众所周知,互联网公司倾尽心血研发的计算机软件(计算机软件是指计算机程序及其有关文档。尽管不符合法律定义,但为方便读者理解,以下笔者将计算机软件统称为“源代码”)是互联网企业的核心竞争力,“源代码”一旦泄露或将对企业造成毁灭性地打击。近一段时间来,笔者陆续处理了几起互联网公司“源代码”泄露的案件,在处理案件的过程中对企业的“源代码”保护有了更深刻的理解。接下来,笔者将对“源代码”保护的思考写成系列文章,分别为:“源代码”的商业秘密属性篇、泄露风险篇、侵权篇及合规设计篇,系列文章将陆续在公众号推送。
本篇为系列文章第五篇:“源代码”保护的合规设计。
一、互联网企业须做好保密措施
根据《“源代码”保护的那些事儿(一):“源代码”属于商业秘密?》一文所述,“源代码”是一种技术信息,属于商业信息,且具有秘密性(不为公众所知悉)、商业性(具有商业价值)和保密性(权利人采取保密措施)的“三性”特征,符合法律上界定的“商业秘密”。内部员工如盗取“源代码”或非法修改“源代码”,重则涉嫌构成侵犯著作权罪或侵犯商业秘密罪,轻则承担民事责任。
笔者认为互联网企业应做到保密措施,大抵可从如下几个措施入手:(一)和程序员签订保密协议或者在合同中约定保密义务的;(二)通过章程、培训、规章制度、书面告知等方式,对能够接触、获取“源代码”的员工、前员工、供应商、客户、来访者等提出保密要求的;(三)对涉密的机房、办公场所等生产经营场所限制来访者或者进行区分管理的;(四)以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式,对“源代码”及其载体进行区分和管理的;(五)对能够接触、获取“源代码”的计算机设备、电子设备、网络设备、存储设备、软件等,采取禁止或者限制使用、访问、存储、复制等措施的;(六)要求离职员工登记、返还、清除、销毁其接触或者获取的“源代码”及其载体并继续承担保密义务等。
二、慎用马甲包买量
根据《“源代码”保护的那些事儿(二):“源代码”泄露的类型分析》一文所述,市面上协助互联网企业上架应用商店的技术公司,需要使用互联网公司的代码,以使用“代码混淆”或者“代码修改”等技术手段骗过应用商店的审核,才能帮忙互联网企业成功上架马甲包。在这过程中或将涉嫌“源代码”泄露风险。
因此笔者建议,互联网公司如无必要,慎用马甲包买量。如需要马甲包买量,也要注意保护“源代码”的安全,最好的方式是提供目标代码给对方或者对“源代码”做技术保护后,确定无任何风险后再提供代码给对方。
三、申请软著做例外交存或封存
根据《“源代码”保护的那些事儿(二):“源代码”泄露的类型分析》一文所述,《计算机软件著作权登记办法》第9条规定:“申请软件著作权登记的,应当向中国版权保护中心提交以下材料:……(二)软件的鉴别材料……”,第10条规定:“软件的鉴别材料包括程序和文档的鉴别材料。程序和文档的鉴别材料应当由源程序和任何一种文档前、后各连续30页组成。整个程序和文档不到60页的,应当提交整个源程序和文档。除特定情况外,程序每页不少于50行,文档每页不少于30行。”如果互联网企业研发“源代码”后向版权保护中心申请软件著作权登记时出现鉴别材料泄露的情形,将可能导致互联网企业的“源代码”因为公众所知悉而不再符合秘密性(不为公众所知悉)的特征,进而使得“源代码”丧失商业价值。
根据《计算机软件著作权登记办法》第12条规定:“申请软件著作权登记的,可以选择以下方式之一对鉴别材料作例外交存:(一)源程序的前、后各连续的30页,其中的机密部分用黑色宽斜线覆盖,但覆盖部分不得超过交存源程序的50%;(二)源程序连续的前10页,加上源程序的任何部分的连续的50页;(三)目标程序的前、后各连续的30页,加上源程序的任何部分的连续的20页。文档作例外交存的,参照前款规定处理。”第13条规定:“软件著作权登记时,申请人可以申请将源程序、文档或者样品进行封存。除申请人或者司法机关外,任何人不得启封。”因此,笔者建议今后在委托中介申请著作权登记时,可连带委托中介机构帮忙做例外交存或者封存的工作,以尽最大可能性降低“源代码”泄露的风险。
四、合作研发须审慎起草协议
根据《“源代码”保护的那些事儿(二):“源代码”泄露的类型分析》一文所述,由于有些互联网企业本身没有足够多的技术人员进行“源代码”的研发,或者出于资源互补的考虑,互联网企业之间会进行“源代码”的合作开发。在合同研发的过程中,互联网企业会在协议里约定“合作研发的知识产权归双方共同所有”。由于协议未对“知识产权”的定义进行界定,也没有对共有一方是否有权许可第三方使用“源代码”的问题作出规定,导致实务中出现较多纠纷。
因此,笔者建议合作研发“源代码”时,须重视协议的起草,特别是知识产权条款的起草。笔者认为对于该类知识产权的条款内容,可以起草为:“本合同履行过程中形成的各类成果的知识产权归双方所有,包括但不限于著作权、专利权、商标权等,双方均有权使用。任何一方均有权自行决定其使用方式,且使用收益归各自所有,无须向对方支付收益分成或费用”
五、做好“源代码”的技术保护措施,必要时提起刑事控告
根据《“源代码”保护的那些事儿(二):“源代码”泄露的类型分析》和《“源代码”保护的那些事儿(三):“源代码”被动泄露的诉讼策略分析》文章所述,“源代码”被动泄露的方式包括第三方通过非法入侵的形式,进行“源代码”的窃取和在“源代码”中植入附加程序。当出现该类情形时,实践中互联网企业多数采用侵犯著作权罪的刑事控告手段。
因此,笔者建议互联网企业研发出“源代码”后,应做好“源代码”的技术保护,例如可以采取“exe.”和“dll.”的DRM技术;序列号保护技术;CSS内容加扰系统或Denuvo技术。当出现“源代码”遭受外部攻击导致失窃时,应第一时间选择报案,采取刑事控告的手段处理该类纠纷。
六、慎选开源的代码,仔细研读开源许可证
根据《“源代码”保护的那些事儿(四):“源代码”对外侵权的潜在风险》一文所述,互联网企业的程序员所使用的代码如果是开源代码,需要受到开源代码所附带的开源许可证的约束。市面上最常见的开源许可证主要有MIT许可证、BSD许可证、Apache许可证、GPL许可证、Mozilla许可证和LGPL许可证,不同的许可证有不同的约束要求,且开源许可证的法律效力已被美国法院正面认可,中国法院也从侧面认可了开源许可证的法律效力。因此,如果互联网企业的程序员使用了GPL许可证、Mozilla许可证或LGPL许可证进行二次开源,开源后选择闭源并采取保密措施进行保护,则违反了开源许可证的要求,有侵权的潜在风险。
因此,笔者建议互联网企业研发的“源代码”应尽可能少使用强制开源的开源软件,如确实需要使用开源软件,在使用开源软件前,应仔细研读该款开源软件的开源许可证,确认该类开源许可证属于哪种类型,尽量少使用或者不使用GPL许可证、Mozilla许可证或LGPL许可证的开源许可证。
最新评论