信息安全自主可控中隐藏的法律风险(下篇)

来源:天地人律师事务所

文章摘要
信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。 中央国家安全委员会成立后,我国安全领域立法进入加速模式。

信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。
中央国家安全委员会成立后,我国安全领域立法进入加速模式。《“十三五”国家信息化规划》提出“构建先进、安全、可控的核心技术与产品体系”。信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。笔者作为长沙市自主可控与信息安全产业链法律服务团队成员,长期关注信息安全领域,特以此文分享从业经验和心得。
所谓自主可控,广义上涵盖所有重要科技领域,狭义上仅指涉信息技术中的安全性和可控性。信息技术已成为产业升级的关键支撑力量。宏观层面,对国家和行业而言,信息网络及数据安全关乎生产力的稳定性及可持续性;微观层面,对具体企业而言,在逆全球化及监管日趋严格的今天,自主已成竞争力核心指标,可控决定技术应用的发展高度。
上篇,作者介绍了什么是自主可控以及企业在自主可控议题上的行政法律风险。本期,作者将介绍企业在自主可控议题上的民事法律风险以及刑事法律风险。
01 民事法律风险
1 知识产权侵权涉诉风险
《民法典》第一百二十三条对知识产权进行了概括定义:
知识产权是权利人依法就下列客体享有的专有的权利:
(一)作品;
(二)发明、实用新型、外观设计;
(三)商标;
(四)地理标志;
(五)商业秘密;
(六)集成电路布图设计;
(七)植物新品种;
(八)法律规定的其他客体。
ICT 领域实行差异化的知识产权客体保护策略:对难以逆向的技巧、诀窍等高价值成果以商业秘密保护,标准化或竞争激烈的成果通过专利“以公开换保护”,声誉、质量、信用等以商标、域名进行保护,各种形式的作品以版权予以保护。不同保护手段各有优势,通常组合应用,甚至同一体系的技术成果以多种方式形成立体保护之效。企业不仅应当将研发成果及时评估确定保护策略、研发之前进行调查防止重复研发,还需在实施技术、产品、服务方案前进行尽职调查,防止成果应用产生权利冲突。
以专利为例,虽然我国的专利申请总量、增量均位居世界前列,但信息技术领域核心专利自主率严重不足。

