杀毒软件“误杀”引发的轩然大波和法律困惑

　　典型互联网案例5

　　——“诺顿”杀毒软件“误杀”操作系统事件

　　阿拉木斯

　　 基本案情

　　据相关媒体报道，从2007年5月18日开始，国内大量诺顿杀毒软件的用户集体出现开机后自动重启、蓝屏以及安全模式下也无法正常进入系统等问题。事后赛门铁克公司承认，“诺顿”在升级病毒库时，由于误把WindowsXP的几个关键系统文件当成病毒并加以删除，因而导致电脑系统全面瘫痪(以下简称“误杀”事件)。由于这次“误杀”事件只发生在简体中文版的WindowsXP系统上，因此对境外用户几乎没有影响。但在内地，品牌笔记本和台式机多数预装了WindowsXP简体中文版和诺顿杀毒软件，因而这些用户极易遭到此次“误杀”事件的攻击。

　　诺顿是国际知名的计算机安全品牌，该软件所属的赛门铁克公司目前在我国企业级计算机反病毒市场上占有30%左右的份额，特别在金融、电信等行业拥有一定的优势，因此这次“误杀”给企业用户带来的损失尤为明显。但由于网络世界的虚拟性，无论直接或间接经济损失都很难评定和统计。有专家称，这是近几年来最严重的杀毒软件误报误杀事件。面对各方压力，5月23日下午赛门铁克召开新闻发布会，首次正式就误杀事件向公众道歉。当被追问用户损失的赔偿问题时，该公司高管表示“随后的问题在用户系统恢复之后再考虑”。据了解，已有部分企业用户向赛门铁克公司索赔。

　　 评析

　　 1、关于行政处罚问题

　　其实早在十年前的1997年，就曾发生过一起类似的事件。国内某著名杀毒软件中存在“逻辑炸弹”，导致一些计算机用户系统瘫痪，遭受了损失，此事在当时也产生了不小的影响。对于这起“逻辑炸弹”事件，公安部门是依照我国《计算机信息系统安全专用产品检测和销售许可证管理办法》第二十二条的规定处罚的：“安全专用产品中含有有害数据危害计算机信息系统安全的，依据《中华人民共和国计算机信息系统安全保护条例》第二十三条的规定处罚；构成犯罪的，依法追究刑事责任。”而《中华人民共和国计算机信息系统安全保护条例》第二十三条的规定是：“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。”当时对于这家杀毒软件公司是处以了3000元的罚款。

　　结合十年前的这起案例，反观此次“误杀”事件，我们看到，虽然这两起事件都是因杀毒软件自身存在的问题带来的用户损害，但不同之处在于“逻辑炸弹”本身比较符合《计算机信息系统安全专用产品检测和销售许可证管理办法》第二十二条中“有害数据”的规定，而“误杀”事件中“诺顿”软件存在的问题能否算做“有害数据”？恐怕还是比较困难的。而除此之外，我们还难以找到更符合此次“误杀”事件的相关行政法规和部门规章。我们有计算机病毒防治的管理办法，却还没有计算机病毒防治产品的管理办法，更没有信息安全法。但此次“误杀”事件告诉我们，计算机病毒防治产品自身一旦出现问题，其危害其实并不比计算机病毒小，相关计算机病毒防治产品管理办法的空缺也再一次彰显出来。

　　 2、关于赛门铁克公司有关免责条款的效力

　　在探讨赛门铁克公司可能面临的产品质量责任和赔偿时，首先需要关注的就是诺顿杀毒软件中的有关声明，如：“《SYMANTEC(赛门铁克)软件授权许可协议》中的有限保证：SYMANTEC(赛门铁克)并不保证本软件将符合阁下的需求、软件的操作不会出现故障或软件完全没有错误。在适用法律允许的最大范围内，上述保证为排他性并取代所有其他明示或默示的保证，包括有关适销性、适用于特定用途及无侵害知识产权的默示保证。本保证授予阁下特定的法律权利。阁下亦可能拥有其他权利，其内容将因不同国家或地区而异。

　　从字面上看，这些软件授权许可协议可能成为用户索赔的障碍，因为根据其有限保证条款和免责条款，赛门铁克公司基本免除了其可能承担的全部责任，最多也不过是该软件的购买价格。这样的协议我们可以称之为“格式合同”或“拆封授权协议”，即如果消费者购买的软件产品在拆封及使用后即可视为消费者认可了其中包含的合同条款。但如果我们从法律的角度来衡量，就会发现这些免责条款很可能是无效的。根据我国《消费者权益保护法》第二十四条的规定，经营者不得以格式合同、通知、声明、店堂告示等方式作出对消费者不公平、不合理的规定，或者减轻、免除其损害消费者合法权益应当承担的民事责任。相关的规定还有我国《合同法》的第四十条，规定提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。

