Recent legal news from China

金杜遇见独角兽丨“游戏外挂”违法吗?违反了什么法律规定? 作者:孙及 金杜律师事务所公司证券部 “金杜遇见独角兽”是我们新近推出的专栏,将定期发布跟“独角兽”相关的各种专业、前沿的观点述评与行业观察。首期将推出6期“网络游戏热点法律问题系列问答”,继上一篇探讨了《未成年人网络保护新规渐近,对游戏企业将带来怎样的影响?》,本期我们继续说说“游戏外挂”这事违不违法。 关于“外挂”的概念,现存法律规范层面上的解释主要体现于新闻出版总署等有关部门于2003年12月18日联合发布的《关于开展对“私服”、“外挂”专项治理的通知》。根据该通知,“私服”、“外挂”违法行为是指“未经许可或授权,破坏合法出版、他人享有著作权的互联网游戏作品的技术保护措施、修改作品数据、私自架设服务器、制作游戏充值卡(点卡),运营或挂接运营合法出版、他人享有著作权的互联网游戏作品,从而谋取利益、侵害他人利益。” 尽管该通知未能就“私服”与“外挂”两种不同的行为做出明确区分,但该通知将“私服”、“外挂”两种行为都明确定性为非法互联网出版活动,要求应予以严厉打击。 根据有关学者的研究,在网络游戏中,“外挂”亦称为游戏辅助程序,系指通过破解游戏软件的技术保护措施,对游戏软件进行反向工程后找出该游戏程序的技术“漏洞”,从而编制能够在用户端改变游戏程序操作的一种独立外接(挂)程序。由于该程序独立于游戏软件,又外接于游戏程序,故而被称为“外挂”程序;又由于其对游戏程序具有辅助作用,因此被称为游戏程序的辅助程序。 一般意义上的“外挂行为”可以概括为四种: 编制外挂软件并出售牟利(“制售外挂”); 单纯出售外挂程序牟利(“单纯销售外挂”); 利用他人制作的外挂程序从事网络游戏有偿代练升级而牟利(“利用外挂从事有偿代理升级”); 利用外挂软件避开游戏安全保护措施在游戏中自动赚取虚拟游戏币(“通过外挂获取游戏数据”)。 上述“外挂行为”根据具体的行为性质、以及严重程度,可能会导致行政、民事及刑事责任。 首先,根据《出版管理条例》及《网络出版服务管理规定》的相关规定,从事互联网游戏出版活动的,必须经过主管部门的批准或许可。未经批准或许可的,任何单位或个人均不得开展互联网游戏出版活动。外挂软件在出版程序上没有经过主管部门的批准,属于非法互联网出版物,利用外挂软件开展互联网游戏出版活动,违反了《出版管理条例》及《网络出版服务管理规定》的规定以及《关于开展对“私服”、“外挂”专项治理的通知》。根据《出版管理条例》及《网络出版服务管理规定》等规定,外挂软件可能会导致取缔,责令关闭,没收出版物,违法所得和相关设备工具,以及罚款等行政责任。 其次,根据《著作权法》及《计算机软件保护条例》的相关规定,经国家版权局合法登记的计算机软件受国家著作权法的保护,未经著作权人允许,复制发行或者部分复制发行著作权人的计算机软件的,均构成计算机软件著作权侵权。编制外挂并置于网上供人下载或者通过网络销售外挂的行为不仅在出版程序上违反了相关行政法律法规,在内容上也侵犯了游戏正规出版单位以及游戏软件著作权人等主体的合法权益,违反了《著作权法》、《计算机软件保护条例》的有关规定,应视情况承担相应的民事责任。 最后,外挂行为尤其是制售外挂、单纯销售外挂行为,情节严重的,可能涉及侵犯著作权罪或非法经营罪。 根据《刑法》第217条侵犯著作权罪的规定,构成侵犯著作权罪有三个条件: 一是以营利为目的; 二是违法所得数额较大或者有其他严重情节; 三是实施以下特定四种行为之一: 未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品; 出版他人享有专有出版权的图书; 未经录音录像制作者许可,复制发行其制作的录音录像; 制作、出售假冒他人署名的美术作品。 最高人民法院《关于审理非法出版物刑事案件具体应用法律若干问题的解释》第2条及第3条对“违法所得数额较大”及“其他严重情节”以及“复制发行”做出了进一步的解释。根据上述规定,制售外挂、单纯销售外挂行为属于以营利为目的的未经许可复制发行计算机软件行为,若满足个人违法所得数额在5万元以上,或单位违法所得数额在20万元以上,又或具有以下构成“其他严重情节”情形的: 两次以上因侵犯著作权被追究行政责任或者民事责任,两年内又再犯; 个人非法经营数额在二十万元以上,单位非法经营数额在一百万元以上; 造成其他严重后果的;则符合侵犯著作权罪的构成要件,需承担相应刑事责任。 