软件源代码强制披露制度建构的中国方案
2023-07-25张韬略
张韬略
关键词:源代码 强制披露 算法公开 知识产权 数字贸易谈判 源代码规则
一、引言
软件源代码是软件开发者使用接近人类可读语言的高级编程语言(例如C、JAVA或Fortran等)编写的计算机程序。源代码可以经由编译程序,转换成为机器可读、可执行的目标代码,从而实现软件开发者在代码指令之中设置的操控硬件的功能。作为现代信息技术的创新产物,软件源代码不仅开发成本高,还有复制成本低且无排他力的特点。为了激励软件产业的投资,各国政府一般都向源代码提供了多种知识产权的保护。
但源代码的重要性不能仅从私主体创新成果的知识产权保护角度进行理解。从信息技术安全的角度看,由于人类无法正常读取和理解以二进制机器语言方式表达的目标代码,源代码实际代表了人类和信息技术设备之间进行信息交换的最后节点,对源代码的访问也就成为人类理解、修改软件进而操控信息技术设备的先决条件。许多国家为了确保关键信息技术的安全利用,保障某些公共政策的实现,或者出于反竞争、反歧视和反欺诈等目的,支持监管部门访问相关源代码。有的国家为了提升本国相关产业的技术水平,促进本土创新,可能将披露源代码作为市场准入的前提条件,由此引发贸易保护主义与自由贸易竞争的冲突,将围绕源代码的利益博弈带入更为敏感、复杂的全球“南北”政治经济问题之下。
由于系统性的全球数字贸易规则缺位,既有的世界贸易组织(WTO)贸易规则难以有效规制各成员方强制披露源代码的措施,一些发达国家开始通过双边、多边或区域贸易协定,在数字贸易章节之中输出符合自身利益的规则,禁止缔约方采取强制披露源代码的措施。在WTO的电子商务讨论中,限制披露源代码的规则(以下简称源代码规则)设计,也成为各方博弈的焦点之一。但是,我国至今没有在国际数字贸易谈判中提出自己的源代码规则。这与我国尚未建立系统的软件源代码强制披露制度,相关理论研究和实践经验的不足有关。
尽管软件源代码与软件算法之间存在密切联系,但两者之间存在显著差异。第一,算法与源代码在性质、形式和特点上存在明显区别。算法是解决问题的思路、步骤和逻辑,一般表现为半形式化的语言,可以由不同的编程语言和不同的代码来实现。而源代码组成的计算机程序则是实际解决问题的具体执行指令,由完全形式化的计算機语言加以描述。第二,算法与源代码承载了“厚度”不同的知识产权。算法可以享有商业秘密保护,但著作权法和专利法一般排除算法本身的可保护性。相比之下,软件源代码虽是以算法为灵魂和思想,但却具有多样的表达方式,由此形成多层级的包括著作权、商业秘密乃至专利技术方案的财产权。因此,就同款软件而言,算法的公开和备案并不等于软件源代码的披露,也不必然导致源代码商业秘密和可能的专利申请权的丧失;但源代码的完整披露通常会导致源代码包含的算法和技术方案的公开。申言之,相比算法公开可能引发的知识产权侵权问题,源代码的强制披露对软件权利人的知识产权施加了更强更深的干涉,可能引发更大的利益冲突。这也意味着,我国源代码披露制度在借鉴现有算法公开和备案制度时必须加以甄别。
本文认为,我国应在积极吸收国际数字贸易谈判成果和算法规制研究成果的基础上,建构国内源代码强制披露制度,并尽快形成自己的源代码规则,以争取更多的国际话语权。接下来,文章首先分析我国源代码强制披露制度建构所面临的内部矛盾,该矛盾在国际经贸层面的异化,以及国际经贸协定谈判的协调成果。紧接着以此为鉴,从思路、原则和方法等角度,搭建我国软件源代码强制披露制度的国内法制度。最后,文章分析WTO主流提案对我国的影响,并尝试以国内制度建构为基础,提出我国设计源代码规则时应坚持的立场和内容。
二、在封闭与披露之间:制度建构的内部矛盾
(一)源代码封闭的正当性
建构软件源代码强制披露制度所面临的最大阻力是封闭的软件源代码具有知识产权属性,且其正当性在软件行业和国际社会都得到普遍认可。
