行为而遭受财产损失，则可以依法起诉，追究江民公司的民事责任。当然，江民公司的设置行为是否违法乃至构成犯罪，是否应承担民事责任，都应由公安机关和/或司法机关最终决定。 如果公安机关对此行为作出了处理、而江民公司又不服，则它可以依照《安保条例》第26条的规定，"依法申请行政复议或者提起行政诉讼"。 另外，有必要指出，1997年3月14日修订的《中华人民共和国刑法》第286条规定： "违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。" 注意，这里第三款的"计算机病毒等破坏性程序"一语中有一个"等"字。因此，只要是故意制作、传播"破坏性程序"(并不限于计算机病毒)，"影响计算机系统正常运行，后果严重的"，就可能被追究刑事责任。这与前面关于《安保条例》第23条中的"其他有害数据"包括了计算机病毒以外的其他有害的计算机程序的解释是一致的。 新刑法将于1997年10月1日起施行。这是计算机用户必须特别注意遵守的法律规定。 (三)几点思考 1.软件著作权人的权利是有限制的 在法制国家中，权利人行使权利不可能是没有任何限制的。对于软件著作权人来说，同样如此。 我国著作权法第4条第2款规定："著作权人行使著作权，不得违反宪法和法律，不得损害公共利益。"《计算机软件保护条例》第9条第(三)项指出：著作权人以复制、发行等方式行使其著作权中的使用权，以"不损害社会公共利益"为前提。 2.软件著作权人行使权利的手段要合法 江民公司设置行为的目的，用王江民先生的话说，是为了对付某BBS论坛上变本加厉的盗版活动。如果有人利用某BBS提供的钥匙盘制作程序MK300V4来制作盗版KV300L++版钥匙盘，将会出现硬盘被锁现象。 但是，对付盗版活动的手段是否合法，是值得重视和研究的问题。 如果有人提供所谓"盗版盘制作工具"，则应当通过法律手段来追究所谓"盗版盘制作工具"提供者的责任。 如果需要追究使用所谓"盗版盘制作工具"的一般计算机用户的责任，也应当通过法律手段来解决，而不应当使他们的"硬盘被锁"(且不论是否还有其他结果)。因为软件著作权的权利人并没有权力因他人使用盗版软件而去锁住他人的硬盘。 注意这里享有某种"权利"和行使某种"权力"的差别。法制的一个基本原则就是，应由法定机关、依照法律规定、行使法定权力、追究法律责任。 计算机病毒的早期制作者中，有些人的动机就是为了防止或惩治盗版。但是，这种做法在当时就没有法律依据，并且现在已被法律所禁止。因为这样做的结果常常是"影响计算机系统正常运行"(引自新刑法)、"危害计算机信息系统的安全"、"给国家、集体或者他人财产造成损失"、"危害国家利益、集体利益和公民合法利益"(引自《安保条例》)。 因此，除非有国家有关机关的特别批准，否则，在计算机信息系统安全专用产品(即用于保护计算机信息系统安全的专用硬件和软件产品)中，就不应当包含这样的功能，即在研制者设定的条件下使计算机信息系统不能正常运行。 可以设想，在现代电子战争条件下，经过国家有关机关的批准，就可以制造计算机病毒等破坏性程序，并将其输入敌方的计算机信息系统中，以击败敌方。这种情况下的行为，才是合法的。 4公安机关的处理 1999年9月1日，公安部发出题为《增强法制观念 确保我国计算机信息系统安全》的新闻通稿，就江民公司逻辑炸弹事件正式表态。(参见《中国计算机报》1997年9月8日A3版刊登的消息《设置逻辑锁属违法行为 公安部强调保护信息系统安全》；《电脑报》1997年9月5日第1版刊登的消息《国家公安机关认定KV300L＋＋"逻辑锁"违法》。) 公安部计算机管理监察司负责人在公安部召开的新闻发布会上指出：鉴定证实，KV300L＋＋网上升级版中有破坏计算机功能的子程序。江民公司的这一行为违反了《中华人民共和国计算机信息系统安全保护条例》规定。北京市公安局计算机安全监察部门将根据以上事实对江民公司的违法行为进行处罚。 公安部有关负责人在强调了1999年10月1日起实施的新刑法第286条第3款的规定后指出：今后再发生类似事件，公安机关将会根据刑法和有关法规，予以严厉查处。 公安部有关负责人指出：计算机信息系统安全是关系到国家、集体、个人的利益的重要问题。从事计算机信息系统安全专用产品研制的单位、个人要有高度的责任心和高尚的职业道德，严格按照法律、法规和规章从事商业活动。 