计算机互联网不正当竞争案件中最小特权原则的适用

  作者:张亚洲

  来源:集佳知识产权

  2014年,最高人民法院针对百度公司诉奇虎公司插标案和流量劫持案做出的再审民事裁定书((2014)民三申字第873号)中对于“最小特权”原则的引用是全球范围内首次以司法裁决的形式,确立安全软件所应当遵守的行为原则,具有里程碑式的意义。而2015年,北京市高级人民法院针对搜狗公司诉奇虎公司利用360安全卫士对搜狗浏览器的安装和默认设置进行阻止案做出的终审民事判决书(2015)高民(知)终字第1071号)中对于该原则的阐释,进一步清晰地描画出了该原则使用的轮廓,使得最小特权原则跃然纸上。

  什么是最小特权原则?所谓最小特权原则(POPL,Principle of Least Privilege)是系统安全的基本原则,美国国防部颁布的“可信计算机系统评价标准”(Trusted Computer System Evaluation Criteria)中的B2级明确提出了最小特权要求,根据该要求进行操作就可以将用户对系统及数据进行存取所需要的权限控制在最小范围内,既保证了用户能够完成必要的管理和操作任务,又确保用户不可越权使用系统,也使得非法用户或异常操作对系统所造成的损失降为最小。由此可见最小特权原理一方面给予主体“必不可少”的特权,这就保证了每个主体都能在所赋予的特权之下完成所必需完成的任务操作;另一方面,它仅给予主体“必不可少”的特权,这就限制了每个主体所能进行的操作。(引自,王志刚、孙允标:《最小特权原理应用研究》,计算机工程,2005年第8期)

  最小特权原则并非随互联网而产生,其在互联网诞生之前就业已存在。如上所述,最小特权原则是一个关于计算机信息分享与安全技术的概念或者技术规则,几十年来一直是信息安全系统设计领域的一项重要技术原则,该原则最早由美国人Saltzer, Jerome H在1974年发表的《Multic中信息分享的保护和控制》一文中提出,其被定义为“系统中的每一个程序和每一被授予特权的用户应当使用为完成其工作所必需的最小特权来运行”(Every program and every privileged user of the system shouldoperates using the least amount of privilege necessary to complete the job.)。(引自陶鑫良:《非公益必要不干扰原则与反不正当竞争法一般条款适用》,电子知识产权,2015年3月)

  虽然最小特权原则本是计算机信息安全领域一项技术型原则,但随着计算机互联网的发展,尤其是随着安全软件的蓬勃兴起,安全软件与其他应用软件之间在系统中每每发生冲突,逐渐该技术型原则被引入了法律适用领域,且慢慢地背靠《反不正当竞争法》第二条这一原则性条款,开始调整具体案件中涉及到的法律关系。

  在百度公司起诉奇虎360插标及流量劫持不正当竞争再审案件,在最高法院组织的再审听证程序中百度公司提交了中国工程院院士倪光南等几位院士的专家意见,其中该意见中的一部分表述为“安全软件对计算机系统拥有较高的操作权限,根据业界惯例,此类软件在实现安全防护功能时,一般不利用其操作权限的优势,进行并非实现其功能所必需的操作。”随后最高人民法院在(2014)民三申字第873号民事裁定书中进一步认定“本案中,奇虎公司在未经允许的情况下对百度搜索结果进行干扰,其应当证明其行为具有必要性和合理性。奇虎公司所称安全软件的独特功能,以及互联网安全环境的复杂等原因,仅仅能证明用户需要安全软件以保护其上网安全,却不足以证明其在搜索引擎特定搜索结果中添加安全警示的必要性和合理性。搜索结果中可能存在含有有害信息的网站这一事实,也不能当然成为安全软件以插标方式干扰他人搜索引擎服务的合理理由。安全软件在计算机系统中拥有优先权限,其应当审慎运用这种“特权”,对用户以及其他服务提供者的干预行为应当以“实现其功能所必需”为前提,即专家所称的“最小特权”原则

  紧随其后,北京市高级人民法院2015年6月刚刚审结的搜狗公司诉奇虎公司利用360安全卫士对搜狗浏览器安装和默认设置进行阻拦构成不正当竞争案件((2015)高民(知)终字第1071号)民事判决书中,也明确提出“竞争行为正当与否的判断,应当结合相关市场的实际状况加以认定,并且应当根据市场发展的实际,采取与时俱进的态度予以动态把握。随着网络技术和计算机技术的不断发展,安全软件功能已由传统的单纯对病毒、木马等对计算机有危害的程序代码进行监控、查找、防御、清除等基本的网络安全防护功能,发展到同时具备辅助用户对计算机软件进行管理、提升用户体验的软件辅助管理功能。因此,即使未对计算机的安全使用产生根本影响,对于出现影响计算机软件默认设置等重要事项的情形,从保护用户知情权和选择权的角度出发,安全软件进行合理的提示和必要的干预是符合安全软件自身性质的正当行为,应当将此种行为认定为安全软件正常功能的发挥。但是,安全软件这种正常功能的发挥,应当采取必要而合理的形式加以实现,应当符合诚实信用原则和互联网行业公认的商业道德的基本要求,尤其是由于安全软件在计算机系统中拥有优先权限,用户对安全软件的任何提示行为较之其他软件的类似行为都更容易引起用户的注意,安全软件的建议内容或者默认选项也更容易引起用户的注意,安全软件的建议内容或者默认选项也更容易得到用户的采纳,因此,安全软件不仅应当遵循‘最小特权’原则,在对其他计算机软件进行干预时也更应当以客观、中立的方式加以实施,否则就有可能造成其他软件用户数量的流失,损害其他软件经营者的合法权益。安全软件超出合理限度而实施的干预其他软件运行并给其他软件经营者造成损害的行为,应当依法认定为其构成不正当竞争行为。”这是迄今为止发生法律效力的判决首次对“最小特权”原则较为完整的阐述。