2011年上海徐汇区人民法院审理的余刚、曹志华等11名被告人通过反编译手段破译网游《龙之谷》的客户端程序,开发脱机外挂软件,利用外挂软件生产并销售《龙之谷》游戏虚拟货币一案,判决认为11名被告人以营利为目的,未经著作权人许可,复制其计算机软件,并利用侵权软件获取游戏虚拟货币并销售后牟利多达460余万,情节特别严重,构成侵犯著作权罪。 根据《刑法》第225条非法经营罪的规定,本罪的立法目的在于惩治严重扰乱市场管理秩序的行为以保障特殊市场的健康运行,本罪在客观方面的表现是行为人违反国家法律、行政法规对经营行为的禁止性或限制性规定,或未经有关部门批准或虽经批准但超出批准范围所进行的非法经营活动。本罪的主观要件为故意并且具有谋取非法利润的目的。本罪侵犯的客体为国家限制买卖物品和经营许可证的市场管理制度。根据最高人民法院《关于审理非法出版物刑事案件具体应用法律若干问题的解释》第11条及15条的规定,违反国家规定,出版、印刷、复制、发行严重危害社会秩序和扰乱市场秩序的非法出版物,情节严重的,构成犯罪的,以非法经营罪定罪处罚。非法经营罪与国家的特殊许可制度有关,互联网出版行业是我国出版业的重要组成部分,制造销售外挂行为情节严重的,直接侵犯了我国出版业的许可经营秩序。在制售外挂、单纯销售外挂行为满足以非法营利为目的,违法所得数额较大或者非法经营情节严重的条件下,构成非法经营罪,需要承担相应的刑事责任。 江苏南京市中级人民法院审理的董杰、陈珠夫妇雇佣12名员工日夜运营“热血传奇”外挂程序,并收取游戏用户资金一案,判决认为两被告人无经营主体资格,未经盛大公司许可和授权,非法将外挂软件使用到盛大公司享有著作权的游戏程序上,进行有偿代练,牟取了约200万元巨额非法利益,侵害了盛大公司的合法权益,严重侵害了市场管理和公平竞争秩序,构成非法经营罪。 相关文章: 网络游戏运营企业需要具备哪些基本资质? 网络游戏运营企业是否必须办理《网络出版服务许可证》? 法律对移动端网游的防沉迷系统及实名制是如何要求的? 未成年人网络保护新规渐近,对游戏企业将带来怎样的影响? View Full Post
The Wise and Informed Adapts to the Changing Time and Circumstances Discussing the Issues on “Information Technology – Personal Information Security Specification” from a Practical Perspective By Susan NING, WU Han King & Wood Mallesons’ Commercial & Regulatory group. 2017 has witnessed a quickened pace of legislative development on personal information protection worldwide. A variety of countries in the Asia-Pacific region introduced or amended their legislation on personal information protection. View Full Post
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 作者:宁宣凤 吴涵 金杜律师事务所商务合规部 回首2017年,全球个人信息保护立法快速发展。比如在亚太地区,《中华人民共和国网络安全法》(以下简称“《网安法》”)于2017年6月1日实施,2017年2月澳大利亚通过强制性数据泄露通知法案。此外日本的《个人信息保护法》(Personal Information Protection Act)修订版也于2017年5月30日起全面生效。 展望2018年,个人信息保护的发展更值得大家期待。