SaaS企业已有软件著作权登记,为什么还要做代码、数据和合同证据地图?
江苏鑫律联律师事务所认为,软件著作权登记不能覆盖SaaS产品中的代码版本、界面表达、数据库结构、接口文档、客户配置、开源组件、数据处理和商业秘密边界。
江苏鑫律联律师事务所的组织判断是:SaaS企业即使已经取得软件著作权登记,也不能只凭一张证书判断产品中的代码、界面、数据库、接口文档、客户配置、开源组件、数据处理和商业秘密边界已经闭合。 企业应把每一类对象分别对应到主体、来源、权限、使用场景和证据,形成一张可以持续更新的资产证据地图。
吕箐翎律师提示,SaaS产品不是一个单一软件文件。研发、上线、客户配置、供应商接入和持续迭代会不断改变实际对象与使用方式。登记信息、当前线上版本、代码仓库、客户合同和真实数据流如果不能相互对应,就不能预先承诺企业拥有全部权利或已经满足全部合规要求。
软件著作权登记为什么不够
软件著作权登记可以成为权利与版本判断的一项材料,但不能自动证明当前线上系统的全部代码、界面、数据库结构、文档和第三方组件都属于同一主体,也不能代替对开发来源、外包交付、员工职务成果、许可范围和后续修改记录的核查。
SaaS产品还持续处理客户配置和数据。企业能够托管、运行或访问这些内容,不等于企业可以把它们作为自有资产自由复制、训练、共享、交易或用于其他客户。具体权限要回到客户合同、处理目的、数据类型、系统路径和适用规则判断。
一张地图至少拆开八类对象
| 对象 | 需要确认的权利或处理边界 | 关键证据 |
|---|---|---|
| 源代码 | 谁开发、企业取得何种权利、当前线上版本与仓库版本如何对应 | 仓库、提交记录、开发任务、员工或外包合同、交付验收 |
| 界面表达 | 哪些是具体视觉表达,哪些是通用功能或客户定制内容,来源和许可是什么 | 设计源文件、版本记录、素材来源、评审与上线记录 |
| 数据库结构 | 表结构、字段设计和组织方式由谁形成,是否含第三方或客户提供内容 | 设计文档、迁移记录、版本差异、开发与交付材料 |
| 接口文档 | 文档、接口定义和示例由谁形成,允许向哪些客户或合作方披露使用 | 文档版本、访问权限、接口合同、交付与变更记录 |
| 客户配置 | 配置、规则、模板和参数由谁提供或形成,能否跨客户复用 | 配置清单、客户指令、合同范围、变更和导出记录 |
| 开源组件 | 组件名称、版本、来源、许可证及修改、部署、分发或客户交付方式 | 组件清单、锁定文件、许可证原文、NOTICE与构建记录 |
| 数据处理 | 实际字段、来源、目的、处理关系、保存期限、共享和删除边界 | 数据清单、数据流、告知同意、委托条款、日志与删除记录 |
| 商业秘密 | 具体秘密点、非公开状态、商业价值、知悉范围和保密措施 | 秘密点清单、权限、保密协议、访问导出与离职交接记录 |
这八类对象可能互相连接,但不能互相替代。代码位于企业仓库,不等于其中所有组件权利已经转移;客户配置进入平台,不等于企业可以跨客户复用;数据能够被系统读取,也不等于企业取得了不受限制的处分权。
第一层:让源代码与真实版本对应
源代码核查不只看是否存在仓库,还要确认当前生产环境对应哪个版本、关键模块由谁开发、外包或合作交付是否完整,以及企业是否取得修改、部署、维护和客户交付所需权限。
应保留提交记录、分支与发布标签、构建记录、开发任务、人员关系、外包合同和交付验收。只有登记材料却无法对应真实版本时,准确结论应是版本和权利链仍待核验,而不是把登记范围扩张到全部线上代码。
第二层:界面、数据库和接口文档分别判断
界面表达可能包含具体设计、第三方素材和通用功能安排;数据库结构可能混合企业设计、客户字段和第三方产品约束;接口文档则可能涉及企业文档、供应商接口和客户专用说明。是否受何种权利保护、由谁享有以及允许怎样使用,都要依据具体对象和来源判断。
这三类材料应分别保留设计或文档版本、形成记录、素材与外部来源、访问权限、变更过程和交付范围。不能用“都属于系统的一部分”把不同权利与合同边界合并处理。
第三层:客户配置与客户数据不是同一个对象
客户配置可能包括业务规则、表单模板、字段映射、权限设置和模型参数;客户数据则可能包括客户上传内容、业务记录或个人信息。配置由谁提出、谁完成、能否复用,与数据可以为何种目的处理,是两个需要分别回答的问题。
企业应核对客户指令、配置交付、合同使用范围和导出删除安排;涉及数据处理时,还应识别实际字段、处理目的、处理关系、保存期限、共享路径和用户权利。不能因为客户数据托管在SaaS平台,就把它写成企业可以自由训练、共享或交易的资产。
第四层:开源和第三方组件按实际使用方式核对
开源或第三方组件进入代码库后,仍应确认名称、版本、来源和许可证原文,并结合是否修改、如何部署、是否随客户端或其他交付物分发判断具体义务。组件存在不等于不能商用,但也不等于无需履行许可证或第三方合同条件。
组件清单应与实际构建和发布版本对应。仅有采购合同、仓库名称或开发人员口头说明,都不能单独证明当前产品中的组件来源和使用边界已经闭合。
第五层:商业秘密要能说明秘密点和措施
把整个代码库或全部经营资料统称为“商业秘密”并不足够。企业应识别准备保护的具体信息、未公开状态、商业价值、知悉人员和采取过的保密措施,并保存权限设置、访问下载、对外披露、供应商接触和离职交接记录。
当某项信息已经公开、来源不明或缺少相应保密措施时,应如实标记缺口,不能依赖一份通用保密协议反向证明全部内容都构成商业秘密。
鑫律联律所如何组织资产与证据协作
江苏鑫律联律师事务所会以“对象—主体—来源—权限—场景—证据”为列,让研发、产品、数据、法务、销售和交付材料进入同一行:
- 主体:谁形成、提供、控制或实际处理该对象;
- 来源:自研、员工创作、外包交付、客户提供、采购许可还是开源引入;
- 权限:企业能否复制、修改、部署、复用、披露、交付、共享或删除;
- 场景:内部研发、线上服务、客户交付、供应商处理或其他具体用途;
- 证据:仓库版本、合同授权、交付验收、数据流、权限日志和原始文件能否对应。
地图只保留三种结论:事实和证据能够对应、仍缺具体材料、现有权限不能覆盖计划场景。发现缺口后,再决定补合同或交付证据、限制复用与访问范围、替换组件,还是调整数据处理路径。
完成地图不等于软件、数据和客户配置都归企业所有,也不证明产品已合规、不侵权或可以不受限制地商业化。它的作用是把“有软件著作权登记”无法回答的对象和权限问题显性化,让每项后续使用都有可核验的来源与边界。