夜雨聆风[编者按]本文针对广州知识产权法院(2022)粤73知民初1366号案的判决意见,提出“混淆”可以是一种商业防护手段,但不应当然成为著作权法上的技术措施;“去混淆”可以被滥用,但其本身仍应保持技术中立。因此,不能将“混淆”直接认定为著作权法上的技术措施,也不能将“去混淆”认定为规避技术措施。
对于该观点,是肯定,还是否定?欢迎参与讨论,以期达成共识!
电话:023-67253442
邮箱:xnzscq@163.com
本文篇幅较长,分为上下两次刊发。
(续)
七、混淆与去混淆均应归入中性技术
在中立技术原则之下,混淆和去混淆都应当被理解为中性技术。混淆是软件开发者对代码进行处理的一种方式,目的可能是保护商业利益、提高分析成本、防止轻易修改,也可能只是出于压缩、优化、部署或者代码管理需要。它不当然等同于法律上的技术措施。它在技术上制造难理解状态,但并不必然形成著作权法意义上的不可突破封锁。
同样,去混淆也不当然具有违法性。去混淆的本质,是把难以阅读的代码恢复为较可理解状态。这与反编译、调试、协议分析、dump等技术分析行为具有共同结构,都是恢复理解能力。恢复理解能力并不天然等于复制、传播、修改或者商业替代。它只是使后续分析成为可能。
当然,去混淆可以被滥用。如果行为人将还原后的源码用于去授权部署、商业二开、复制销售或者替代原厂服务,其后续利用行为当然可能构成侵权。但违法性应当发生在这些后续利用行为上,而不应直接发生在去混淆本身。否则,法律就是把“可能导致侵权的能力”直接等同于侵权行为。
本案中,被诉网站宣传“可编辑二开”,确实显示其服务具有进入灰色产业链的危险。但危险性不等于已经发生现实侵权。法院可以在后续利用行为、商业化经营模式、帮助侵权责任等层面进行更精细评价,却不宜因此否定去混淆作为一种技术分析行为的中立性。将混淆和去混淆一并归入中性技术,才能为后续具体违法行为评价留下空间,也才能避免把技术能力本身违法化。
八、逻辑扩张风险:从混淆到加壳,再到编译
本案逻辑最危险之处,在于它不会自然止步于goto混淆。软件领域中大量技术都可以提高代码分析难度。除混淆之外,还有加壳、压缩、控制流扁平化、虚拟机保护、字符串编码、动态加载、运行时解密、编译优化等手段。这些手段都可能在不同程度上遮蔽原始代码结构,使程序更难被阅读、理解或者还原。
如果“提高理解难度”即可成为技术措施,那么加壳是否也应成为技术措施?压缩是否也应成为技术措施?虚拟机保护、控制流重排、字符串编码是否也应成为技术措施?这些问题一旦被类推,技术措施的边界将不断外扩。最初只是goto混淆,随后可能扩张到加壳、VM 保护、压缩和各种代码不可读化处理。
更进一步,编译本身是否也可以被认定为技术措施?编译的功能,是将源代码转换为目标代码。经过编译之后,注释消失,变量名消失,代码结构发生变化,可读性大幅降低。对于许多编译型语言而言,目标代码甚至完全遮盖了源代码。若从“遮蔽源码”“提高理解难度”“防止他人阅读和修改”的角度看,编译实现的效果比许多混淆更彻底。
如果goto混淆可以成为著作权法上的技术措施,那么理论上,编译似乎也可以被说成是保护源码表达的一种技术措施。如此一来,反编译就会变成规避技术措施。这个结论显然会冲击软件行业长期形成的反编译中立性,也会影响安全研究、兼容开发、漏洞分析、软件鉴定等大量正常技术活动。