  从以上判决中可以看出:(1)在计算机系统中,安全软件拥有优先权限,也正是因为如此,安全软件在运行时才更应该秉承良善,保持客观、中立,仅发挥与安全事务有关的正常功能。由于目前安全软件运营商也同时提供应用软件,而安全软件完全免费,从市场意义上讲免费的安全软件吸引了亿万的用户,最终要将亿万用户的庞大资源变成可实现的利益,还得通过应用软件,比如通过浏览器,或通过搜索或网址导航等产品,因此虽然说从产品功能、用途和使用方式等方面看,安全软件与应用软件并不相同,但从商业统筹的角度讲,安全软件与应用软件事实上是实现最终商业利益的两个相关联的部分。因此审视安全软件就不能仅仅拘泥于安全软件本身,还要看安全软件实施的行为在主观上是否是为了增加应用软件的市场份额,或者在客观上是否推动了应用软件的市场扩张。(2)基于安全因素,在某些特定的情形下,安全软件可以进行风险提示和必要的干预,但这种提示和干预应当具有必要性和合理性。在此要理解什么是“必要性”,什么是“合理性”,对于互联网产品或服务来讲,必要性应当与公共利益联系在一起,凡是为一己私益实施干扰绝无必要性可言,那么是不是为了公益实施干扰都是必要的,答案当然是否定的,为公益实施干扰是否必要需要考虑:第一、干扰的环境是否特定和例外,具体讲就是即使为公益,干扰也不能在任何情况下实施,这就好比行人要过红绿灯,维持交通秩序的人员应当以交通安全和道路畅通为最大的公共利益,此时应当以既定的公共交通秩序放行或阻止通行,因为对于这种既定秩序的尊重和执行是实现绝大多数人利益的唯一方式。但如果有老人或孩子通行的情况,交通秩序维护人员就应当施以特别的注意力,在特定情况下可以干扰既定的公共交通秩序,让本应通行的车辆稍缓通行,从而保护老人和孩子这一群体的利益。把这个例证放到互联网行业同样适用,所以说干扰行为存在的环境应当是特定和例外的,而不是普适的。第二、为公益实施干扰只能是唯一的选择。需要注意的是干扰只能是唯一的,如果有别的选择路径且经济可行,那么干扰也不应该实施。仍以上述例证为例说明,如果在红绿灯路口有过街天桥或地下通道可供老人孩子选择,那么也应当优先选择上述两种方式,而不是中断正常行驶的车辆,除非过街天桥或地下通道对于老人和孩子而言不经济,例如老人行动十分不便等,虽可借用过街天桥或地下通道,但却费时费力,只有在这种情况下才可实施干扰正常秩序的行为。同样合理性也必须与公共利益有关,如果说必要性是从实施干扰行为人的角度出发来判断的话,那么合理性则应从被干扰行为影响者的角度审视和判断,合理性的内在意义是要判断该干扰行为对于被影响者利益的损害是否已经超越了合理的范围。对于互联网产品和服务而言,如果要实施干扰行为就应当以被影响者的产品和服务以及不特定公众的利益被损害的程度予以衡量,虽然有时候被影响者的利益与不特定公众的利益有一定的冲突,但大多数情况下二者是统一的。但问题是很多实施干扰行为者经常以维护不特定公众的利益为合理性辩解其干扰系必要且合理,事实上被干扰者利益受损或不特定公众利益受损或二者皆受损均应当成为不合理的根据,所以说无论如何只要安全软件实施的这种提示和干预实质性地影响了其他软件的运行,就应当认定安全软件的行为超越了合理的边界;(3)安全软件任何的风险提示和必要干预都应当充分尊重用户的知情权和选择权,而用户知情权与选择权行使的前提则是安全软件必须真实、准确和完整地向用户披露信息,且应当由用户自行选择肯定性操作或否定性操作。

  总体而言,“最小特权”原则与“非公益必要不干扰”原则的适用使得《反不正当竞争法》第二条在互联网不正当竞争案件中的适用从抽象走向了相对具象,使得判断标准逐步明确化,这对于指导广大互联网企业更好地参与自由竞争和公平竞争,推动互联网企业的发展壮大,增加广大公众的福祉大有裨益。