三、网络安全审查制度的历史沿革、相关概念及审查流程

《网络安全审查办法（2021）》指出，网络安全审查制度，是影响或可能影响国家安全的关键信息基础设施运营者采购的网络产品和服务，数据处理者开展的数据处理活动，依法进行安全审查制度。

1、历史沿革

2016年，全人常颁布《网络安全法》；2017年，国家网信办发布《网络产品和服务安全审查办法（试行）》（2017版办法（试行））；2019年，国家网信办发布《网络安全审查办法（征求意见稿）》（2019版办法（征求意见稿））；2020年，国家互信办发布《网络安全审查办法》（2020版办法）。滴滴在美国上市将《网络安全审查办法》的监管对象扩大至“网络平台运营者开展数据处理活动”。2021年，国家互信办发布《网络安全审查办法（修订草案征求意见稿）》（2021版办法（征求意见稿））；2021年12月28日，《网络安全审查办法》（2021版办法）正式公布，2022年2月15日生效。

2、相关概念

（1）“关键信息基础设施运营者”

“关键信息基础设施”：影响国家基础设施建设的重要网络设施、信息系统。

“重要网络设施”和“信息系统”是符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新型通信设施等。“运营者”为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门，即工信部、发改委、交通运输部、水利部、人行、中国银保监会、中国证监会、国防部等。

（2）“网络平台运营者”

2021年版《网络安全审查办法》将 “数据处理者”修改为“网络平台运营者”。《网络安全法》规定，“网络运营者，是指网络的所有者、管理者和网络服务的提供者。”网络平台运营者可能是网络平台所有者、管理者和网络服务提供者。网络平台大体分为网络销售平台、生活服务类平台（连接人与服务、服务功能）、社交娱乐类平台（链接人与人、社交娱乐功能）、信息资讯类平台（人与信息、信息资讯功能）、金融服务类平台（人与资金、融资功能）以及计算应用类平台（人与计算能力、网络计算功能）。“平台”不仅包括第三方平台，还包括自营平台等。

3、审查流程

关键信息基础设施运营者，采购网络产品和服务时，应当预判该产品和服务投入使用后可能带来的国家安全风险；申报网络安全审查时，提交申报书、分析报告、上市申请文件等材料；网审办10工作日内确定是否需要审查，30+15工作日内完成初步审查，15工作日书面回复意见；进入特别审查程序的90+工作日，听取意见，深入评估，再次形成审查结论建议，报中央网信委批准，形成审查结论后通知。网络审查办公室报中央网信委批准后，也可主动审查。

4、其他问题

数据安全审查、网络安全审查非同一制度，须独立进行研究。

四、网络安全视域下“翻墙”上网的正确姿态

2017年，工信部《关于清理规范互联网网络接入服务市场的通知》规定，未经电信主管部门批准，不得自行建立或租用专线等其他信道开展跨境经营活动。2018年12月28日，广东韶关公安局依据《计算机信息网络国际联网管理暂行规定》6、14条处罚对翻墙个人进行行政处罚。翻墙行为导致行政处罚甚至刑事风险。

1、国际联网运作模式概述

中国境内的计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。国际出入口信道主要设置在国际通信业务集中的中心城市，如上海、深圳等地。目前有4个，中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科技网。用户可通过具备经营许可证的三大通信公司的计入网络连接到中国公用计算机互联网，进行国际联网的计算机信息网络。

2、企业“翻墙”可能存在的法律风险

中国境内一些跨境经贸交易的中小企业可能没有严格按照法律规定的国际联网模式上外网，而是租用虚拟专用网络进行“翻墙”活动。

中小企业使用非法的国际出入口信道，同时通过非法境外接入网络联接至国外互联网行为不符合法律规定，存在法律风险，主要有行政处罚风险和刑事处罚风险。

（1）行政处罚

《计算机信息网络国际联网管理暂行规定》指出，进行国际联网，未使用国际出入口信道或者未接入接入网络，违反其中任何一项规定，“由公安机关责令停止联网，给予警告，可以并处15000元以下罚款；有违法所得的，没收违法所得”。一些企业的翻墙行为，公安机关有权责令停止，给予警告并处罚款；还可以没收跨境经营的违法所得收入。在对企业处罚时，并无相关规定可以对企业相关人员进行处罚，理应不追究企业相关人员的责任。但“翻墙”是企业行为还是个人行为，还须根据具体证据进行判断，若有证据证明系企业人员所为时，相关人员仍有受到行政处罚的风险。