首先,从知识产权保护的理论角度来看,无论是基于洛克的劳动价值论,还是基于促进投资的边沁的功利主义学说,将需要大量劳动和资本投入的软件开发活动所产生的智力成果———包含有算法和技术方案的源代码———视为知识产权的保护客体,具有正当性的基础。正是在这种正当性之上,从20世纪60年代起,源代码逐步在各国获得不同类型知识产权的保护。商业秘密是最早用以保护源代码的法律方式,而封闭源代码正是取得商业秘密保护的关键:只有不为公众所知悉、具有商业价值且采取了合理保密措施的源代码,才可以获得商业秘密保护。著作权法保护具有独创性的源代码,但该保护不以登记和审查为前提,即便自愿进行版权登记,也无须披露所有源代码特别是关键的源代码。以“公开换垄断”的专利法貌似可以用来打破源代码的封闭状态,但软件开发者在申请专利时,只需要在说明书之中清楚、完整地披露权利要求所主张的技术方案的构思、结构或算法,使所属领域技术人员能够实现该技术方案即可。软件专利公开通常不涉及源代码层面的公开。软件权利人通常还借助合同对软件源代码进行专有排他权之外的保护,例如在许可合同中特别约定软件用户不得反向工程获取源代码。
其次,软件开发行业的惯例和软件技术应用的特点,使封闭软件源代码的做法从产业运营和成本视角看来显得自然而合理。在开源软件运动兴起之前,商业软件开发的环境和成果通常是封闭的,软件企业采取各类手段防止源代码的泄露。大众市场软件也不需要披露源代码,用户并不需要阅读源代码,用户电脑生成的二进制目标码也不会导致源代码的公开。尽管用户理论上可以采取反编译等技术逆向获取软件的构思、内容乃至源代码,但成本巨大且容易出错,在面对复杂软件时并不具有现实操作性。在源代码不泄露的情况下,软件权利人在理论上可以永远保有商业秘密,既没有类似专利、著作权的保护期限制,也不产生任何注册、维持权利的成本。封闭源代码的种种优势和被知识产权保护所强化的软件行业惯例,意味着强制披露源代码往往面对来自产业的巨大阻力,需要政府具有更优先保护的公共利益,且需要投入更多的执法成本。
最后,在全球贸易体系之下,国际社会对封闭源代码享有知识产权保护的普遍认可,同样成为国内法构建源代码强制披露制度所无法回避的阻力。封闭源代码的知识产权保护已经随着WTO所搭建的国际贸易法律体系推行到全球绝大多数国家。作为WTO成员,我国有国际条约义务对其提供知识产权保护。这意味着,如果我国政府缺乏正当理由实施强行披露源代码的措施,将违反WTO规则,可能引发WTO诉讼和国际营商环境评价降低等连锁反应。
(二)源代码披露的正当性
与此同时,由于软件在各行各业的渗透和公私性质混合的超级平台的出现,源代码已经成为社会组织活动的底层技术之一,在许多场合甚至替代法律,成为人们日常活动的实际规制手段。但“代码即法”(code%is%law)时代的来临,要求我们确保源代码能像“善法”一样,承载公平、正义、平等、自由等价值,而不是成为作恶的工具。为此,在特定场景下,为确保公共政策目的之实现,政府有权进行监管,强制打破某些源代码的封闭状态。根据德国宪法“财产学说”和德国基本法的规定,作为私人财产的源代码在这种情况下必须承担起“财产权的社会义务”。可见,政府在这种情况之下对源代码的披露和监管,同样具有宪法的正当性。
首先,政府为了保障国家政治、能源、金融等领域的安全,有必要对源代码进行监管,强制要求软件权利人披露源代码,以查明软件产品或服务的设计和运营是否符合国家相关法律的要求。例如,一些政府担心其采购的信息技术产品安装有“后门”,给他国间谍获取本国重要信息创造技术条件,故而在允许外国科技公司产品进口国内和销售之前,要求审查其防火墙、防病毒应用程序和包含加密软件等安全产品的源代码。为保护核电站、智能交通系统、物联网等关键基础设施和民众安全,一些政府加大对相关设备源代码的监管,包括对安装在移动或有线服务提供商网络的数据包和代码进行审计,检查设备的过滤或监控能力。在金融财税领域,美国税务机关为保障系统的稳定运行,在无法合理确定税务申报表项目的正确性时,有权按照“计算机软件传票的特殊程序”的规定,访问和分析用于会计、纳税申报或税务规划的软件源代码;美国证券交易委员会和商品期货交易委员会有权访问“高频交易”(HFT)的源代码,因为这类交易会加剧突发事件,破坏股市的稳定。
