以上情境,就是Sony BMG在11月初利用rootkit駭客技術(XCP程式)引爆的防盜拷風波。由於Sony BMG並未在終端使用者授權條款(即消費者授權條款,EULA)中誠實告知XCP安裝之用途與影響,根據外電報導,目前已經有德州檢方與加州公民團體對其提出告訴。電子疆域基金會(Electronic Frontier Foundation)更直指XCP程式的運作在EULA出現之前,也就是說,消費者不論是點選「同意」或「拒絕」安裝,該程式都會自行植入而無法刪除;即使強制刪除又會影響到電腦系統的穩定性。整起事件爆發後,業者與防毒公司擬合作提供移除程式,卻又爆發該移除程式會帶來更大的安全漏洞,可說一波未平一波又起。
電子自救概念與科技保護措施
整起案件,很顯然地是電子自救(Electronic self-help)技術與概念運用不當所致。所謂電子自救,就是當著作權人(或授權人)在察覺被授權方有違約情形時,不透過法律主張權利,而是以科技措施配合追蹤使用功能,偵查是否有違約情況,如果答案肯定,將直接以電子方式限制、或銷毀使用中的著作。美國統一商法典U.C.C.曾經允許self-help的行為,但考量其對被授權者可能造成的風險,統一電腦資訊交易法(The Uniform Computer Information Transactions Act,UCITA)在2002年修正時,已明文禁止採用此種電子技術作為違約時的救濟。
雖然如此,電子自救概念一直存在各類軟體製造業者或銷售業者間,對於業者的「科技保護措施」(Digital Right Management)反對人士批評,他們的行為根本就是借屍還魂,迴避UCITA中有關業者是否有權使用、或者限定電子自救的方式、執行權利的爭論。引用千禧著作權法(Digital Millennium Copyright Act, DMCA)中「禁止任何人規避、破壞DRM」的規定為其行為背書,並透過EULA取得消費者同意豁免或授權其遠端監控的權利。例如多數的軟體業者(包括Sony BMG)會在EULA中聲明,業者可能在一定情況或條件下主張權利,但不對電腦可能形成的毀損負責。基於契約自由理念,除非業者在EULA中有所欺瞞或契約條款有重大瑕疵,否則一般多承認EULA的效力。
我國法規適用分析
我國目前法制狀況與美國雷同:著作權法在92年7月已納入權利管理電子資訊及防盜拷措施條款,禁止任何人製造、散布或提供可破解、破壞、規避科技保護措施的技術、設施、資訊或服務,違反者可能必須負擔民事或刑事責任。也就是說,從現行著作權法角度,任何人都得尊重、維護與保障著作權利人在DRM授權與使用該著作之義務,但業者義務在著作權法中似乎付之闕如。此時必須探究其他法律規範的適用空間。以下分為三個層次討論之:
業者植入rootkit行為之法律責任
從國外報導可知,XCP在性質上即屬於一種後門程式。雖然業者強調,並無意藉此工具從事任何非法行為,但若從國內外刑罰已開始思考直接處罰「製造工具」的行為而言,rootkit程式研發行為本身或許已有法律可非難性。
事實上,駭客工具與商業利益並行,向來都是資安界一個不公平但普遍存在的現象。例如我國刑法第359條「無故取得、刪除或變更他人電磁紀錄罪」,依其立法理由,即是針對駭客植入後門程式的行為而設計;第362條亦針對製作專供犯罪工具之行為有處罰規定。但因為刑法規範的是自然人的行為,除非另有法令規定(如公司法),否則這項條文並不適用企業法人。此處是否產生「只准企業放火,不許百姓點燈」研究駭客技術的不公平現象,值得玩味。
業者植入rootkit造成消費者資安風險法律責任
Sony BMG是否構成民法概念中的「加害給付」,是一個可能的思考方向。所謂加害給付,係指債務人於債務履行時給付有瑕疵,導致債權人的權利受到損害。此時需要釐清,購買並且安裝這張CD的消費者是否受到損害?從國外相關討論可知,XCP程式並不必然造成電腦系統的損害,只是其運作可能讓電腦安全系統(如賽門鐵客、趨勢防毒軟體等)無法察覺,讓其他駭客有機會利用這項漏洞遮蔽行蹤,增加使用者電腦不必要的安全風險。從民法侵權行為損害賠償以「所受損害與所失利益」為限(民法第216條參照),消費者可能只有等到有第三方駭客利用該程式入侵電腦並造成實際損害,或發生如電子疆域基金會所指,強制刪除該程式而影響到電腦運作並造成損害時,才能根據民法第227條第2項請求損害賠償。
民法第184條「一般侵權責任」、第191條之1的「商品製造人責任」亦同;原告必須主張行為人主觀上具有故意過失、客觀上受到損害,損害與侵權行為間具相當程度的因果關係,才有前述條文適用可能性。惟眾所周知,資安事件從「發生」到「被發現」,其過程中參雜了時間與空間變數,損害造成的「原因-結果」關係並不容易釐清。從本案僅止於「不當增加安全風險」程度觀之,恐難以民法損害賠償責任具體繩之。
商品標示責任
為保障現代交易社會中消費者權益,避免前述消費者難以法律主張權利救濟的爭議,我國制訂了消費者保護法(以下簡稱消保法)。根據消保法第7條,企業經營者對所生產之商品或提供之服務應符合「當時科技或專業水準可合理期待之安全性」;所謂的「符合當時科技或專業水準合理期待安全性」,根據消保法施行細則第5條,應就(1)商品或服務之標示說明,(2)商品或服務可期待之合理使用或接受,(3)商品或服務流通進入市場或提供之時期認定之。
因此,若Sony BMG所採取的防盜拷措施已明顯超越一般消費者所認知的功能,且商品或服務的標示說明不實,並未於明顯處警告標示及緊急處理危險的方法,此時消費者可以要求企業經營者回收該批商品或停止其服務。
結論
在本案出現之前,鮮少有人認為DRM與資安議題相關。從前述法律適用分析可知,由於資安風險與實際損害間的因果關係不容易具體認定,Sony BMG所引起的風波,最後可能只需要擔負消費者保護法「誠實標示商品資訊」責任而已。雖然如此,本案突顯駭客工具商用化的發展趨勢,並留下不少的問號:消費者以為自己對合法購買的電腦(硬體)和載具(CD或程式)擁有全部的所有權與支配權,但是所謂的真正權利人(特別是軟體業者)可以在未經同意情況下,在電腦中植入特定程式以監控、或摧毀特定功能(終止授權)時,消費者對電腦空殼、CD載具的所有權究竟有何意義?當電腦中滿是各類業者植入的科技監控程式時,立法者可能要求電腦使用者或各機關(構)網管人員對系統的安全漏洞負起法律責任嗎?
責任歸屬判斷困難,國內外法制(不論是民法或刑法)已經在思考是否應要求企業經營者或網站管理者資安維護責任,但至今還沒有任何結果;過去的思考角度,也多是單純從犯罪防制角度切入。本案告訴我們,駭客工具的發展與運用不僅是犯罪防制的議題而已,或許商業應用的發展趨勢是所有立法者更應該小心與注意的議題。
註一:rootkit源自於Unix環境,駭客常利用其做為惡意程式的「隱身衣」,藉以隱藏病毒、間諜、或木馬程式在電腦中的活動。
本文作者現任職於資訊工業策進會科技法律中心專案經理