（2）刑事处罚

严重的“翻墙”行为会给企业相关人员带来“牢狱之灾”，“VPN翻墙”行为触犯罪名。

直接因“翻墙”获罪的案件较少，目前费执行机关着力整治的领域，但2016年开始，网络安全执法丽都逐年加大。以上案件4起案件系通过“翻墙”软件散播危害国家社会的不实言论，3起为出售境外VPN服务，3起罪名为“提供侵入、非法控制计算机信息系统程序、工具罪”，当企业员工因工作需要“翻墙”上网时，其使用的VPN被执法机关认定为企业提供，该罪名同样适用于企业。

目前执行机关打击非法出售VPN的经营者，如果国家网络安全政策缩紧，将重拳打击企业的“翻墙”行为。

3、企业应对法律风险的建议

（1）开通国际互联网专线，合法连接境外网络：国际专线按月计算，开通国际专线后，还要避免访问境外非法或敏感网站。

（2）内设屏蔽网管，只允许访问境外必要网站

（3）完善内部管理章程，加强对员工“翻墙”培训：要求员工不浏览非法或敏感网站，保存好培训材料，及时保留和备份网络日志，作为企业面临法律风险时的抗辩证据。

五、网络安全视域下如何下架境外侵权网站

网络安全侵权案件核心问题是证据的收集和确定、侵权主体的锁定。而侵权方经常将服务器设置在境外以逃避境内监管，以下是为数字经济企业提供下架境外侵权网站的方法和思路：

1、下架境外侵权网站方式之一：律师函

2、下架境外侵权网站方式之二：行政投诉

3、下架境外侵权网站方式之三：联系网络服务提供商

六、源代码是否属于商业秘密

1、“源代码”概念：

《计算机软件保护条例》规定，计算机软件是指计算机程序及其有关文档。计算机程序一般指源程序和目标程序。文档是描述计算机程序的文字资料或图表。因此，互联网企业研发的计算机软件主要包括源代码、目标代码和有关文档。源代码是人类可读的计算机语言指令，主要用汇编语言恶化高级语言写出来的代码。目标代码就是源代码经过编译程序产生的，能被中央处理器CPU直接识别的二进制代码。源代码是人类看得懂、机器看不懂的，目标代码是机器看得懂、人类看不懂的。源代码关乎企业的生死存亡，互联网企业笼统地将计算机软件成为“源代码”。

2、源代码的“三性”鉴定：

商业秘密是一种商业信息（包括技术信息和经营信息），具有秘密性（不为公众所知悉）、商业性（具有商业价值）和保密性（权利人采取保密措施）的“三性”特征。源代码属于技术信息（商业信息），具有商业秘密的“三性”特征。

七、源代码泄露的类型

源代码泄露大体分为主动泄露、无意泄露、被动泄露三种类型。

1、主动泄露：

（1）员工泄露源代码

（2）员工非法修改源代码

员工修改源代码是否属于侵犯互联网企业的商业秘密，实务中有争议，被告人王某对金某职务侵占罪案认为装备依赖特定的游戏环境才有使用价值，不具有商业秘密特性；而李某侵犯商业秘密案，法院判定李某违反保密协议，非法获取、使用公司商业秘密，从中牟利给公司造成重大损失，构成侵犯商业秘密罪。

2、无意泄露：

（1）申请软著时泄露源代码

（2）马甲包买量时泄露源代码

（3）共同研发时泄露源代码

3、被动泄露：

“私服”（窃取源代码）、“外挂”（植入附加程序）在游戏行业很常见。司法实践中，法院一般将窃取源代码并私自架设服务器的行为界定为“复制发行计算机软件”，定为侵犯著作权罪。而对兜售外挂软件的违法行为人，法院的判决则不同，有的认为属于“出版、印刷、复制、发行业务”，认定非法经营罪，有的认为外挂程序复制互联网游戏程序源代码中的部分内容，研发网络游戏外挂程序须以原程序为基础，存在复制游戏数据的客观事实，认定为侵犯著作权罪；有的认为行为人提供侵入计算机系统的附加程序，被认定为提供侵入、非法控制计算机信息系统程序、工具罪。