欧盟委员会颁布的《一般数据保护条例》(General Data Protection Rules,下称“GDPR”)将在2018年5月25日正式生效实施,其管辖范围的规定不论是否在欧盟成员国有无实体,有无在成员国内处理个人信息,使得任何向欧盟境内提供商品或者服务,或者监控在欧盟内欧盟居民的行为的组织,都受GDPR的管辖。考虑到全球经济一体化趋势,GDPR管辖范围的扩大很大程度上将影响全球个人信息保护的实践。随着该立法趋势,各国个人信息保护立法将不可避免的冲击本土及跨国企业的实践,各企业需要在各国个人信息保护规则中寻求共性、建立普遍适用的合规体系。 在这个大背景下,国家标准化委员会参考国内法律法规、国际规则和实践制定的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)在2018年1月24日正式公布,并将于2018年5月1日正式实施。 本文将结合其他国家的立法实践,讨论《个人信息安全规范》适用中的实务问题。 《个人信息安全规范》的基本框架 全国人大常委会2012年12月审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2016年11月审议通过《网安法》(以下简称“一法一决定”)。“一法一决定”的颁布和实施,对企业处理个人信息提出了基本法律要求,比如、《网安法》就在第四章“网络信息安全”中对个人信息保护的基本原则、网络运营者的行为义务等进行了总括性规定。在现有原则性、概括性的法律条文下,企业有关个人信息保护的具体合规工作仍旧缺乏具体指引。《个人信息安全规范》的颁布,从国家标准层面对企业收集、保存、使用、共享、转让、公开披露信息等信息处理环节的各项行为提供了具体的合规指引。 术语和定义 在《网安法》的基础之上,新增界定了若干核心的标准术语和定义,如个人信息、个人敏感信息、个人信息控制者、明示同意、用户画像、个人信息安全影响评估、匿名化与去标识化 个人信息安全基本原则 权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与 个人信息处理流程 个人信息的收集 按照个人信息的处理流程,针对各个环节中对个人信息控制者的要求、个人信息主体所享有的权利进行具体、详尽的阐述 个人信息的保存 个人信息的使用 个人信息的委托处理、共享、转让、公开披露 个人信息安全事件处置 组织的管理要求 附件 个人信息示例 以定性描述+非穷尽列举的方式,介绍个人信息与个人敏感信息的判定标准与示例 个人敏感信息判定 保障个人信息主体选择同意权的方法 结合《个人信息安全规范》的要求,以提供实践模板的方式,阐释企业的产品与服务在需要收集个人敏感信息与拟定隐私政策时需要关注的内容与要求 隐私政策模板 参考文献 从参考文献目录可见,在《个人信息安全规范》指定的过程中,起草者不仅仅参考了我国个人信息保护领域方面的主要法律法规和既存的国家标准,更进一步地参考了多部与个人信息保护相关的外国法律法规与标准等,如欧盟的《一般数据保护条例》、欧美隐私盾、欧洲标准委员会的《个人数据保护实践(good practices)》OECD隐私框架、APEC隐私框架,以及美国国家标准与技术研究院(NIST)的相关文献。 《个人信息安全规范》的效力 根据2017年11月4日修订通过,2018年1月1日施行的《中华人民共和国标准化法》,“标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准”[1]。《个人信息安全规范》是一项推荐性国家标准,并不要求企业强制执行。 换句话说,企业个人信息安全保护工作一旦与《个人信息安全规范》中的要求不一致,并不一定意味着企业必然违反相关的法律法规。 但根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设一贯遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则。作为推荐性标准,一般需满足“基本通用”的要求,《个人信息安全规范》应该被视为企业“基本通用”的实践指南,具有普遍适用性。 