微软在中国推出针对WindowsXP的“正版增值计划通知”。微软称,作为一种验证工具,“正版增值计划通知”可以帮助用户识别他们所运行的Windows软件是否为正版,并帮助非正版用户采取适当的行动,以保护其电脑系统免受使用假冒软件所带来的危害和风险。
然而,北京大学学生陆峰认为,微软公司推出的“正版增值计划通知”程序侵犯了自己的个人信息安全和个人隐私,他因此将美国微软公司、微软(中国)有限公司一同告上法院。2007年9月,北京市一中院受理了此案。
陆峰提交的起诉书称,他购买了一台预装WindowsXP操作系统的笔记本,根据WindowsXP系统自动更新的提示,他在笔记本电脑上安装了“正版增值计划通知”程序。但他随后发现,这是一个验证原告计算机所装的WindowsXP是否为正版软件的程序。被告微软公司可以通过定期运行该程序,收集原告计算机信息和个人信息,再经网络发送给微软公司。这种手段,不但可以确认用户的软件是否为正版,同时也可以获取用户的各种信息。
陆峰认为,该程序对用户计算机的信息安全和个人隐私造成重大威胁,妨碍了用户计算机所有权的行使。此外,在他安装上述程序的过程中,微软公司以格式合同的形式,排除了他的合法权利,违背了应尽的提示告知义务,侵犯了消费者和最终用户应享有的合法权益。陆峰请求法院判令被告删除获取原告的计算机信息和个人信息;提供卸载工具,删除其安装在原告计算机上的“正版增值”程序;在全国发行的报纸上赔礼道歉,并赔偿各种损失1350元。
针对陆峰的诉讼请求,微软公司表示不进行任何评论。
亚太网络法律研究中心在人民大学主办了以陆峰案件为主题的学术沙龙。与会专家针对案件相关的法律问题从各自的角度阐述了不同的观点。
用户对个人信息的商业性价值享有支配权
亚太网络法律研究中心主任刘德良教授认为:
被陆峰起诉的微软在中国推出针对WindowsXP的“正版增值计划通知”。
陆峰诉微软案既可按照合同之诉进行,也可按照侵权之诉进行。如果按照合同之诉,由于用户和微软之间存在有两个合同:一个是在最开始安装使用其视窗操作系统软件时有一个总的格式合同;另外一个就是安装本案软件所订立的一个子格式合同。因此,应该明确微软到底违反了哪个合同。不管从哪一个合同上讲,微软由于其安装方式的欺诈性及合同条款的不完整性(其中的隐私声明不是直接显示在页面上的合同之上而是通过再链接的方式提供的)和模糊性,没有为用户提供足够和明显的阅读合同条款的机会,因此,其本案所涉及的格式合同条款应该是无效的。用户可以据此要求微软提供下载该软件的方法。当然,用户也可用在承认该条款的有效性前提下,要求微软为用户提供其所收集信息的查阅权,微软应该满足用户的这种正当要求,这也是一种国际惯例。(按照欧盟1995年通过的《个人数据保护指令》,个人作为信息主体有权要求信息收集者为其提供查阅权等权利)。
如果从侵权之诉上考虑,有以下几个方面的问题需要注意:
微软称只收集它公布的信息,但根据此软件安装的欺骗性和诱导性,安装的不必要性,不可卸载以及其有信息收集的功能,可认定此软件是恶意软件,因此,对微软具体收集的哪些信息,举证责任应该转移到微软一方。
从技术上讲,微软收集信息的方式分为界面输入的方式和硬盘扫描收集的方式。通过用户界面输入的方式收集信息的,一般是用户输入什么信息,对方就只能收集哪些信息;而通过硬盘扫描的方式收集信息的主动权完全掌握在对方手中,理论上讲,虽然本案微软声称它只收集某些信息,没有收集用户的个人信息或其他不愿意让外界知道的信息。实际上,只要微软愿意,它可以收集用户电脑硬盘上的任何信息。因此,微软(关于只收集软件产品号、硬盘系列号等非个人信息)的声明值得怀疑。同时,结合微软所安装的本案所涉及的程序是以欺诈方式,加上本案所涉及软件的安装不是通过界面输入而是以硬盘扫描的方式进行的,因此,有理由推定,在微软获取其宣称的信息前,很有可能对用户的硬盘进行了全面的扫描,这对用户的信息安全带来了很大的威胁。
即使不考虑是否收集用户信息的问题,本案中微软以欺诈的方式安装恶意程序到用户的电脑空间上,实际上也侵犯了用户对电脑空间的所有权。在美国普通法规定,电脑或服务器空间被视为动产(chattles),未经许可擅自在用户的电脑上安装计算机病毒、恶意程序等的行为属于非法侵入他人动产的行为(trespass to chattles),应该追究侵权责任。因此,该案也为我国理论和立法提出了一个新的问题,即电脑内存和服务器空间是否具有类似于物权法上物的独立(即独立于电脑或服务器)法律地位?