这正说明,本案逻辑存在体系性风险。它从一个特定的PHP解密案件出发,却可能将所有恢复理解能力的行为都推入技术措施规避框架。最终,法律评价对象将不再是复制、传播、商业替代等侵权利用,而是“是否突破了权利人设置的不可理解状态”。这将使整个软件技术体系进入能力风险化状态。
九、范围扩张风险:民事、行政和刑事的扩张
本案逻辑的扩张风险,不仅体现在技术对象上可能从混淆扩张到加壳、编译等其他中性技术,也体现在责任体系上可能从民事责任扩张到行政执法和刑事追诉。换言之,问题并不只是“某个被告是否应当承担一万元民事赔偿”,而是一个民事裁判一旦确认“混淆属于技术措施、去混淆属于规避技术措施”,这种行为定性就可能在后续行政、刑事程序中被不断援引和放大。
在民事层面,最直接的影响是权利人可以绕开传统软件著作权侵权中较难证明的复制、传播、修改等要件,转而以“规避技术措施”为核心请求权基础。传统软件侵权诉讼通常需要证明被告复制了软件、传播了软件、销售了侵权复制品,或者进行了实质性相似的商业利用;而在本案逻辑下,只要证明存在混淆、存在去混淆服务、存在恢复源码可读性的行为,就可能直接进入侵权评价。这会使权利人维权路径明显前移,也会使“技术分析行为”承担原本属于“侵权利用行为”的责任压力。
在行政层面,这一认定可能进一步影响版权执法、平台治理和网络服务监管。若混淆被视为技术措施,提供去混淆、去壳、解密、授权绕过等服务的网站、店铺、群组和平台链接,均可能被投诉为提供规避技术措施服务。行政机关或者平台在处理投诉时,可能不再细致区分技术分析、研究审计、兼容维修与侵权利用,而是倾向于将相关服务作为“破坏技术措施”的高风险对象进行下架、屏蔽或者处罚。这样,民事判决中的个案定性,就可能转化为平台治理和行政执法中的普遍风险标签。
在刑事层面,风险更加明显。刑法修正案(十一)已经将未经许可故意避开或者破坏保护著作权或者与著作权有关权利的技术措施,纳入侵犯著作权罪的行为类型。2025年两高《关于办理侵犯知识产权刑事案件适用法律若干问题的解释》又进一步明确,明知他人实施侵犯著作权犯罪,而提供主要用于避开、破坏技术措施的装置、部件,或者为他人避开、破坏技术措施提供技术服务,达到相应数额或者情节标准的,可以按照侵犯著作权罪追究刑事责任。由此可见,一旦“混淆”被纳入技术措施范围,“去混淆服务”就不只是民事侵权风险,还可能成为刑事追诉的入口。
这一点在本案语境下尤其值得注意。本案民事阶段展示出来的收费金额并不高,判决最终也仅支持一万元赔偿。但是,民事取证所能固定的通常只是少量交易事实,并不能代表真实经营规模。如果权利人以该民事判决作为行为违法性的前置材料报案,公安机关一旦立案,便可能通过调取支付流水、服务器数据、聊天记录、客户名单、网站后台等方式查明真实交易规模。届时,原本在民事案件中只是“几百元、上千元”的解密行为,可能被扩展为具有持续经营性、规模化、产业化特征的刑事案件。
因此,本案的风险并不止于民事责任的扩大,而在于民事、行政、刑事之间可能形成一种连续扩张链条:民事判决先确认混淆属于技术措施,行政执法据此将相关解密服务纳入治理对象,刑事追诉再以规避技术措施服务的经营规模为基础判断是否入罪。如此一来,最初只是对PHP goto混淆的个案判断,便可能逐渐演化为对整个“恢复理解能力”技术活动的跨部门、跨责任体系规制。
这也进一步说明,技术措施的认定必须十分谨慎。若技术措施的外延过宽,将中性的混淆、加壳、编译等技术处理均纳入其中,那么相应的去混淆、去壳、反编译等分析行为,就可能同时面对民事侵权、行政处罚和刑事追诉三重风险。问题的核心不在于灰色解密产业是否应当治理,而在于不能通过扩大“技术措施”概念,将大量中性技术活动一并推入违法犯罪工具的框架。