其次,为保障软件产品设计符合健康、环保、平权等标准,政府有必要监管源代码,在某些场景下要求软件权利人披露源代码。例如,监管部门及其委托的外部专家可能需要检查智能汽车等可能产生高危风险的产品的源代码,以确定导致交通事故的原因,或检查设备排污控制系统是否存在“规避测试”软件。即便在没有安全隐患的博彩行业,许多外国政府为防止经营者的欺诈行为,也会对赌场进行监管,要求访问游戏机的源代码,确保参赌者有一定概率能够获胜。在可能涉及性别或种族歧视的社交媒体、推荐广告、住房、信贷、就业、司法量刑等领域,政府必须能够检查底层的源代码和数据,否则无法检测并规制可能存在的歧视行为。为了使民主投票过程更加安全和透明,许多国家或者国际组织要求向公众披露投票软件的源代码,或者直接使用开源软件。
最后,在与软件知识产权和竞争行为相关的行政审查、司法裁判和执法活动之中,法院和相关主管部门为查明相关权利是否可获得授权,是否存在侵权或反垄断行为,可能需要软件权利人披露源代码。例如,根据专利申请公开制度,如果软件发明某些技术特征涉及源代碼的执行,而专利局对其能否实现具有疑问,申请人可能必须披露部分源代码以说服专利局。又如,在美国谷歌Waymo和Uber涉及自动驾驶商业秘密和专利侵权的诉讼中, 加利福尼亚州北区联邦地方法院为了确认Uber是否存在窃秘行为,授权Waymo的律师和一名专家审查Uber的LiDAR项目的内容,包括但不限于原理图、工作单、源代码、注释文档和电子邮件。此外,如果竞争主管部门认定企业合并/收购的市场行为构成限制竞争的,还可以命令该企业将源代码或包含源代码的产品、服务或技术转让给竞争对手作为补救措施。
三、从内国法到国际经贸协定:内部矛盾的异化与协调
政府基于前述特定公共政策目标有要求企业披露源代码的正当需求, 但在国际竞争的环境下,这类措施有时容易夹杂产业保护的考虑,甚至可能异化为贸易保护主义幌子,客观上产生了设置市场准入障碍、限制自由贸易的负面效果。由此,内国法制度设计所遭遇的封闭与披露源代码的内部矛盾,在国际经贸视野下就以一种新的形态出现,成为新一轮国际自由贸易谈判与协调的焦点之一。
(一)从区域经贸协定到WTO商务谈判
由于现有国际经贸规则没有提供有效约束国家强制披露源代码的制度设计,一些发达国家尝试在区域经贸协定的数字贸易专章里设立独立的限制强制披露源代码的条款(以下简称源代码规则),从而形成了以日本、美国和欧盟为代表的不同模板。2016年之后,随着启动WTO电子商务谈判的意愿渐高,某些成员方呼吁确立“保护源代码”的规则,禁止缔约方将源代码转让或获取作为市场准入的条件。例如,美国2016年的电子商务工作方案提出原则性建议:“保护关键源代码:创新者不应将其源代码或专有算法交给竞争对手或监管机构,然后由监管机构转交给国有企业。重要的是要确保公司不必为了进入新市场而共享源代码、商业秘密或将本地技术替代到其产品和服务中,但同时保持监管当局获取源代码的能力,以保护健康、安全或其他合法监管目标。”日本倡议,“披露重要信息诸如商业机密(包括源代码)不应成为在成员方领土内进口、分销、销售或使用相关产品(包括数字编码产品)的条件”。哥伦比亚、科特迪瓦、欧盟、韩国、墨西哥和新加坡也纷纷建议采取措施,“避免将软件源代码的转让或获取作为市场准入条件”,以“确保电子商务市场的开放性”。
