众所周知,计算机软件的侵权行为具有强隐蔽性,权利人往往难以通过常规手段获取侵权的证据,以至于陷入维权困境。而在技术上,的确存在一种手段可以相对容易地获取此类侵权的证据,也即“后门取证”。比如,通过软件对权利人发出的特定命令的反馈或者软件在运行时向权利人发出的特定信息,来证明侵权人在使用权利人的计算机软件。
一、何为“后门”
在信息安全领域,后门(backdoor)通常指代一种可以绕过正常的安全性控制而获取系统或程序的控制访问权限的机制[1]。换言之,通过后门将可以实现在未经用户知情或许可、不通过身份验证的情形下访问设备,甚至取得对程序或系统的存取权。利用者可以经由后门对系统内的信息与数据进行读取,并可能实现再次入侵、隐藏操作痕迹、避过监控系统、提供恶意代码等远程控制、修改系统的操作[2]。
因此,软件或系统中留有后门可能带来安全隐患,参考《公共互联网网络安全威胁监测与处置办法》第2条,“…网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等”,该文件也将后门归于网络安全隐患的诱因。
但与其他漏洞不同,后门通常是信息产品/服务提供商或黑客故意设置的,因为在软件开发时,设置后门可以方便修改和测试程式中的缺陷。但如果后门被其他人知道(泄密或者被探测),或是软件发布前没有去除后门,那么后门将在客观上成为计算机系统安全方面的缺陷[3]。
二、“设置后门”的合法性问题
在探讨“后门取证”的合法性之前,首先应该明确“设置后门”是否合法。当前并无明确的法律规定绝对限制后门的存在,但这并不意味着在信息产品/服务中留有后门就一定是合法的。
1、法律规定态度不明确
可见,法律明确禁止的是设置恶意程序。联合后文的“安全缺陷、漏洞”,不难解释出后门程序也具有归属恶意程序的可能,有时,后门程序就是一种恶意程序。
根据案情,诗诺公司以推广、销售剑维公司的产品及售后服务为主要业务,在双方合作关系解除前后,诗诺公司以发现剑维公司在向诗诺公司销售的涉案软件中留有后门,剑维公司可通过其终端远程监测并知晓客户软件的具体使用情况和客户电脑中的内容为由,认为剑维公司的行为违法违约,向剑维公司主张六年的毛利损失共计48603225元。
上海知识产权法院(原审法院)认为:剑维公司在本案中的证据已经可以证明,剑维公司可通过软件使用人许可的“安全机制”,识别、侦测、收集盗版软件,并进行盗版软件数据的传输和使用。而诗诺公司证据中的0405邮件和李周通话录音,反映的是剑维公司监测获知的客户在电脑上使用盗版软件的情况,既没有证据表明上述0405邮件和李周通话录音所涉及的信息内容超出了上述“安全机制”所识别、侦测、收集、传输、使用的盗版软件数据的范围,更没有证据表明上述0405邮件和李周通话录音所涉及的信息内容并非来自于上述“安全机制”,而是诗诺公司所主张的系通过涉案软件中留有的后门,窃取了客户电脑中的内容而获知的。没有证据表明,上述剑维公司在其软件中设置“安全机制”识别、侦测、收集、传输、使用的盗版软件的数据行为,属于违反《计算机信息系统安全保护条例》第七条、《中华人民共和国侵权责任法》第二条或其他法律规定的违法行为。
笔者判断,法律禁止的是设置未经披露的恶意程序,如果具有正当理由,信息产品/服务提供商则可以在信息产品/服务中预留合法的“安全机制”,此种技术干预措施因事前的披露而剥离于恶意程序之外。
三、“后门取证”的合法性问题
参考全国信息安全标准化技术委员会于2023年8月25日发布的《关于国家标准<信息安全技术网络攻击和网络攻击事件判定准则>征求意见稿征求意见的通知》,里面提到,“网络攻击(networkattack)指通过计算机、路由器等计算资源和网络资源,利用网络中存在的漏洞和安全缺陷实施的一种行为,其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息;或延缓、中断网络和数据服务;或破坏、摧毁、控制网络和数据基础设施。…5.1攻击技术手段包括漏洞利用、后门利用、后门植入…”
可见,利用后门窃取网络和数据设施中传输和存储的信息很可能属于一种网络攻击,是一种非法行为。
“后门取证”作为一种典型的利用后门的行为,本质上同属于利用后门以获取网络/数据基础设施中传输和储存信息,本文需要讨论的是,通过合法的后门进行取证是否具有当然的合法性?通过未经披露设置的后门进行取证所获得的证据是否具有当然的非法性?
1、司法实践缺失,没有充足的案例支撑结论性意见
当前,涉及讨论“后门取证”合法性的案例缺失,尚未检索到法院将权利人通过后门搜集到的信息作为直接认定用户侵权的充足案例。
其中,辽宁省沈阳市中级人民法院在(2021)辽01民初702号判决书中将举证责任分配给被告:
法院辽宁省沈阳市中级人民法院则以中德公司虽对该份证据的取证过程存在异议,但并无相反证据予以证明为由,在核验数字指纹信息后对“电子数据保全证书及其数据包”予以采信。
2、“后门取证”的合法性分析
(2)利用事先未合法披露的后门进行取证
参考《中华人民共和国网络安全法》第27条,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动…”。
那么,通过未经披露的后门进行获取信息的行为也应当理解为一种法律明文禁止的行为,因此,所取得的证据不应具有合法性。
四、对“后门取证”所获得的证据的可能抗辩
1、合法性抗辩
若以“后门取证”获得的证据提起侵权之诉,被告方首要可能提出的抗辩即为否认该证据之合法性。
关于“后门取证”的合法性问题,前文已有详细探讨,在此不再赘述。为确保证据的合法性,建议权利人应事先对软件中留有的后门进行披露,并对可获取信息的范围及对所获取信息的可适用范围进行明确约定。
2、真实性抗辩
从真实性角度出发进行抗辩也是常见的思路。计算机领域取证具有天然的特殊性,利用者可以通过代码的增减进行不同的操作,尤其是,通过后门可进行的操作空间大,除了能浏览、获取基本信息外,甚至还能够篡改系统数据。
因此,被告常常会利用此特性进行抗辩,如上文提到的(2021)辽01民初702号案例,被告中德公司除认为原告米拓提供的“电子数据保全数据包”不合法外,还提出对该证据的真实性无法确认,其认为“该证据并非通过正规司法鉴定机构或在诉讼中进行保全,无法认定证据的真实性…”。
面对此种抗辩,建议权利人可在事前取证中通过公证取证的方式来完善证据的真实性。
3、关联性抗辩
因预留程序的不同,“后门取证”所呈现的结果也不尽相同。有时,检测目标软件是否侵权的机制为权利人发送指令后通过侵权软件获得对应指令的结果,此时,如何证明获得的结果与侵权软件使用具有特定对应性是权利人所面临的一项挑战。
为应对在诉讼过程中可能面临的关联性抗辩,权利人可通过申请鉴定机构对“后门取证”的技术原理进行鉴定,证明特定的反馈结果与权利人的软件之间的联系。
五、结语
*实习生彭丽珺对本文亦有贡献
注:
[2]参见孙淑华,马恒太,张楠等,《后门植入、隐藏与检测技术研究》,载《计算机应用研究》,2004年第7期,第78-81页。
[5]参见最高人民法院在(2006)民三提字第1号判决书中的裁判要旨,对于法律没有明文禁止的行为,则应根据行为的正当性及是否严重侵犯合法权益进行进一步的判断。