【图】不同规模企业“专利技术引进难”领域分布情况(单位:%)
图片说明
国家知识产权局发布的《2019年中国专利调查报告》显示,总体上,我国企业专利技术转移引进多于输出,但作为战略新兴产业的计算机与通信领域则存在专利技术引进困难的境遇,被国际领先企业掣肘。
企业如未以授权、合作等形式引进所需知识产权,又不注重对产品研发、服务设计进行事前的技术自由实施尽职调查,则极易产生知识产权纠纷。
虽然ICT网络通信领域的知识产权具有(1)技术发明通常被撰写成需要多方主体参与实施的方法专利(专利多侧撰写),导致侵权判定难、赔偿责任轻;(2)版权产品或服务多为非公开定向交付;(3)商业秘密侵权取证、认定、赔偿极有难度等特点,但企业不应持侥幸心理,侵权式的发展策略短期内也许能占据一定市场,但是会给企业的发展埋下隐患。
【例】腾达“无线路由器”侵害方法专利权案对“多侧撰写专利”侵权行为的警示。
最高人民法院在(2019)最高法知民终147号“腾达无线路由器侵害方法专利权案”中,充分尊重ICT领域发展规律,以新态度确定了涉及网络通信多主体实施方法专利的侵权认定标准,认为“将专利方法的实质内容固化在被诉侵权产品中,该行为或者行为结果对专利权利要求的技术特征被全面覆盖起到了不可替代的实质性作用”,判决侵权成立,侵权赔偿额500万元。
2 商业秘密泄露风险
《反不正当竞争法》第九条规定,“商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。
最高人民法院在今年6月10日发布的《关于审理侵犯商业秘密纠纷民事案件应用法律若干问题的解释(征求意见稿)》中,进一步列举了商业秘密的客体范围:
第四条 与科学技术有关的结构、原料、组分、配方、材料、样式、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息,可以构成反不正当竞争法第九条第四款所称的技术信息。
与经营活动有关的创意、管理、营销、财务、计划、样本、招投标材料、数据、客户信息等,可以构成反不正当竞争法第九条第四款所称的经营信息。
商业秘密侵权具有举证难、损失大、赔偿低的特点。源代码、数据、项目文档、设计底稿等作为ICT企业的核心资产,值得企业投入与其价值相匹配的资源进行保护。然而,我们在实务工作中发现,很多创新型企业并未足够重视商业秘密的保护,或者虽然重视但在技术、法律角度投入不足、保护缺位。
从近年来发生的一系列网络安全事件,例如“棱镜门”、Windows XP 强制通知停止服务、Hacking Team 军火库泄露、NSA 黑客工具包被 Shadow Brokers 泄露、“震网”病毒、心脏出血(Heart bleed)漏洞等,可见未掌握核心技术产权,或技术使用只关注产出不重视安全,将导致实施不受控等诸多危害。
信息网络时代,商业秘密泄露、侵权案件多与信息技术有关,高规格/隐秘的商业机密窃取往往伴随着信息安全事件。在相对自主的思路下,企业不可避免地要使用 Winodws 等商用操作系统、开源软件(库)、第三方设计软件等产品,如不从法律角度采取严密的技术保护措施,面对入侵式商业秘密泄露将难以维权。
3 业务可靠性降低的风险
1、竞争限制风险
在本土ICT产业缺少核心知识产权的背景下,以授权、合作等形式引进所需知识产权在所难免,然而优势产权方往往在授权、合作协议中加入竞争限制,如不质疑条款(No-Challenge Clause),即引入方不得就许可知识产权的有效性提出质疑;又如前景知识产权归属及反授安排,一方面限制引入方的改进空间,另一方面强化产权方的产权稳定性、市场地位和产权保护范围。
虽然不质疑条款在不同法域的效力有差异,但其基于意思自治的理论基础,在跨域产品服务投送业务、竞争对抗情境或不同争议解决途径中,仍值得重点关注;而前景知识产权归属及反授安排,则势必对引入方的竞争力、业务稳定性造成影响。
2、声誉及供应风险
企业在发展初期,或项目工期短、难度大的情况下,容易忽视知识产权合规及业务可控性审查,直接采用顶尖企业的“名牌”产品,或基于开源成果二次开发。如麒麟系列操作系统,曾因急于完成“自主”的政策目标,遭受开源版权问题质疑;如电气设计等核心制造业领域,国内一直缺少具备竞争力的仿真设计基础软件,芯片领域更是成为贸易谈判的重点战线。
尖端领域的知识产权授权、合作模式有政策、法律、发展风险,始终难以完全自主;只关注应用忽视安全审查、基础研发的开源拿来模式则有不可控风险,如 Docker 容器官方镜像仓库 Docker Hub 中的镜像存在大量安全风险,甚至被植入木马实施挖矿等资源盗用行为,安全隐患应予重视。
02 刑事法律风险
现行《刑法》中,与信息安全可控相关的罪名主要有:
侵犯公民个人信息罪
非法获取计算机信息系统数据、非法控制计算机信息系统罪
提供侵入、非法控制计算机信息系统程序、工具罪
破坏计算机信息系统罪
拒不履行信息网络安全管理义务罪
非法利用信息网络罪
帮助信息网络犯罪活动罪
编造、故意传播虚假信息罪
故意泄露国家秘密罪、过失泄露国家秘密罪
侵犯商业秘密罪
侵犯著作权罪
网络安全类刑事犯罪与我国经济行业特点呈现深度关联性,对公开的刑事判例进行统计可知,与网络有关的刑事犯罪集中为数据型罪名,其次是破坏型、侵权型、工具型及其他罪名;侵犯公民个人信息罪、非法获取计算机信息系统数据罪约占公开判例一半比例,破坏计算机信息系统罪与侵犯著作权罪紧随其后。统计结果反映数据与信息已成为推动经济增长的基本生产资料和关键要素,也直接印证网络安全监管的紧迫性和知识产权制度建设的重要性。


【图】与信息网络有关的刑事犯罪判例统计
控制数据已经成为获得市场优势的新型竞争手段,而数据生存于网络空间,通过网络连接公民消费者、市场主体和社会管理机构。网络服务提供者、信息产品开发者、数据管理加工者加强网络安全管理、提升技术可控指标,不仅能保护自身利益不被侵害,还能通过安全之藩篱,管控违法苗头,把握方向不逾矩。此外,ICT 企业除正视内部风险,还应在承建项目委托开发、提供技术咨询服务等外包业务中注意履行审查义务,以风险识别、最小权限、授权告知为原则,落实业务刑事风险审查、资产隔离事前防控、日志留痕事后免责等机制,防止牵涉刑事风险。
03 结语
在逆全球化的背景下,众多领域将遭受知识产权常态打压,虽然政策和产业支持为自主研发提供了利好机会,但从零开始构建绝对自主产权的业界生态是条艰辛的路。关键领域自主化是国家战略需求,而民营企业和民用领域追求相对自主、绝对可控更具有可操作性。
正如倪光南院士所言,传统业务中,虽已普遍实施质量测评和安全测评,但可控性作为安全的延伸,是一项新要求,涉及技术内涵、知识产权、技术能力、供应链、供应者资质等多方面因素,是一项比较复杂的测评,对事关网络安全的重大问题上,自主可控测评应该起到“一票否决”的作用。
我们认为,对事关企业信息网络安全、业务稳定性、发展可持续性的具体问题上,自主可控评估应该贯穿始终,从行政、民事、刑事风险防范的角度,为企业保驾护航。

技术驱动法律,专业成就未来