2019年1月,76个成员方共同发起电子商务诸边谈判,2020年12月达成的合并文本(C节“信任和电子商务”第C.3条“商业信任”第1款)的“源代码”规则共有5项规定,包含了来自美国、日本、欧盟、英国、墨西哥、韩国等十一个国家和地区的提案。从参与成员的代表性来看,发达国家基本到位,但发展中国家数量太少,且中国、印度、俄罗斯、澳大利亚等大国尚未表态,因此现有提案还无法完全代表所有WTO成员方的意愿。
(二)源代码规则国际协调的特点
从区域经贸协定谈判到WTO商务谈判,尽管出现了不同的源代码规则的模板和提案,但国家间的分歧其实很小,已经呈现趋同化特征。
第一,国际社会已经基本达成了规制源代码的基本共识,形成了以保护封闭源代码的知识产权为原则,以强制披露源代码为例外的“原则+例外+配套保护措施”模式,并且将源代码规则所规制的对象从源代码扩展到源代码所表达的算法,以彰显对私权的尊重。例如,根据WTO提案,成员们皆赞同,禁止缔约方以市场准入为条件,强制要求转让、访问源代码,而且源代码所表达的算法同样纳入规制对象。国内有研究认为,成员之间就是否将算法纳入原则性规定仍存在分歧,并将原因部分归结为美国和欧盟不同的算法规制导向。这种观点并不准确:算法知识产权保护的基本原则与特殊公共政策目的之下的算法透明度要求并不总是冲突的,美欧在算法保护与规制的立场方面,并不存在根本的分歧。
第二,例外情况由少到多,以确保缔约方政府有效监管源代码,实现合理的公共政策目标。例如,最早提出源代码规则的2010年《日本—蒙古經济伙伴协议》(EPA)只包含了关键基础设施软件等并非属于“大众市场软件”的例外。后来美日主导的《跨太平洋伙伴关系协定》(TPP)的源代码规则开始扩大例外情况,增设了商业谈判合同例外、遵守法律要求修改源代码的例外以及专利申请、授权或司法活动例外。2018年的《欧盟日本经济伙伴关系协定》(EPA)规定了范围更加宽泛的例外情况:(1)在商业谈判合同中包含与源代码转让或授予使用权相关的条款;(2) 在政府采购中自愿转让或授予源代码使用权;(3)法院、行政法庭或竞争主管部门要求纠正违反竞争法的行为;(4)法院、行政法庭或行政当局在源代码受知识产权保护的范围内保护和执行知识产权的要求;(5)缔约方根据《政府采购协定》(GPA)第3条采取措施的权利;(6)缔约方根据安全例外、许可和资格条件,以及金融服务审慎例外所采取的措施。而且,针对这些例外情况,成员强调不应影响源代码的商业秘密状态,必须配套防止泄露的保护措施。
第三,禁止源代码强制披露制度的异化,也即禁止政府以合理公共政策目标为名,采取限制市场准入、破坏自由贸易等贸易保护主义做法。实际上,源代码规则首次出现在区域经贸协定之中,就是为了抑制源这类异化。例如,《日本-蒙古经济伙伴协议》(EPA)中明确要求限制政府转让、访问“他国企业”源代码,同时期的《服务贸易协定》(TiSA)谈判中,日本同样提议“任何一方不得要求转让或访问另一方人员拥有的软件源代码,作为在其境内提供与该软件相关服务的条件”。
第四,WTO的源代码规则提案具有鲜明的TRIPS+、TRIMS+特征, 对软件产业不发达的缔约国或发展中国家可能会有负面影响。“第三世界网络”的法律专家Sanya.Reid.Smith就认为,WTO源代码规则提案对成员方提出了更高的知识产权保护义务,限制了成员方在技术转让方面的自由度。印度学者Neeraj.R.S. 认为,WTO拟议的新电子商务规则没有包括对发展中国家或最不发达国家的任何例外或特殊差别待遇,源代码规则将助长发达国家的软件锁定效应,抑制开源软件的使用,加深南北之间的数据不平等。
四、从国际协调回到内国法:制度建构的思路、原则与方法
(一)化解矛盾冲突的基本思路
我国源代码强制披露制度的建构必须妥善化解源代码封闭与披露的正当性冲突问题, 就此而言,源代码规则国际协调的成果,特别是其“原则+例外+配套保护措施”的模式,为我国的制度构建提供了有益的思路。
