深知灼见丨在开源网站上擅自发布他人源代码的认定与规制

2023-02-17 18:55:00
​——某网络公司诉某兴公司、某石公司侵害商业秘密纠纷案

来源 | 深圳知识产权法庭

编辑 | 玄袂

A公司向B公司授权使用许可源代码,约定不可转让,而B公司员工将源代码免费分享在开源网站Github上,成为无数IT人的“福利”,这种行为应承担什么法律责任?

来看下面的案例——

裁判要旨

计算机软件的源代码属于商业秘密保护的客体。使用人依约定使用权利人的源代码,应严格履行保密义务。使用人的技术人员将权利人的源代码发布到国际开源网站上,从而导致权利人的源代码处于对外披露的泄密状态,造成开源网站上的用户可对该源代码进行复制、使用、修改或传播。对此,权利人可以选择违约或者侵权来追究使用人侵害商业秘密的法律责任。对于权利人软件源代码价值高、侵权人披露开源软件范围广,给权利人造成重大损害的,应加大赔偿力度,使侵权人承担较高的赔偿责任。

典型意义

本案属于侵害商业秘密重大疑难复杂前沿案件,对商业秘密案件司法审判具有重大指导意义。计算机软件源代码属于企业的重要商业秘密,能为企业带来丰厚的经济利益和竞争优势,是企业的重要战略资源,保护企业的源代码对保护企业创新,促进国家创新发展具有重大意义。

本案原告将其研发的源代码授权给被告使用,并约定被告承担保密义务。但被告违反保密承诺,将原告授权使用的源代码上传到Github全球开源网站共享平台上,使原告的源代码成为向全球公开的开源代码,任何人均可以对该源代码进行复制、使用、修改、传播,被告行为构成对原告源代码商业秘密权益的侵犯。

本案依据我国反不正当竞争法顶格酌定判决两被告连带赔偿原告经济损失及维权合理费用500万元,加大了知识产权保护力度。同时,本案判决不仅制止了被告的商业秘密侵权行为,还有效防止了全球开源社区因发布侵权源代码而引发的后续著作权侵权纠纷,保障国际社会开源软件有序发展。

案情介绍

原告某网络公司与被告某兴公司签订《源代码使用许可合同》,约定:原告授权被告非专有不可转让使用“有客多小程序源码”,许可使用期限为合同签订日起20个自然年度。被告应要求接触涉案源代码的员工遵守保密约定,不得对外透漏涉案源代码。若员工违反保密约定,被告应承担连带责任。2018年10月24日,原告按许可合同约定向被告某兴公司交付了加密的涉案源代码及相关文件。2019年4月,原告接到客户投诉,称在全球源代码共享平台Github上发现涉案源代码被公开发布。经查,涉案源代码于2018年12月31日被用户名为“luXin212121”发布到Github全球源代码开源网站的公共存储库,后被Github平台多个用户复制。虽无法获悉用户名“luxin212121”的具体身份信息,但被披露的涉案源代码中有众多信息指向被告某兴公司与某石公司,这些信息包括两被告的版权信息、域名、客服电话、logo以及平台注释、系统平台名称、默认签名、内部配置参数等。被告某石公司是被告某兴公司的唯一股东。基于以上事实,原告请求法院判令两被告连带赔偿经济损失及维权合理费用共计5076.916万元。

裁判内容

深圳中院知产法庭一审判决:被告某兴公司赔偿原告经济损失及合理维权费用共计500万元,被告某石公司承担连带责任。

原告、两被告均不服,上诉至最高人民法院,最高人民法院于2022年11月15日作出二审判决:驳回上诉、维持原判。

裁判理由:

一、涉案源代码属于商业秘密。原告在本案中主张的商业秘密为有客多软件中20个技术点对应的965个源代码文件。司法鉴定意见认为上述源代码具有“非公知性”。原告提交了有客多软件使用许可合同及相关许可费的证据,显示涉案源代码能给原告带来经济利益,符合“价值性”要求。原告对涉案源代码的管理采用VPN统一安全授权、SVN账号密码加密授权,原告与员工签订有保密协议,原告与客户签订的使用许可合同中约定了保密条款且以加密载体交付,符合“保密性”要求。

二、被告某兴公司构成商业秘密侵权。其一,被告某兴公司与原告签订《使用许可合同》获取了涉案源代码。其二、虽无法获悉用户名“luxin212121”的具体身份信息,但其披露的涉案源代码中,众多信息均指向被告某兴公司与某石公司。这些信息包括两被告的版权信息、域名、客服电话、logo以及平台注释、系统平台名称、默认签名等内容。其三,需特别关注的是,披露的涉案源代码修改了原来的第三方平台的配置参数(该参数为发起微信功能所需秘钥,由用户在微信第三方平台私密获取)及目标数据库的访问地址data.db.url参数(该参数为数据库存储路径,修改后的参数显示为在阿里云购买的rds数据库链接地址)。对前述参数的修改及修改后的信息属于企业的机密,不为外人所知。其四,用户名“luxin212121” 还在Github网站的其他三个存储库发布源代码,亦含有大量指向被告某石公司的信息。前述部分信息虽可通过互联网获知,但有些是外人难以知晓或不会关注的信息。综上,用户名“luxin212121”在Github网站的不同存储库、不同源代码中汇集了指向两被告的丰富、完整企业信息,除了被告某兴公司或其知情的员工外,他人均难以做到。

三、根据涉案源代码的研发与销售情况、原告年度报告、侵权行为的性质、情节、主观过错、侵权持续的时间、反漏洞费用以及原告为制止侵权行为所支付的合理费用等因素,酌情确定被告某兴公司赔偿原告经济损失及维权合理费用500万元。被告某石公司是被告某兴公司的唯一股东,其未能证明被告某兴公司的财产独立性,应承担连带赔偿责任。

专栏回顾

深知灼见 | 互联网平台处理个人信息的审理思路

深知灼见 | 对深圳惩罚性赔偿指导意见的解读(下)

深知灼见 | 对深圳惩罚性赔偿指导意见的解读(上)

深知灼见 | 关于侵犯商标权犯罪案件非法经营数额认定的问答

深知灼见 | 深圳知识产权法庭外观设计专利侵权案件示范案例

深知灼见 | 制造、销售专利侵权行为的认定

深知灼见 | 外贸公司进出口代理中对货物侵害知识产权的责任

深知灼见 | 合成图片作品类型的审查认定

深知灼见 | 构建多元技术查明机制 提高知识产权审判效率

深知灼见 | 商标权惩罚性赔偿的适用

深知灼见 | 现有设计抗辩和先用权抗辩的认定

深知灼见 | 率先细化知识产权惩罚性赔偿制度  深圳中院司改再下一城

深知灼见 | 首用证据妨碍排除规则 深圳中院破题知识产权维权“举证难”

(图片来源 | 网络)

+1
0

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
评论区

    下一篇

    ——全国首例适用《个人信息保护法》案件,深圳知识产权法庭主审法官为您解读。

    2022-01-21 16:45:00