5月12日晚上,一个以“永恒之蓝”为名的计算机病毒在全球范围内引发震动,其攻击范围涵盖了美国、英国、中国、俄罗斯、西班牙、意大利等70多个国家。在中国,多所大学校园网络被病毒攻击,许多文档被加密,受害者除了以比特币作为赎金之外,几乎无法解密并恢复文件,对学习资料和个人数据造成严重损失。
3分钟100%解决法律问题的法妞问答报导:
该病毒也因此被众多媒体表述为“勒索病毒”,电脑用户“谈毒色变”,但又彷徨无措,笼罩在深深的担心与惊慌之中。因为现行法律法规对于计算机病毒侵权事宜,并没有明确规定,因此,我们在此处的探讨,只能基于已有法律规范来进行,并更多地将可能存在的问题呈现出来,而并非提供清晰明确的解决方案。同时,因为其勒索行为已经涉及刑事犯罪了,对于刑事责任的探讨,本文不作探究。
一、病毒造成的损失:通过评估方式予以确定
用户的电脑受到计算机病毒的攻击,损失的存在以及如何确定是首先面对的难题。一般而言,计算机病毒所导致的常见危害与损失,可以体现为以下几个方面:
(1)破坏数据。计算机病毒激发之后,通过格式化、改写、编辑、删除、破坏设置、转链接等破坏电脑用户的相关数据,并使其得不到修复。
(2)破坏操作系统。一些计算机病毒会通过抢占内存空间,影响计算机运行速度,影响正常的系统运行和软件使用,造成系统运行出现问题甚至是被破坏。通过转链接、木马植入等方式,都可能会使电脑的操作系统出现问题。
(3)损坏硬件。一些计算机病毒被激发之后,能够对电脑的主板、显示器、显卡、声卡、内存等产生破坏性。对于这些损失,有的价值高,有的价值低;有的估值相对简单,有的估值却非常复杂。以此次的勒索病毒为例,中毒之后,所有文档都被加密,交了“赎金”才能解密,其损失的确定,就要复杂许多。在不交“赎金”的情形下,表面看是文档不能解密,实际上可能整个电脑都无法继续使用,也就是软件硬件一锅端了。
对于计算机病毒所造成的损失,从法律上应该如何确定,的确非常棘手。《侵权责任法》第十九条规定,侵害他人财产的,财产损失按照损失发生时的市场价格或者其他方式计算。根据该规定,损失的确定可以通过市场价格或者其他方式确定。通过市场价格确定,问题不大,问题在于“其他方式”涵盖哪些方式。在我们的实务经验中,“其他方式”可以涵盖以下几种:
其一,协商确定。损害发生之后,由侵害人和受害人共同协商确定损害的范围、大小、程度等事项。经由协商方式确定损害,对于侵权责任的承担及其履行,是最为有利的方式。
其二,根据侵权人的获益确定损失。在《侵权责任法》上,受害人的损害难于确定、而侵害人的获益能够确定的,可以通过侵害人的获益来推定受害人损害赔偿的数额。这种确定损害的方式,能够解决实务当中受害人损失不确定、侵害人有明显获益的一些情形。但对于损失与获益都无法明确的,显然也不能以此方式确定损失。
其三,通过第三方评估方式确立损失。在许多情形下,无论是受害方的损失还是侵害方的获益都难于确定,选择由第三方机构来进行评估确定损失,无疑是比较公允的方式。通过评估方式确立损失,也是在司法实践中比较常见的方式。尽管,当事双方可能对损失评估的结论不能完全认同,但的确又没有更为可行的方式。
其四,酌定损失。司法实践中,《侵权责任法》还规定了损失酌定的方式。酌定损失的方式,一般发生于经由诉讼来解决有关损害赔偿之时。侵权人所获利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,人民法院可以根据实际情况确定赔偿数额。
“勒索病毒”在全球范围内的肆虐,对不同的受害者,导致的损害程度各不相同。有的可能存有重要的数据和文件,有的可能保有对其具有非常重要的纪念意义的照片、视频、音频,有的可能导致商业秘密泄露,有的导致违约责任的承担等等。对于许多个体的电脑用户而言,受到计算机病毒侵害之后,有的可能觉得是自己电脑的问题,有的可能责怪自己上网不慎,有的可能觉得无所谓......然而,可以明确的是,当计算机病毒肆虐并因此而客观上导致了损失,究竟能否维权以及如何维权,的确是值得从法律上加以探究的问题。对此,我们的回答是清晰明确的,应该寻求特定的维权路径维护自身合法权益。