首先,将封闭源代码的知识产权保护作为基本原则,把强制披露措施作为特殊例外并辅以保障不泄密的措施,既符合现代民主社会保护知识产权、促进创新的精神,也契合软件行业的惯例和国际规则,不会在执行环节面临来自软件产业和国际社会的巨大阻力。
其次,遵循保护知识产权的精神,国家在源代码监管的思路上可以大力倡导符合自由市场和行业惯例的源代码披露,尽量弱化和避免“强制披露”的做法。例如,政府采购时可以偏向开源软件,或者是为了便利维护软件,避免出现技术锁定困境而获得源代码,这些都是国际社会广泛认可的“例外场景”。在争议较多的外来直接投资审核领域,如果政府希望帮助国内供应商提升软件技术,促成源代码的技术转让,则必须确保符合WTO的规则,在平等、自由的基础上进行磋商。相反,如果要挟外国企业以源代码披露换取非关键基础设施领域的市场准入,则明显违背WTO规则。
最后,将强制披露源代码作为例外情况而非普遍模式,有助于将有限的监管资源集中到特定场景之中,确保“场景公正”。场景公正理论在个人数据保护和算法规制的场合都有不同程度的应用。根据该理论,由于场景的不同,行为人、行为对象和行为目的、规制结果都会有所差异,因此无论数据保护,还是算法规制,都应当结合不同的场景进行不同的规则设置,才能够实现具体场景之下的公正。源代码披露措施也应该遵循场景化规制的方式,才能确保国家监管权公正、有效地行使。
(二)落实场景公正的主要原则
根据我国行政法的原则和理论,我国在建构强制披露源代码制度的“例外场景”时,可以主要借助合法行政原则和比例原则来落实“场景公正”。
根据合法行政原则,法无规定不可为,法无授权即禁止。政府在“例外场景”实施强制披露源代码的措施必须基于法律的明确授权,不能超出法律授权范围,并应当遵守相关的实体法规范和程序法规范。据此,我国必须立足于现有各个领域的监管立法,参照国际经贸协定和WTO源代码规则的提案,结合我国的实践需求,从法律文本上逐项落实我国政府有权强制披露源代码的“例外场景”。从程序合法角度,政府依据法定事由强制披露源代码时,还应符合行政公开、公众参与等原则,确保信息公开以实现软件权利人的知情权,并听取软件权利人的陈述和申辩。
根据比例原则,政府在采取具体行政行为,要求软件权利人披露源代码时,必须遵循必要性、适当性和最小损害三项要求。首先,除非源代码披露对政府监管目的的实现是必要的,否则政府没有必要强求源代码披露。这种解释也与算法公开所强调的“有意义和有特定指向的决策体系的公开,而非一般性的算法架构或源代码的公开与解释”是相一致的。其次,政府在要求披露源代码之前,必须进行利益衡量,只有确认行为对于实现相应的监管目的是适当的,并且可能取得的利益大于可能损害的利益时,才能够实施。最后,政府必须在多种方案之中,选择对软件权利人权益损害最小的方案加以实施。
遵循比例原则的前述要求,我国在建构源代码披露制度时要特别注意区分源代码与算法的监管和规制。虽然WTO源代码规则提案将源代码所包含的算法也纳入规制范围,而且现有的算法规制理论和措施也提供了某些积极的借鉴,但前文特别提到,源代码与算法具有明显的区别。目前域外和国内都开始对算法设置范围不等的备案义务,但并无对应的一般性的源代码备案制度。国家互联网信息办公室2023年4月发布的《生成式人工智能服務管理办法》(征求意见稿)同样只要求服务提供者根据国家网信部门和有关主管部门的要求提供“基础算法和技术体系”, 不需要提供相关的源代码。这种区分规制的原因,除了源代码披露会给软件权利人造成更大的财产性损害,更主要在于缺乏必要性,因为大部分场合只需从算法层面加以监管,就可以实现风险防控的政策目的。
(三)落实场景公正的“分类分级”方法