9月8日，北京市公安局计算机安全监察处做出处理决定。 5 "逻辑锁"还是逻辑炸弹——学术术语方面的争议 国内有关各界在认识江民公司逻辑炸弹案中存在争议和分歧的一个原因在于，江民公司的行为究竟是不是设置逻辑炸弹。 我们可以看一看，在我国权威的计算机专业辞典中，"逻辑炸弹"究竟是指什么。 定义1：所谓"逻辑炸弹"，是"在计算机内有意安排的插入程序，并在特定的时间或特定的条件下执行，有可能使整个系统瘫痪或大量信息被删除。"(引自中国计算机学会编《英汉计算机辞典》(续编)，人民邮电出版社，1995年2月第1版，第187页，"logic bombs 逻辑炸弹"词条。) 注意定义1的三个要件：一是"有意安排的插入程序"；二是"在特定的时间或特定的条件下执行"，这里的"特定的时间"与"特定的条件"是"或"的关系，只要其中之一成立就成立；三是"有可能使整个系统瘫痪或大量信息被删除"，这里的"整个系统瘫痪"与"大量信息被删除"也是"或"的关系，只要其中之一成立就成立。 定义2：所谓"逻辑炸弹"，是"在计算机安全方面，不法分子故意装入计算机系统中的在一定逻辑条件下才动作的具有窃取信息或者破坏系统功能的程序、指令。例如，将犯罪指令装入操作系统作业程序，计算机系统运行时自动检索某个文件的关键字或字母，一旦检测到该字或者发现字母消失了，'炸弹'就触发逻辑装置，从而作案者达到窃取信息或者破坏计算机系统功能的目的。"(引自计算机安全专业委员会缪道期、张鹏飞主编《英汉计算机、通信、电子金融、安全辞典》，清华大学出版社，1994年5月第1版，第245页，"logic bombs 逻辑炸弹"词条。) 注意定义2的三个要件：一是"故意装入……的程序、指令"；二是"在一定逻辑条件下才动作"；三是"具有窃取信息或者破坏系统功能"，这里的"窃取信息"与"破坏系统功能"是"或"的关系，只要其中之一成立就成立。 王江民先生关于"逻辑锁"与"逻辑炸弹"的区别的说法是：被"逻辑锁"锁住后，可以用"钥匙"打开。而被"逻辑炸弹"炸毁后，将不可修复。(引自廖天华《关于KV300L++所谓"逻辑炸弹"事件的追踪报道》，载《电脑报》1997年8月8日第4版。) 对照逻辑炸弹的上述两个定义，我们找不到"不可修复"这一要件。定义1的要件之一的"可能使整个系统瘫痪或大量信息被删除"，并没有"不可修复"的附加条件。定义2的要件之一的"具有窃取信息或者破坏系统功能"，也没有"不可修复"的附加条件。 将江民公司设置行为的技术效果与逻辑炸弹的上述两个定义相对照，我们可以得出结论：该行为确实是设置逻辑炸弹。——这应当是学术上的结论。 由于"逻辑锁"之说在计算机专业辞典中没有定义，也未在传媒报道中见到江民公司提供任何关于"逻辑锁"的定义及其来源，因此，只能认为这一说法是江民公司的一种比喻，而不是一个科学术语。该行为是否设置"逻辑锁"，无需进行讨论。我们只要知道该行为的效果符合"逻辑炸弹"的定义就足够了。 就执法机关而言，不管这种行为在学术术语上是称为设置"逻辑炸弹"，还是称为设置"主动逻辑锁"，只要该行为本身触犯了法律，就应当依法处理。就如同我们用不着花费时间去争论鲁讯小说中的孔乙己的行为究竟是"偷"还是"窃"一样。公安机关在处理本案时，就没有在术语问题上多费笔墨，而是从法律角度明确定性为"破坏计算机功能的子程序"和"有害数据"。 6 公共秩序优先还是著作权人利益优先——法律方面的争议 国内有关各界在认识江民公司逻辑炸弹案中存在争议和分歧的另一个原因在于，如何认识社会公共秩序与著作权人利益之间的冲突，在这两者冲突时如何处理。 我们通常说：著作权法的基本作用是保持作者和其他著作权人的权利与广大公众的利益尤其是教育、研究和获得信息的利益之间的平衡。注意这里提到的"广大公众的利益"。 一个社会应当保持正常的公共秩序，这是公众利益的重要内容，也是国家健康发展、民众安居乐业的起码条件。社会公共秩序相对于某个人或某个单位的著作权权益来说，前者是"公利益"，后者是"私利益"。问题不在于要不要维护"私利益"，"私利益"应当维护；问题在于维护"私利益"的结果不应当也不允许损害"公利益"。 为了认清江民公司实施逻辑炸弹行为的社会危害性，理解公安机关对江民公司行为进行制止和处罚的必要性和正确性，我们只要作一个假设。 