FB的防詐騙專利：從專利工程師的角度淺談

Facebook patented imposter account detection system (PatentYogi.com, February 20, 2016)

US 9262610 (Google Patent)

臉書「複製人」詐騙興起 3妙招拯救你 (中時電子報，2016年03月5日)

神祕帳號寄邀請！　臉書有「另一個自己」其實是陷阱 (ETToday，2016年03月2日)


最近新聞報導一種在Facebook上的詐騙手法：詐騙者先以你某個好友的大頭貼與基本資料建立帳號，然後傳訊息給你，假裝是你的好友，然後騙取你的資訊或是詐財。其實這種詐騙手法並不是新的，已經行之有年了，Facebook也早就在2013年1月23日，就反詐騙的偵測方法申請了美國專利。這個申請案已經在2016年2月16日獲准了，專利號碼是美國專利9262610號。以下我們從專利工程師的角度，來看關於這個專利的幾個議題。


請求項策略

這個專利有兩個獨立項，兩項都是方法項，而且寫作的觀點相同，都是從「詐騙偵測者」的觀點來寫：

1. A method comprising:

receiving, by a server of a social networking system, a request from a client device of a requesting user of the social networking system to establish a connection to a target user of the social networking system;

retrieving a user profile associated with the requesting user including information identifying characteristics of the requesting user and information for identifying users of the social networking system connected to the requesting user;

retrieving a user profile associated with the target user including information identifying characteristics of the target user and information for identifying users of the social networking system connected to the target user;

comparing data from the user profile associated with the requesting user with data from user profiles associated with one or more users of the social networking system connected to the target user;

calculating a fraud probability score based on the comparison, the fraud probability score indicating a likelihood that the requesting user is a duplicate of a user of the social networking system connected to the target user; and

performing, using at least one processor, an action affecting the request to establish the connection based on the fraud probability score.

請求項第14項的內容與第1項有少許的不同，但基本概念是一樣的：

14. A method comprising:

receiving, by a server of a social networking system, a request from a client device of a requesting user of the social networking system to establish a connection with a target user of the social networking system;

retrieving a user profile associated with the requesting user and describing characteristics of the requesting user, the user profile associated with the requesting user maintained by the social networking system;

identifying one or more users of the social networking system connected to the target user;

retrieving user profiles associated with the one or more users of the social networking system connected to the target user;

comparing characteristics of the requesting user to characteristics of one or more users of the social networking system connected to the target user from the retrieved user profiles;

calculating a fraud probability score based on the comparison, the fraud probability score indicating a probability that the requesting user is an imposter of a user connected to the target user;

performing, at least one processor, one or more actions affecting the request based on the fraud probability score if the fraud probability score is at least a threshold value.

一般軟體專利我們會建議寫三種不同的獨立項，分別請求「方法」、「系統」與「紀錄媒體」這三種不同的標的類別。它們的目的不同，日後可以主張直接侵權的對象也不太相同。比如說，如果是跟手機APP運作方法相關的軟體專利，那麼方法項的直接侵權人，是使用這個運作方法的使用者；系統項的直接侵權人，是販賣能夠運作這個方法的硬體裝置的人 (當然這前提是系統項要寫得好)；紀錄媒體項的直接侵權人，是販賣儲存了這個APP軟體的儲存媒體的人 (當然在網路時代，很難想像有人會把APP比如燒在光碟裡販售就是)。

上述寫法比較有名的例子，是Apple拿出來告Samsung的專利，幾乎都採取這種請求項策略。比如 US 5,946,647、US 8,046,721、US 8,074,172等等。(嗯，不過前陣子Apple在上訴法院裡，這三篇專利的相關訴訟進行的都不太順利...。)

但是Facebook很明顯沒有選擇這樣做。其背後的原因，可能是因為要實施這個方法，需要存取高度機密的使用者資訊，所以必須在社群網站內部多方運作，很難把它獨立出來，在第三方系統運作，或是把程式碼獨立儲存在某個第三方儲存裝置。在社群網站內部，不同的功能模組會由不同伺服器運作，而伺服器與儲存程式碼的儲存媒體可能散落在各地。所以，對這個技術而言，整個運作的方法才是最重要的，具有用請求向來保護的價值。

此外，還有所謂「組合-次組合」的請求項策略議題。依這篇專利說明書的內容，這個反詐騙的方法，涉及fraud probability generator 214與remedial action manager 216。通常這種狀況，我們會考慮「組合-次組合」的請求項策略，比如說為fraud probability generator 214寫一項獨立項。它的好處是日後可以選擇對不同的業者主張直接侵權。如果有需要，有律師甚至在自己寫的書中，建議把組合跟次組合這兩個請求項分開成兩件專利申請案來提出申請。

Facebook很明顯也沒有選擇這樣做。背後的原因可能跟上面類似：由於需要存取使用者資訊由於，這個系統很難將某部分獨立出來運作。所以，Facebook不覺得需要撰寫次組合請求項。

上面這些請求項策略的抉擇，很難評斷對錯。不過，我們通常很難預測10年後，社群網站的防詐騙機制會變成怎麼運作。比如說，說不定真的會出現一個第三方業者，專門跟大型社群網站簽約，做fraud probability generator。這個業者在嚴格的保密合約的約束下，高度專業地偵測社群網站的活動，並產出即時的警告給社群網站，後續動作則由社群網站自己決定。在這個情況下，現在這個請求項就可能無法對該業者主張直接侵權了，系統請求項跟次組合請求項說不定會有用呢。