在我国,分级分类的思想和方法已经被广泛应用到网络、信息系统和数据的安全治理。早年的“信息安全等级保护制度”就是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和处理这些信息的信息系统分等级实行安全保护,对相关信息安全产品实行按等级管理,对相关信息安全事件分等级响应、处置。网络安全法将其升级为“网络安全等级保护制度”,根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、泄露之后对各类权益的侵害程度等因素,划分出五个级别,不同级别的等级保护对象应具备不同的基本安全保护能力。数据安全法则提出“自上而下”的数据分类分级路径,规定由“国家建立数据分类分级保护制度”,该制度也成为我国开展数据安全治理的起始点。分级分类的思想和方法同样可用以建构我国的源代码强制披露制度,协助落实场景公正。
1.源代码强制披露制度的分级
源代码强制披露制度的分级主要指政府依据不同公共政策目的之需要和源代码披露可能产生的后果,确定不同强度的“披露”措施,并配套相应的保障措施。在实践之中,披露强度存在由低到高的三种情形:一是“访问”源代码,二是“转让”源代码,三是“公开”源代码。
政府为了对国家安全、金融财税、产品安全与合规进行监管,或者为了司法和执法活动的顺利开展,可能需要访问、检查软件源代码以确认产品或服务设计是否符合国家相关法律的要求。在“访问”型披露之下,源代码披露的对象范围仅局限在数量有限的执法官员或者诉讼代理人,不涉及向竞争对手或者公众的披露,软件权利人的财产利益受损较小。此时制度设计的重点应聚焦在源代码披露程序的保密规则和对披露对象的保密责任设置上。例如,审计、核查相关产品源代码的政府官员或中介组织或技术专家,在诉讼过程之中接触源代码的法官、代理律师和专家证人等,负有法定或约定的保密义务,违反该保密义务将承担相应的法律责任。
转让或许可源代码的披露力度更强,对软件权利人财产权的影响也更大。如果政府将转让、许可源代码作为反竞争行为的救济措施的,必须严格遵照竞争法,对适用竞争法规制的相关要件进行审查,确保程序的公正。例如,竞争对手是否事先与源代码权利人进行合理的许可磋商,源代码知识产权是否构成标准必要专利或必要设施的组成部分,权利人拒绝许可行为是否构成滥用市场支配地位的不合理限制竞争行为,权利人开放源代码是否具有可行性等。转让源代码措施如果发生在政府批准外商投资或者政府采购的场合,必须确保程序公开透明,合同自由缔结,对价公平合理,以遵守WTO规则和国际惯例。
如果政府的强制披露措施涉及将软件权利人的源代码向公众披露,则带有“征用”的色彩,因为这种披露意味着商业秘密的彻底丧失。从现代民主国家保护私人财产权的角度来看,除非具有值得保护的公共利益并经过正当程序,否则不应该采取这种特殊的强制征用方式。“公开”模式必须配备更加严格的程序保障,政府应向权利人提供争辩与听审的机会,且确保公开的范围仅在服务公共利益所必需的范围之内。例如,专利申请时源代码公开只要达到足以解释专利申请方案的可专利性即可,涉及技术标准的源代码公开也以服务软件的互操作性为限。根据个案的情况,这类公开通常不需要覆盖整个软件的源代码。
2.源代码强制披露制度的分类
源代码强制披露制度的分类可以从源代码拥有者的性质入手,将代码拥有者分为具有垄断性质的公权力机构、纯粹商业性质的非垄断机构及其中间样态,进而判断采取强制披露源代码的必要性高低。
通常而言,具有垄断性质的公权力机构所掌控的算法和源代码应当以公开为原则,以非公开为例外。因为这类机构借助源代码所作出的决定往往会对不特定的大多数个人产生重大影响,如果允许其决策的黑箱状态不受监督,不仅可能产生各类不公、歧视、偏见和腐败,而且权利受损也无从知晓、难以救济。许多国家或者国际组织为了使民主投票过程更加安全和透明,就要求政府向公众披露投票软件的源代码,或者直接使用开源软件。例如,根据日内瓦法律,日内瓦互联网投票系统的源代码必须向选举委员会或其指定的任何专家开放以供审查,而且任何对源代码有研究兴趣的人都可以访问该代码。然而,如果源代码的公开无助于人们理解自动化决策,甚至产生有害的效果,例如因干扰性披露所导致的另类黑箱,或者出现针对源代码和算法的“算计”现象,或者涉及危害国家安全等关键基础设施领域的系统,则属于不宜公开源代码的例外。