八、源代码被动泄露的诉讼策略

互联网企业在源代码失窃后采取何种方式进行维权：

1、源代码被动泄露的刑事策略分析

第三方盗取互联网企业的源代码一般涉及刑事上的侵犯著作权罪和侵犯商业秘密罪。虽然按照法律规定，可适用侵犯商业秘密罪，但实务案例较少，大概因为盗窃行为较为隐蔽，取证难度较大且涉及技术问题，定罪量刑难度大，不便定罪。

2、源代码被动泄露的民事策略分析

第三方盗取互联网企业的源代码一般涉及民事上的著作权侵权和不正当竞争。

（1）涉及不正当竞争的法律规定

（2）涉及著作权侵权的法律规定

违法行为人盗取互联网企业源代码并私自架设服务器的行为符合民事上著作权侵权及不正当竞争的规定，但实际案例中，多为游戏素材抄袭，对于是否窃取源代码无法判断，因此违法程度不及犯罪，退而选择民事诉讼。且互联网企业同时提出著作权侵权和不正当竞争诉请后，多数法院认为侵权行为属于著作权侵权法律关系调整范畴，在支持著作权侵权主张成立的情况下，就同一侵权行为不再支持不正当竞争。

九、源代码对外侵权的潜在风险

互联网企业在研发源代码过程中，也存在对外侵权的风险。这种风险来源于互联网企业的程序员所使用的代码如果是开源代码，就会收到开源代码所附带的开源许可证的约束。市面上常见的开源许可证主要有MIT许可证BSD许可证、Apache许可证、GPL许可证、Mozilla许可证和LGPL许可证不同的许可证有不同的约束要求，而且开源许可证的法律效力已被美国法院直接认可，中国法院也从侧面认可了开源许可证的法律效力。因此，如果互联网企业的程序员使用 GPL许可证、Mozilla许可证或LGPL,许可证进行二次开源，开源后选择闭源并采取保密措施进行保护，就违反了开源许可证的要求，有侵权的潜在风险。

十、源代码保护的合规设计

1、互联网企业必须做好保密措施

互联网企业内部员工如果盗取源代码或非法修改源代码，重则涉嫌构成侵犯著作权罪或侵犯商业秘密罪，轻则承担民事责任。

2、慎用马甲包买量

市面上协助互联网企业上架应用商店的技术公司需要使用互联网企业的代码，以便用“代码混淆”“代码修改” 等技术手段通过应用商店的审核，才能帮助互联网企业成功上架马甲包，在这一过程中或存在源代码泄露风险。

3、申请软著作例外交存或封存

4、合作研发源代码时须审慎拟定协议，特别是知识产权相关条款

5、采取源代码技术保护措施，必要时提起刑事控告

6、慎选开源代码，仔细研读开源许可证

互联网企业研发的源代码应尽可能减少使用强制开源的开源软件如确实需要使用开源软件，在使用前应仔细研读该开源软件的开源许可证，确认该开源许可证所属类型，尽量减少使用或者不使用GPL许可证、Mozilla许可证或 LGPL许可证。

十一、源代码侵权的诉讼之道

在司法实践中，源代码侵权诉讼的难点、关键点是侵权事实认定困难。一般而言，源代码侵权会按商业秘密侵权或著作权侵权进行认定进而要求源代码具有商业秘密的“三性”特征，或以著作权保护的客体是作品为由，要求当事人论证业务代码是否属于作品，或要求对方提供源代码以进行“同一性”的司法鉴定，这就极大地增加了胜诉难度。实务中，要避开仲裁庭对商业秘密的“三性”认定、著作权保护的客体认定及“同一性”的司法鉴定，成功获得胜诉裁决。

1、源代码侵权中普遍性争议难点及规避办法

（1）避开著作权的保护客体认定

（2）避开商业秘密“三性”的认定

（3）避开“同一性”的司法鉴定

2、源代码侵权中个案性争议难点及解决路径

（1）合同终止后知识产权条款的效力认定

（2）反编译取得的计算机软件程序的效力认定

3、源代码侵权案件总结

源代码侵权案件有学理争议、司法实务争议，又有技术问题分析。如何通过有效的诉讼策略节省当事人诉讼成本，增加胜诉概率，是源代码侵权案件可以深入研究的问题。企业在订立技术开发合同时，应妥善设置保密条款、知识产权条款及有效期条款的设计，根据企业地位进行相应的调整，保护企业利益。