二、维权的重要前提:侵害发生及其缘由
综观各国侵权责任法的规定,在责任承担上,大都采行过错责任、无过错责任和推定责任,无过错责任一般为法定责任。推定责任则是指,在行为人不能证明其没有过错的情况下,推定行为人有过错,应承担赔偿损害责任。凡在适用推定过错责任的场合,行为人需要通过举证证明自身无过错才可以免责。计算机病毒被激发之后,给许多的用户造成了客观存在的损失。为了明晰其中的责任,从而呈现维权的可能路径,首先需要分析侵害发生的诱发因素以及其中的简要经过。
根据我国的1994年2月18日发布的《计算机信息系统安全保护条例》,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机信息系统安全专用品,则是指用于保护计算机信息系统安全的专用硬件和软件产品。毫无疑问,“永恒之蓝”病毒完全符合该行政法规对于“计算机病毒”的定义规范。从侵权发生及其缘由探析的角度,显然有必要对该病毒与电脑用户使用过程中的相关产品、环节等的关联关系及实质意义阐释清楚。
基于电脑用户对于计算机的一般认知,个体所使用的电脑大致涵盖硬件、软件系统、网络服务、安全服务等主要方面。硬件主要是电脑的元器件部分;软件一般指称电脑的操作系统及用户自行下载的各类软件;网络服务则是指作为接入网络的服务提供者;安全服务则涵盖防毒软件及硬件等。从这样四个方面,或许我们能够以普通常识的方式,将病毒侵入及发挥作用的过程阐释清楚。
日常的电脑,如果仅仅是硬件,只不过是一堆元器件。这些元器件,需要通过特定的操作系统来予以激活并使其发挥功能。如果不经由网络链接,每一台电脑独自发挥其功能、互不影响,计算机病毒也难以传播。所以,任何的计算机病毒,都可以理解为经由网络传送、利用系统漏洞进入电脑用户。如果把计算机病毒比喻为一个小虫子,这个小虫子即是通过网络管道,钻入每一台电脑的系统漏洞、对系统中的数据产生破坏,甚至通过系统软件对电脑硬件产生破坏。就个人电脑用户而言,主要有四大操作系统:微软公司的Windows系统;Unix系统;Linux系统;Mac操作系统。此次,“永恒之蓝”病毒,即是利用了Windows操作系统共享协议的漏洞,扫描445文件共享端口,从而进入个体电脑锁定文件。未关闭上述端口的用户,只要开机上网,就会中毒。从已有的资讯来看,“永恒之蓝”来源于美国国家安全局的“网络武器库”,网络黑客利用这一漏洞病毒侵入全球各地的电脑之中并勒索赎金。
从侵权法律关系来看,网络黑客利用“永恒之蓝”病毒、经由Windows系统漏洞侵害电脑用户的合法权益。故此,以下主体都对该计算机病毒侵害负有责任:病毒制造者,病毒利用者,系统软件提供商,安全产品提供商和网络服务提供商。但是,这些主体对于侵害的发生承担责任的性质是各不相同的。尽管有报道称,“永恒之蓝”病毒来自于美国国家安全局的“网络武器库”,但却没有证据证明该病毒是由其制造或是从其泄露的,因此,以美国国家安全局作为承担责任主体,对一般电脑用户而言,是无法实现的任务。同时,作为病毒利用者的黑客,我们也不知其身在何处,难以实现维权目的。然而,就受到攻击的电脑而言,其所使用的操作系统的漏洞、安全防护网络未能有效实现功能等方面,却是可以成为相应的责任承担主体的。因此,我们认为,在受到计算机病毒侵害之后,可以向操作系统提供商、安全防护提供商、网络服务提供商主张侵权赔偿责任。
三、维权路径:基于产品和服务提供者的责任
在无法证实病毒制造者和明确“黑客”的情形下,有必要尝试从产品和服务提供者的责任角度,来维护电脑用户的合法权益。事实上,无论是系统服务提供商、安全防护功能提供商还是网络服务提供商,都对侵害的发生负有不同程度的责任。这种责任的承担,在我国现行法律框架之内,是有足够法源支撑的。