相比而言,如果源代码拥有者是纯粹商业性质的非垄断机构,则应当以源代码的非公开为原则,以强制披露为例外。普通企业的软件系统或产品如果仅是内部使用,则完全缺乏对外披露的必要性,此时强调源代码的知识产权保护也是对企业自主经营权和私权的尊重。这类企业即便在对外提供软件产品和服务时存在个人信息处理行为, 其算法和源代码通常也只是起到信息甄别的作用而已,在平等主体市场交易环境之中,不会产生需要强制披露的监管理由。但是,如果企业在经营过程中逐渐成为半公共的垄断组织(例如超级平台),或者对外提供安全风险级别较高的产品(例如智能汽车),或者向社会弱势群体提供特殊服务(例如老年人医疗保险)等,那么针对特定事项采取符合比例原则的强制披露措施,可能就是必要的。
五、重回数字贸易谈判:中国源代码规则的提出
在建构国内源代码强制披露制度的基础上,我们可以重新审视WTO的提案,检讨其源代码规则对我国是否产生负面影响,是否契合我国内国法制度建构的精神,进而在国际舞台提出中国的源代码规则,这也是我国内国法制度由内而外的自然延伸。
(一)WTO提案对我国的潜在影响
1.WTO提案的TRIPS+特征对我国软件知识产权保护的影响
TRIPS协议第39条仅要求WTO成员方保护“未披露信息”,允许商业秘密所有者起诉以不诚实商业方式获取、使用该等信息的人,并对药品、农业化学物质产品的试验数据提供特别保护。WTO提案的源代码规则提出了更高的要求,特别明确了政府人员在履行职责时的保密义务。但该要求不会对我国产生负面影响。一方面,我国国内法对商业秘密的保护早已覆盖国家公职人员的职务行为,认可该保护标准不会给我国添加额外的负担。另一方面,该源代码规则对我国软件海外知识产权保护具有积极影响。目前我国软件产业发展迅速且积极参与海外竞争。随着我国软件互联网企业的“走出去”,“抖音”海外发展遭遇强制披露源代码或转售业务的类似情况可能会一再出现。虽然源代码规则提议最初源自发达国家,但总体符合自由贸易基本原则,有助于激励软件产业创新及该领域的国际贸易,这与我国软件产业发展的长远诉求是一致的。
2.WTO提案的TRIMS+特征对我国技术转让和自主创新政策的影响
根据TRIMS协定,WTO成员方在外国投资的情况下可以灵活要求技术转让, 但WTO提案原则上禁止、限制成员方要求转让源代码的能力,似乎不利于我国获取外国技术、培养本土企业。但客观地看,我国获取外国软件源代码技术的渠道并不会受到根本性的影响。根据“原则+例外”的基本模式,缔约国仍然可以在政府采购、竞争法救济等例外情况之下强制访问、转让或许可源代码。
有疑问的是,WTO提案会否对我国软件行业自主创新政策产生负面影响? 国内有研究指出,我国将促进自主创新和安全可控等目标与政府采购挂钩的做法,可能暗含了要求外方转让或提供源代码的意图。国外也有研究认为,日本最初在区域贸易协定中提出源代码规则,就是针对我国之前采取的措施。但这类观点失之偏颇。我国自主创新的政策目标同样必须放在自由贸易与国家安全的平衡视角和具体个案中进行理解。基于信息技术安全可控的目标,我国提出国产自主可控替代计划,加大政府采购中开源软件和国产软件的比重。这类做法完全可以根据具体场景,适用WTO提案的例外规则,原则上不会导致源代码规则与我国自主创新政策之间的根本冲突。但我国政府在实施此类政策时,要尽量避免采取歧视性的市场准入壁垒。
3.WTO提案不会抑制我国的开源战略