此外,值得企业注意的是,推荐性国家标准尽管没有强制力,但除了为各类组织提供实践指引以外,其作用还包括为监管机构执法提供参考。《个人信息安全规范》中就明确指出,其“适用于规范各类组织个人信息处理活动”,也适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”。 考虑到“一法一决定”的配套措施体系仍处于基础建设阶段,尽管我们理解《个人信息安全规范》是一项不具有强制力的国家标准,但由于其普遍适用性,以及可能作为监管部门执法的参考材料,一旦企业的实践背离《个人信息安全规范》中的要求,实践中企业可能需要承担更大的证明成本以说明企业行为的合规性,因此我们仍然建议在实践中,企业应把《个人信息安全规范》的要求落实到位,以求在个人信息安全保护体系建设中,做到合规、安全和高效。 国内企业适用《个人信息安全规范》的注意要点  随着《网安法》的颁布和实施,大多数国内企业都根据《网安法》的基本原则以及行业惯例形成了基本的个人信息安全保护制度。但《个人信息安全规范》以《网安法》为基础,结合其他司法辖区的立法和实践,为企业提出了更为具体,更为细致的要求。企业需要根据《个人信息安全规范》的要求,打破与之冲突的行业惯例,重新审视内部个人信息安全保护制度。  1.怎么同意才作数? 实践中,企业收集信息征得个人信息主体同意的方式往往比较简单,通常采用的是不拒绝视为同意的原则,个人信息主体的知情同意往往流于形式。《个人信息安全规范》中不仅明确定义了 “明示同意”的概念,直接提出了“个人敏感信息的收集和使用需获得用户明示同意”的新要求,还以实践模板的方式演示了“明示同意”的方式。为了适应《个人信息安全规范》的要求,企业需要结合具体的数据类型、收集和使用场景,制定最合适的获取个人信息主体授权同意的方式,做到用户体感和个人信息保护的平衡。 2.用户同意万事大吉? 目前行业实践中,大部分企业都将用户的知情同意作为个人信息收集的充分合规条件,忽略了必要性原则的门槛。对于《网全法》第四十一条规定的收集、使用个人信息的必要性原则,《个人信息安全规范》第5.2条进一步给出了三项衡量标准,即收集个人信息与实现产品或服务的业务功能之间的直接关联、最低频率和最少数量关系标准。相比于欧盟GDPR中对于目的受限(Purpose Limitation)和数据最小化(Data Minimisation) 原则,《网安法》并未对必要性原则展开说明,《个人信息安全规范》的细化要求有利于保护个人信息主体的合法权益。 对于企业而言,有必要厘清自身产品和服务的具体业务功能以及实现该功能所必要的个人信息类型、收集频率和数量。否则在无法建立企业收集、使用个人信息必要性的情况下,企业很可能遭到用户和监管机构的质疑和挑战。侵犯个人信息相关主体的合法权益,可能会引发公益性集体诉讼,公司不仅要承担财产和名誉受损的风险,企业短时间所需更正的数据收集方式和类型,可能对公司的业务形态造成重大影响。 3.不同信息要不同对待! 对于个人信息的收集,企业通常“一网打尽”,在收集、存储、和使用各个环节“一视同仁”。但《个人信息安全规范》区分了个人一般信息和个人敏感信息。《个人信息安全规范》附录B还列举了个人敏感信息的判定因素和具体类型,包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份识别信息等。 根据《个人信息安全规范》,企业首先需要了解自身收集的数据类型和数量,并将其进行相应的分类。对于个人敏感信息,建议按照《个人信息安全规范》的要求进行收集、存储和使用: 收集个人敏感信息时,应取得个人信息主体的明示同意; 收集个人敏感信息时,应区分产品核心功能和附加功能 存储个人敏感信息时,应采用加密等安全措施 对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权; 4.用户权利不能不理! 对于个人信息的主体而言,除《网安法》中规定的删除权与请求更正权利以外,《个人信息安全规范》还对个人信息主体的权利进行了细化要求,以增强个人信息主体对其个人信息的控制。例如个人信息主体撤回同意权利、注销账户权利、获取个人信息副本权利、对于自动决策的申诉权利等。[2]此外,个人信息主体的上述权利实现机制也须在个人信息控制者制定的隐私政策中予以明示。 