十、判决对软件行业、鉴定机构与数字取证的影响
首先,本案裁判会直接影响软件混淆问题的定性。过去,混淆更多被理解为软件厂商提高分析难度、保护商业利益的技术手段;本案则可能使混淆获得著作权法意义上的技术措施地位。一旦完成这种法律定性,去混淆便不再只是代码分析,而可能被视为规避技术措施。
其次,这一逻辑会影响大量类似手段。加壳、压缩、代码虚拟化、动态加载、字符串编码、授权验证等技术,都可能被类比为技术措施。相应地,去壳、解压、动态分析、反编译、调试、dump等行为,也可能被纳入规避技术措施的风险范围。软件行业中原本属于分析、研究、审计、兼容、维修的技术活动,将被迫面对更多法律不确定性。
再次,本案鉴定机构具有特别重要的影响。软件鉴定、电子数据鉴定、恶意代码分析、技术事实查明,均不可避免地依赖技术接触。鉴定机构可能需要复制目标程序、制作镜像、dump固件、反编译目标代码、去混淆源代码、破解压缩包密码、绕过设备锁或者恢复删除数据。从形式上看,这些行为都可能涉及复制作品、接触商业秘密或者突破技术限制。
在公检法机关委托鉴定的情况下,鉴定机构的技术接触可以较大程度上由司法程序正当化。其行为是为事实查明服务,法律后果通常由委托机关的程序授权吸收。但即便如此,鉴定机构仍应遵守必要性、最小范围、目的限定、留痕记录、禁止扩散等原则。因为法律真正明确赋权的是司法机关,而不是鉴定机构自身。
在当事人委托场景下,风险更为明显。鉴定机构不直接处于公权力程序之内,其去混淆、反编译、破解、dump等行为,可能被对方主张为侵犯著作权、规避技术措施或者非法接触商业秘密。如果去混淆本身被视为违法,那么当事人和鉴定机构为了证明侵权所实施的技术分析,反而可能成为新的被控对象。
这会导致软件诉讼陷入证明悖论。原告为了证明侵权,需要分析被告程序;被告为了抗辩,也需要分析原告软件;鉴定机构为了形成意见,需要对双方代码、目标程序或者运行逻辑进行比对。如果恢复理解能力本身被违法化,那么软件案件将面临“不分析无法证明,一分析可能违法”的困境。这显然不利于案件的事实查明。
十一、结语
本案真正值得反思之处,不在于法院是否应当打击灰色解密产业,而在于法院是否应当通过技术措施概念,将去混淆这种中性技术处理方式提升为法律上的绝对封锁。软件源码当然应受保护,企业也当然可以通过混淆、授权验证、加密狗等技术手段提高侵权成本、维护商业利益。但是,保护源码并不等于保护源码的不可理解状态。
混淆可以是一种商业防护手段,但不应当然成为著作权法上的技术措施;去混淆可以被滥用,但其本身仍应保持技术中立。法律应当规制的是利用去混淆成果实施的复制、传播、去授权部署、商业二开、替代销售等具体侵权行为,而不应直接处罚恢复代码可读性本身。
如果不坚持这一点,技术措施保护就会从保护著作权利用秩序,扩张为保护商业控制,再进一步滑向认知控制。届时,法律评价的对象将不再是“是否实施侵权利用”,而可能变成“是否拥有恢复理解能力”。这种方向将严重影响软件分析、安全研究、兼容开发、知识产权鉴定和数字取证。
因此,对于本案所体现的裁判逻辑,应当保持充分警惕。混淆不应成为法律封锁,去混淆不应当然被认定为规避技术措施。只有坚持技术中立性原则,才能在保护软件权利人与维护软件可分析性、鉴定可行性、技术研究自由之间,建立真正合理的边界。
作者简介:
沈兵,上海汉光知识产权数据科技有限公司鉴定机构负责人