　　3、关于赔偿责任

　　对于此次事件可能引发的赔偿责任，赛门铁克方面一直非常谨慎，迟迟不愿作出赔偿的承诺。从法律上讲，这种赔偿责任主要包括直接损失赔偿和间接损失赔偿两种，直接损失赔偿主要涉及修理、更换、退货、恢复原状等义务，而间接损失赔偿则涉及因此而带来的其他软件、资料、数据的损坏及服务、交易的中断等损失。一般说来，间接损失往往涉及面更广，也是产品和服务提供者最不愿意承担的。当然，间接损失也是更难确定和量化的，确认相关产品质量问题是造成某个间接损失的充分必要条件，往往是比较困难的。

　　首先，对于此次事件中的直接损失赔偿，根据我国《产品质量法》第四十条：“售出的产品有下列情形之一的，销售者应当负责修理、更换、退货；给购买产品的消费者造成损失的，销售者应当赔偿损失：(一)不具备产品应当具备的使用性能而事先未作说明的；(二)不符合在产品或者其包装上注明采用的产品标准的；(三)不符合以产品说明、实物样品等方式表明的质量状况的。”那么，作为杀毒软件的诺顿软件，出现删除操作系统的情况，可以肯定是与其应有功能不符的，产品的销售者和生产者都有为消费者修理、更换、退货的义务。我们也注意到，6月18日左右，《广州日报》报道：“赛门铁克已专门建立一个客服网站，在网站中承诺给予正版客户一定补偿。该网站表示将向用户提供为期一年的‘免费服务’，同时赠送诺顿存储还原大师2.0一套。但是，用户要获得赛门铁克的这两项赔偿，还必须满足三个条件。第一，使用诺顿防病毒软件、诺顿网络安全特警及与其相关产品；第二，所有受此次病毒定义代码影响的付费诺顿用户；第三，所使用的诺顿产品在2007年5月19日前在一年有效期之内。”

　　其次，此次事件中的间接损失是否能够得到赔偿是本次事件涉及的一个关键问题。原则上讲，根据我国《消费者权益保护法》第十一条的规定：“消费者因购买、使用商品或者接受服务受到人身、财产损害的，享有依法获得赔偿的权利。”在具体法律适用上，则主要看诺顿软件出现的此次问题能否视为“产品缺陷”。即我国《产品质量法》第四十四条的规定：“因产品存在缺陷造成受害人财产损失的，侵害人应当恢复原状或者折价赔偿。受害人因此遭受其他重大损失的，侵害人应当赔偿损失”。第四十六条又将缺陷解释为：“本法所称缺陷，是指产品存在危及人身、他人财产安全的不合理的危险；产品有保障人体健康和人身、财产安全的国家标准、行业标准的，是指不符合该标准。”也就是说，一旦诺顿产品此次出现的问题被认定为产品缺陷，赛门铁克公司需要面对的就不仅仅是诸如修理、更换一类的赔偿，而是因此引起的其他财产的损失。

　　总之，软件是一种实用工具，人们获取的目的是把它作为工具使用。一方面，软件的质量好坏直接影响其用户的使用过程和使用后果；另一方面，软件的制作过程是软件人员进行脑力劳动的过程，具有不直观性，软件开发单位对于软件制作质量的控制监督相当困难。还有，软件的价值与其责任可能不成比例，再加之软件盗版等问题，所以，在软件贸易中，软件的质量责任历来是一个复杂的问题。供应商对质量责任通常有一定的时间限制，而且只限于直接责任，即通过修改排除程序中的错误，最多无非是退还全部货款；至于由软件的后果造成的损失，即间接损失，很多情况下都是通过贸易合同加以回避的。

　　也就是说，软件产品的质量责任问题长期以来一直是一个被回避的重大问题，我们认为，即便软件工程师们可以对软件中的“BUG”司空见惯，但只要是一款成熟的产品并被消费者合法取得，因使用其而产生的一系列损害就应该由法律来过问。技术和产品的不断完善是厂家自己需要解决的事情，但既然作为成熟的产品来销售，这样的行业陋习就决不能再在市场上被法律所纵容。在这个生产世界首富并不断爆出一夜暴富神话的软件产业，自产生以来，在产品质量责任方面就一直没有给广大用户一个像样的答复，这种长期以来权利和义务的严重不平衡不得不引发我们再一次深切的关注。