此外,对于尚未建立对个人信息主体各项请求进行响应的企业而言,应当针对企业的商业实践和数据处理的目的尽早建立相应的响应机制。例如,企业可以在隐私政策中告知用户联系热线或者在服务平台上建立查询、修改个人信息或注销账户的方式,以满足个人信息访问、更正个人信息或注销账户的请求权 5.安全事件如何应对? 《网安法》第二十五条和第四十二条,分别提出了网络运营者应当制定并在发生危害网络安全的事件时及时启动网络安全事件应急预案,以及个人信息安全受到严重侵害时及时通报用户和有关主管部门的要求。《个人信息安全规范》第9部分对网络安全事件应急预案和个人信息安全事件处置予以了进一步的详细规定,包括安全事件应急处置和报告、安全事件告知两方面的内容。 在安全事件应急响应方面,建议企业制定个人信息安全事件应急预案,其中包括个人信息安全事件的分类、事件分级、组织体系与职责、预防预警、应急响应、保障措施等;定期组织内部相关人员进行应急响应培训和应急演练;在发生个人信息安全事件时,应及时将事件相关情况告知受影响的个人信息主体及有关主管部门。 6.制度建设很重要 事前的预防效果一般而言优于事后的补救,对于安全事件的处理问题,配备完善的技术队伍,明确各方负责人的领导责任,以此形成良好的管理系统和个人信息保护工作机构,为个人信息安全事件建立坚实的防火墙是比较有效的预防措施。《个人信息安全规范》就组织的管理要求制定了一系列相关规范,尤其是对于个人信息处理从业人员较多或者处理大量个人信息的企业,还需设立专职的个人信息保护负责人和个人信息保护机构。 对于企业而言,较为主要的个人信息组织管理措施包括定期对个人信息安全影响进行评估,建立自身的评估机制,除此以外,还应建设适当的数据安全能力,定期对相关人员进行管理培训,并对自身建立的相关隐私政策以及安全措施的有效性进行审计,完善具体的审计系统,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、损毁和丢失等情况发生。  跨国企业适用《个人信息安全规范》的注意要点  对于国内企业,跨国企业所面临的个人信息保护问题更为复杂。由于跨国公司数据流转的多个环节可能涉及多个司法辖区,企业内部个人信息安全合规体系往往需要协调多国个人信息保护的法律和要求。 此次公布的《个人信息安全规范》已经参考了OECD隐私框架、APEC隐私框架等国际规则,GDPR、欧美《隐私盾框架》(EU-U.S. View Full Post
作者:金杜律师事务所 2018年2月6日,在《知识产权管理》(MIP)最新发布的2018年全球商标事务所排名榜单中,金杜律师事务所以在商标申请和商标争议解决两个领域的卓越表现,再次被评为这两个领域的第一等事务所, 再次彰显金杜商标团队的雄厚实力和稳定的市场领先优势。  在另一家权威的国际知识产权媒体《知识产权资产管理》(IAM)前不久发布的《世界商标评论1000强》2018年商标保护与诉讼、商标非诉与策略两个类别的全球领先事务所榜单中,金杜同样跻身两个榜单的金牌事务所之列。这也是金杜第六年问鼎该机构商标领域榜单。此外,金杜的五位合伙人李中圣、史玉生、杨晓莉、廖飞、林久初,分别被该机构评选为中国商标诉讼和非诉领域领先律师。 作为全球知识产权领域最具权威性的两家媒体,《知识产权管理》和《知识产权资产管理》每年均在全球范围对数千家企业及知识产权事务所进行广泛深入的调研,结合客户的反馈,对律所的工作量、业务质量及商标团队的实力进行整体考量评估,评选出最具领先实力的商标事务所。  金杜商标业务负责合伙人杨晓莉表示,“再获两大机构的顶级排名,我们感到很自豪。尽管中国商标知识产权保护市场竞争日益剧烈,但我们始终以准确的市场定位和创新性的思路专注于该领域,结合金杜领先的法律平台,为客户提供独一无二的商标管理和商标保护解决方案,成为他们长期合作的可靠伙伴。” View Full Post