本案微软在其隐私声明中声称其收集的用户信息将于第三方共享,这可能涉及到对个人信息的商业性利用问题。对于用户应该对自己个人信息的商业性价值应该享有支配权。因此,从理论上讲由于我国立法还不承认个人对其个人信息商业价值的财产权,因此,只能说“理论上”本案微软可能还涉嫌侵害了用户的个人信息财产权。
另外,即使对于盗版用户,微软的做法也是存在问题的。按照微软的合同,对于不能通过验证的用户被视为盗版用户,只要用户的电脑上安装上盖程序且没有通过验证,它都会定期以对话框的方式提醒用户“你是盗版软件的受害者……”等等的话语,这种行为无异于我们所谓的恶意程序。按照我们的理解,这种不断地强制要求盗版用户阅读信息的行为,会对用户产生骚扰。显然,微软不能以用户使用盗版软件为借口对其进行经常性骚扰。
总之,该案为我国历来研究和未来的立法提出了如下问题;
首先,如何保护包括个人信息在内的信息安全问题。这种信息安全绝对不仅仅是个人信息或隐私信息的安全,也包括个人或私人控制的所有信息的安全。实际上,目前的商业秘密保护法和欧盟上世纪90年代通过的《非独创性数据库保护指令》对于不能受到版权法保护的数据库给予财产权保护的做法,为我们保护私人电脑或服务器上的信息提供了借鉴,即可以承认私人所有或控制的电脑和服务器空间上的信息,类似于商业秘密或欧盟的非独创性数据库而给予财产权保护。这样,对于个人隐私信息可以给予隐私权等人格权保护,对于非隐私信息甚至其它保密信息可以给予商业秘密或欧盟非独创性数据库的财产权保护。
其次,未经许可,通过在他人的电脑或服务器上安装远程控制程序,擅自侵入他人(存储有个人信息或商业秘密乃至其他机密信息的)电脑或服务器空间的行为在法律上如何定性?如果受害者要求追究入侵者的隐私侵权责任,是不是需要受害者证明入侵者实际收集了那些隐私信息?
如果要求受害人举证的话,由于(诸如本案)技术原因,不要说是普通的用户或受害人,即使是网络安全技术方面的专家往往也无法举证或举证的成本非常高,显然,这种所谓的“谁主张,谁举证”的举证规则是不适用于类似的(利用恶意程序等实施的)网络侵权行为的。否则,既不利于受害人的保护,在客观上也具有纵容侵权人侵权的效果。因此,未来的立法应该将利用恶意程序等网络技术类的侵权行为列为特殊侵权行为,适用现行民法通则中“举证责任倒置”规则。
中国人民大学石佳友副教授认为:按照法国相关法律,被收集信息用户享有请求权:有权知道收集什么,知道出于什么目的收集,有权知道收集信息和谁使用。如果能够证明收集IP,则可能会是一个过分的行为。手段对于验证是否为正版过分,违背行为的比例性原则。IP地址收集的情况,使得其他信息也可能收集。
因为通过IP知道用户人的行为,这样很危险。能够描述出个人行为,这对于验证正版盗版与否是不必要的。
中国人民大学郭禾教授认为:本案由于微软承认其收集用户的IP地址,而IP地址可用间接识别出用户的身份信息,且微软完全没有必要收集用户的IP地址信息,因此,微软涉嫌非法或不当收集用户个人信息。如果承认用户的个人电脑空间属于私人领域,微软未经许可以欺诈的方式安装具有收集信息功能的程序进入用户的电脑空间,就是一种侵犯私人空间或隐私侵权行为。