另有研究担心,WTO提案会对缔约方实施开源软件政策造成不利影响, 其核心论点是开源软件许可并非基于商业谈判达成,不适用商业谈判合同例外,一旦有违反开源许可协议的情况,受限于WTO提案源代码规则的限制,缔约方就无法要求强制披露源代码了。这种担忧完全误读了开源软件许可运作机制及其与源代码规则的关联。首先,开源软件许可依然是私人之间自愿达成的协议,如果出现软件用户违约的情况,依照许可协议将解除许可合同,软件权利人可以向法院请求停止侵权的救济,或者继续履行即披露源代码的救济。这里如果真正涉及披露源代码的救济,可以诉诸源代码规则的司法活动的例外或者法律救济的例外。只不过,受限于成本和合理性的考虑,实践之中司法机关支持继续履行的可能性极小。其次,源代码规则主要针对缔约方以市场准入换取源代码技术转让的贸易保护措施, 而实践之中违反开源许可协议的做法主要发生在技术引进方故意将外部开源的代码封闭起来包装为自己软件产品的情况。在这种情况下,要求披露源代码的维权方更多是来自发达国家的开源软件权利人。这与东道国(技术引进方)通过要求披露源代码来实施贸易保护主义的做法完全是相反且没有关联的。正因为如此,一直致力于推动开源软件的软件自由法律中心(SFLC)认为,TPP第14.17条的源代码规则对自由软件、开源许可协议以及政府开源采购不会产生任何影响。
(二)国内制度建构的自然延伸:源代码规则的中国方案
鉴于WTO提案在总体上对我国具有潜在积极意义,而且与国内制度建构的精神一致,我国应当改变之前消极回避的态度,积极参与国际社会的规则制订,力争将国内法的制度设计映射到新一轮的国际规则之中。
就规则设计的立场,我国应旗帜鲜明地支持国际社会公认的私权保护、贸易自由和开放创新的原则,同时谨守安全可控的基准。国内有研究认为,我国可以将安全可控和开放创新并重的原则作为规制源代码的基本立场:一方面将自主可控作为我国信息技术安全的必然要求,在核心技术领域摆脱对外国的依赖;另一方面顺应信息网络产业的特点,坚持源代码领域的开放创新。笔者不否定“安全可控”对国家规制源代码的关键意义,也承认国家安全在任何场合之下的重要性,但在以打破贸易保护主义为主旨的数字贸易谈判之中,推动自由贸易和自由竞争秩序的建立,必然是缔约国追求的首要目标。为服务该目标及背后的国家利益,缔约国需要对各自的安全利益作某种程度的、可控范围之内的妥协。如果各方一味强调安全问题而不作任何妥协,国际协调将难有建设性的进展。就此而言,我国的源代码规则立场可以设计得更加的平衡:第一,坚持将私权保护和贸易自由作为基准之一,确保无论是我国“走出去”还是国外“走进来”的软件企业都能获得较高的知识产权保护,有信心其投资和创新成果不会被东道国政府肆意剝夺,成为市场准入和贸易保护主义的牺牲品。第二,将安全可控作为另一基准,确保国家对源代码的监管权可以正当行使,缔约国的核心安全利益不会受到损害。换而言之,新生的数字贸易秩序必须同时保障源代码的知识产权保护和缔约国的监管权,维系这两组重大利益的平衡,确保软件国际贸易秩序的健康持续发展。
就规则设计的具体模式和内容, 我国可以广泛吸收现有区域经贸协定和WTO合并文本的方案,提出中国特色的“原则+例外+配套保障措施”模板。首先,为了贯彻上述立场,我国同样应当明确缔约国在原则上不得以市场准入为条件,强制要求访问、转让、公开他国企业的源代码及当中的算法。算法同样应当纳入调整对象,因为从私权保护视角,算法的商业秘密可保护性与源代码是一样的。其次,为保障缔约国尤其是数量庞大的发展中国家的安全利益,我国提议的方案应当尽可能多地涵盖“例外场景”,确保国家监管的顺利开展。就此而言,美日欧模板、WTO提案所列举的例外,都可以考虑纳入我国提议的源代码规则之中。最后,缔约国在行使国家监管权,在“例外场景”采取强制披露源代码的措施时,必须遵循依法行政原则和比例原则,依据不同政策需要,针对不同的源代码拥有者和软件应用场景,确定不同强度的“披露”措施,并配套相应的保障措施,给软件权利人提供相应的救济。