專利適格性

Facebook的申請案在2015年5月21日被核駁，唯一的核駁理由是違反美國專利法第101條的規定，非法定適格標的：

為了克服這個核駁，Facebook做的事很簡單：在方法項中增加硬體限制條件 (以下底線紅字部分，就是答辯時新加入的部分)：

1. A method comprising:

receiving, by a server of a social networking system, a request from a client device of a requesting user of the social networking system to establish a connection to a target user of the social networking system;

retrieving a user profile associated with the requesting user including information identifying characteristics of the requesting user and information for identifying users of the social networking system connected to the requesting user;

retrieving a user profile associated with the target user including information identifying characteristics of the target user and information for identifying users of the social networking system connected to the target user;

comparing data from the user profile associated with the requesting user with data from user profiles associated with one or more users of the social networking system connected to the target user;

calculating a fraud probability score based on the comparison, the fraud probability score indicating a likelihood that the requesting user is a duplicate of a user of the social networking system connected to the target user; and

performing, using at least one processor, an action affecting the request to establish the connection based on the fraud probability score.

在答辯的Remark裡，Facebook也惜字如金，一段話就解釋完，然後這個專利申請案就獲准了：

這個過程很值得討論。有參加過我們之前關於軟體專利核駁答辯的討論的話，就會知道增加單純的硬體限制條件，對克服適格性的核駁幫助不大。就算在申請時通過了，在法院訴訟時也可能還是會有問題。其原因很簡單：如果請求項被認定為指向抽象概念，那麼單純地增加硬體限制條件，很可能會被認為並未增加美國聯邦最高法院在2014年的Alice案建立的兩部測試法中，第二步的「significantly more」。

Facebook這樣答辯的理由很簡單：審查委員就是這樣核駁的。審查委員的核駁理由，明白引用了「機器或轉換測試 (Machine or Transformation Test)」這個已經被聯邦最高法院認為「很有用但不是唯一測試」的觀念，而且還在其核駁理由中，明白表示「建議申請人在方法項中，明確包括使用了特定硬體。」當申請人碰到這種核駁，當然遵照指示辦理，而且基於降低禁反言的風險，別的話絕不會多說。

簡單來講，審查委員在2015年的核駁理由書中，關於專利適格性的把關，用的還是舊觀念。並沒有遵循2014年最高法院的見解，以及嗣後美國專利商標局對應修改的審查指南。這造成Facebook拿到一個看似很廣的權利範圍，其適格性問題，日後在法院還有得吵。

最後，這是一個社群網站的相關專利。所以以後請別問我「社群網站 (或是xx網站) 的東西可以申請專利嗎」這種問題了。Facebook已經拿到專利給你看了，不是嗎？


延續案申請策略

Facebook在2015年11月6日收到了這個申請案的核准通知，並在2016年1月11日繳交了領證費。在繳交領證費之前，在2015年12月30日，Facebook提出了申請案第14/985,033號，並主張了這個案子的國內優先權。

提出延續案的好處在此就不多贅述。重點是這個提出延續案的實務做法，在美國真的很常見。申請人只要覺得這個案子有一定的價值，就會願意再付一次規費，為這個案子申請延續案。有時候甚至會看到連續好幾個延續案的狀況。然後，延續案如果跟再領證案 (Reissue Patent) 交替運用，依目前的實務見解，效果會非常棒，棒到日後收到警告函的人，會覺得很難防禦。

但是對台灣廠商而言，會如此操作的就相對少見。造成這個狀況的原因可能有三點。

首先，台灣專利法沒有這個國內優先權制度，所以一般人不熟悉。這個問題是教育訓練的問題。台灣廠商應該先對所謂的美國延續案，包括部分延續案，以及再領證案等等美國特有的制度，建立基本觀念。然後再了解延續案跟再領證案交替運用應該怎麼操作，以及究竟是棒在哪裡。這樣先建立熟悉度之後，自然這個問題就迎刃而解。

再來，台灣廠商運用專利權的手段，之前是相對保守，所以在成本考量下，多半不傾向於再花錢在一個「感覺內容會很像」的專利申請案上。這是成本導向凌駕於價值導向的問題。要解決這個問題，必須先具備「評估專利運用的潛在價值」的能力，然後才能衡量這個潛在價值與所花的成本相比是否划算。如果沒有辦法評估專利運用潛在價值，那老闆當然會覺得「這件事沒甚麼價值」，其後果當然就只能一味地降低成本了。

最後，也是最根本的，是台灣廠商自己不覺得自己的申請案有多好，因此也懶得去申請延續案。這個問題是公司研發能力的問題。如果對延續案制度已經夠了解，公司也已經建立了專利運用潛在價值的評估模型，但一評估出來，發現公司的專利價值都偏低，那麼就應該檢討，公司研發創新能力是不是不高？如果不高，那麼是要提高創新能力呢 (這是大哉問)，還是要將智財權的管理重點轉向營業秘密或著作權的管理呢 (這也是大哉問)？這些問題每個公司的答案都會不同，我是覺得幾乎不會有統一解答的。

Facebook的這個申請案，只是諸多延續案的一個實例。台灣廠商也許可以思考一下，不採用這個國外廠商習以為常的做法，問題到底是出在哪裡。如果能對症下藥，做一些改善，相信對專利權的運用這方面，會非常有幫助。


結語

專利的申請，必須在一開始就考慮後續的諸多問題。我們看到別人的專利獲准，其背後可以討論的議題可能會非常多。也許我們應該多看別人的專利，然後多討論別人背後的動機，這樣對於我們自己在申請專利時，思考問題肯定會有幫助。

謹以本文拋磚引玉。這篇專利可討論的還不只上面三點喔。有問題或建議，請大家隨時不吝提出。