假设软件著作权人都学习江民公司的做法，为了维护自己的著作权，都在自己的软件中设置逻辑炸弹，我们的计算机信息系统还有什么起码的安全可言？我们的社会还有什么正常的公共秩序可言？我们的国家还有什么正常的社会管理秩序可言？如果江民公司的做法可以推广，所有的软件著作权人都照此办理，岂不可以在一夜之间消灭全球的软件盗版？ 我国新刑法之所以将"破坏计算机信息系统罪"放在"扰乱公共秩序罪"这一类罪名之中；"扰乱公共秩序罪"这一类罪名之所以放在"妨害社会管理秩序罪"这一大类罪名之中，其原因就在于此。 理解了这一点，就能够理解1997年9月1日公安部有关负责人针对这一事件强调指出的——计算机信息系统安全是关系到国家、集体、个人的利益的重要问题。今后再发生类似事件，公安机关将会根据刑法和有关法规，予以严厉查处。 我们还应当注意到：江民公司逻辑炸弹存在着其制作者始料不及的社会危害性。由于KV300L＋＋版软件及其盗版产品在社会上大量存在，因此，就难免会被别有用心的人利用，作为破坏单位或他人计算机的工具。这样，该逻辑炸弹已经成为计算机信息系统安全的一个隐患。只要它在社会上继续存在一天，这种危险性一天就不能排除。 7 判定技术保护措施是否合法的界限 在本案案发当时,就有报纸宣扬江民公司在本案中的做法。这种舆论在公安机关对江民公司进行处罚之后,消失了一段时间；后来就又有所抬头,并且是以学术讨论的形式出现。相关文章都探讨了在软件版权保护中实施"正当防卫"的可行性。 1996年12月通过的《世界知识产权组织版权条约》(以下简称"《版权条约》")"关于技术措施的义务"的第11条规定："缔约各方应规定适当的法律保护和有效的法律补救办法，制止规避由作者为行使本条约或伯尔尼公约所规定的权利而使用的、对就其作品进行未经该有关作者许可或未由法律准许的行为加以约束的有效技术措施。" 在《版权条约》第11条做出规定要求各国立法保护作者的加密措施、制止解密的情况下,澄清这一问题尤其必要。否则，一旦《版权条约》本身在中国生效，或者，在2001年10月27日修改的著作权法中已经明确规定下列情况——"未经著作权人或者与著作权有关的权利人许可，故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的，法律、行政法规另有规定的除外"——为侵权行为的情况下，软件开发者可能就会以为，他们可以采取一切技术手段(包括本案中江民公司所采取的技术手段在内)来保护自己的商业利益。 下面给出用以确定技术保护措施是否合法的两条标准。 笔者认为,判定技术保护措施是否合法的界限已经由《版权条约》(当该条约在中国生效后)和我国现行法律法规给出。 (1)从《版权条约》第11条看,它要求各国立法所保护的作者的"有效技术措施"，在目的方面应当是"为行使本条约或伯尔尼公约所规定的权利而使用的"，在范围方面应当是"对就其作品进行未经该有关作者许可或未由法律准许的行为加以约束的"。 就本案而言,江民公司采取技术保护措施时，至少有一个方面的欠缺,即它仅仅考虑了对"未经该有关作者许可"的行为"加以约束",却没有考虑到对"法律准许的行为"(如合理使用等情况)不能"加以约束"。 (2)从我国现行法律法规看,《安保条例》第23条规定，对"故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的"，要给予行政处罚；刑法规定，"故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的",要追究刑事责任。 因此,技术措施不能出现"危害计算机信息系统安全"或"影响计算机系统正常运行"的效果。否则,就可能受到行政处罚或被追究刑事责任。 8 立法建议 根据现行刑法、新著作权法、我国其他法律法规和《版权条约》的精神，为解决可能出现的著作权人滥用技术保护措施以保护其著作权的问题，应当在修改《安保条例》和《计算机软件保护条例》时，专门规定技术保护措施的合法与否的标准，以便与现行刑法、新著作权法的相关规定相配套。 这一标准应当体现下列要素： (1)措施的目的——为行使著作权法所规定的权利而使用； (2)措施的范围——对就其作品进行未经作者许可或未由法律准许的行为加以约束； (3)措施的后果——不能 "危害计算机信息系统安全"或"影响计算机系统正常运行"。