  By King & Wood Mallesons King & Wood Mallesons (KWM) has advised Shenzhen-listed By-Health Co., Ltd. on the acquisition of Australian probiotic market leader Life-Space Group, for a purchase price of up to A$690 million. The transaction represents By-Health’s first major outbound acquisition in the Australian healthcare industry, with Life-Space operating the Evolution Health and Ultramix businesses as well as the Life-Space brand of probiotics. View Full Post
作者:金杜律师事务所 近期,深交所上市公司汤臣倍健股份有限公司(简称“汤臣倍健”)在金杜律师事务所(简称“金杜”)的协助下,成功签署收购协议以不超过6.9亿澳元收购澳大利亚益生菌领军企业Life-Space集团。 此次交易是汤臣倍健对澳大利亚医疗保健行业的首次重大“走出去”收购项目,涉及Life-Space集团旗下的Evolution Health和Ultramix业务以及Life-Space益生菌品牌。  由澳大利亚和中国团队联合组成的金杜跨境团队为此次收购提供了独家法律服务。项目负责合伙人是中国办公室张天镝和澳大利亚办公室Will Heath。该项目主要团队成员还包括:中国办公室合伙人吕膺昊、杨晓荃、周蕊,以及团队律师韩彧、李青林和丘亮;澳大利亚办公室合伙人Andrew Deszcz,以及律师团队成员Michael Robertson,Rebecca Williams和Jason Xu。 谈到本次交易,张天镝律师表示,“我们很高兴协助我们的长期客户汤臣倍健在澳大利亚进行首次收购,这次收购将极大地提升汤臣倍健的国际发展潜力,以拓展其在中国的强健业务运营能力。” Will Heath补充道:“金杜是唯一一家拥有成功处理此类并购交易经验和能力的国际律所,能够跨中澳两国无缝连接地提供澳大利亚和中国法律服务。” 交易尚需取得澳大利亚外国投资审查委员会、中国监管部门和汤臣倍健股东大会的批准,预计将于今年晚些时候交割。 View Full Post
金杜遇见独角兽丨未成年人网络保护新规渐近,对游戏企业将带来怎样的影响? 作者:孙及 金杜律师事务所公司证券部 “金杜遇见独角兽”是我们新近推出的专栏,将定期发布跟“独角兽”相关的各种专业、前沿的观点述评与行业观察。首期将推出6期“网络游戏热点法律问题系列问答”,继上一篇探讨了《法律对移动端网游的防沉迷系统及实名制是如何要求的?》,本期我们继续说说未成年人网络保护新规会对游戏企业带来哪些影响。 如何保护未成年人免受网游世界不良影响的侵害一直是政府、家长、游戏运营企业乃至社会各界关注的重点,虽然相关法规要求采取“防沉迷系统”、“实名认证”、“未成年人家长监护工程”、“页面健康游戏忠告”等诸多措施,但是效果并不显著,近年来未成年人沉迷网络,荒废学业,甚至酿出祸端的新闻可谓屡见不鲜。 2016年底,文化部发布《关于规范网络游戏运营加强事中事后监管工作的通知》,对未成年人安全上网提出诸多规范,要求网络游戏运营企业要设置未成年用户消费限额,限定未成年用户游戏时间,并采取技术措施屏蔽不适宜未成年用户的场景和功能等。 2017年1月,国家网信办起草《未成年人网络保护条例(送审稿)》,该稿要求,网络游戏服务提供者应当采取技术措施,禁止未成年人接触不适宜其接触的游戏或游戏功能,限制未成年人连续使用游戏的时间和单日累计使用游戏的时间,禁止未成年人在每日零点至八点期间使用网络游戏服务。 一旦《未成年人网络保护条例》落地,短期内可能对目前国内游戏业造成一定的影响。首先,该条例基本明确了目前的PC、手机、乃至游戏主机等上网设备预装未成年人保护软件将成为必须要件,同时对进口上网设备亦做出了规定。此外,该条例明确了0-8点未成年人禁止游戏,可能对网游产品的收入带来负面影响。 但从长远来看,上述规定将整肃网络游戏环境,鼓励网络游戏企业开发更健康向上、质量更高的游戏产品。同时,社会上对网络游戏的负面质疑也会减少。这些因素更有利于优秀的网络游戏企业的持续健康发展。 View Full Post