首先,关于网络服务提供商的责任问题。在《侵权责任法》第三十六条当中,规定了三种不同的网络侵权及其责任承担的模式。其一,网络用户、网络服务提供者利用网络侵害他人民事权益。无论是网络用户,还是网络服务提供者,利用网络侵害他人权益的,都需要承担相应的民事责任。在“勒索病毒”事例中,网络用户是躲在暗处的“网络黑客”,网络黑客利用网络侵害电脑用户的合法权益。网络服务提供商,却并没有利用这种“勒索病毒”侵害他人民事权益的行为。其二,网络侵权发生之后,受害人通知了网络服务提供商,网络服务提供商未采取删除、屏蔽、断开链接等必要措施的,对损害的扩大部分承担连带责任。以本文所及的“勒索病毒”为例,在受到该病毒侵害之后,如果有用户向网络服务提供商要求“断网”等必要措施,如果网络服务提供商未能采取相应措施,是需要针对扩大的损害承担连带责任的。其三,网络服务商明确知道网络用户利用网络侵害他人权益,未采取必要措施的,与该网络用户承担连带责任。这是属于网络服务商“明知存在计算机病毒”的情形,与本文所述的状况有明显差别,因此在此不做展开探讨。粗看起来,网络服务提供商在“勒索病毒”侵害过程中是不存在上述三种法定情形的。然而,是否可以适用《侵权责任法》三十七条的规定,将网络服务提供商作为拟制的“公共场所管理人”,我们觉得是存在一定的合理性的。根据该条规定,网络服务提供商作为“网络公共场所管理人”,需要承担一定的安全保障义务。这一规定,与《消费者权益保护法》当中的有关规定有着异曲同工之妙,可以用来解释和论证网络服务提供商在计算机病毒侵害案例中的责任承担问题。
2.操作系统及安全防护系统提供商的产品责任。对于操作系统及安全防护系统提供商的责任问题,可以从《侵权责任法》关于产品责任的有关规则得到解决。因产品存在缺陷造成他人损害的,生产者应当承担侵权责任。因销售者的过错使产品存在缺陷,造成他人损害的,销售者应当承担侵权责任。销售者不能指明缺陷产品的生产者也不能指明缺陷产品的供货者的,销售者应当承担侵权责任。作为受害者,因产品缺陷造成损害的,可以向产品生产者请求赔偿,也可以向产品的销售者请求赔偿。对于“勒索病毒”侵权事件,该病毒利用了Windows操作系统的漏洞进行侵害,实质上是Windows的操作系统存在缺陷,依法可以向Windows系统提供商提出请求赔偿。诚然,如果Windows系统提供商能够披露“病毒来源”,能够披露“实际的侵权者”的,依法可以相应减轻其所应当承担的责任。
安全系统防护提供商的相应责任,则存在产品责任与违约责任的竞合问题。安全系统防护,既可以是加装硬件,也可以是加装软件。然而,无论是硬件还是软件,都是要确保用户电脑安全。此处的安全,当然涵盖计算机病毒侵害,否则,其安全防护就没有任何意义。因此,在安全防护系统提供商与用户之间存在口头或者书面的“防护协议”,正是以此协议作为前提,安全系统防护提供商需要承担违约责任。这种产品责任和违约责任的竞合,可以由用户自行进行选择。
3.责任承担方式。《侵权责任法》第十五条,对于侵权责任的方式进行了明确:停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉。在计算机病毒侵权事例中,对这些责任承担方式无疑也是可以加以适用的。就操作系统软件提供商而言,受害电脑用户请求其排除妨碍、恢复原状,具有法律的相应基础。以“永恒之蓝”病毒而言,如果Windows系统不存在相应漏洞或者漏洞发现之后能及时采取措施,也不至于如此泛滥成灾。由操作系统软件提供商来发现和弥补漏洞,并从而督促其在与“网络黑客”斗法的过程当中胜出,有利于保护电脑用户的合法权益。因此,作为受害的电脑用户,可以向操作系统提供商要求对文件进行解密、恢复文件、修复漏洞甚至承担相应损失。
诚然,追究操作系统软件及安全防护系统提供商的产品责任,需要以正版使用行为作为前提。受害电脑用户在维权的过程中,也需要就实际发生的损失、计算机采购、操作系统安装使用等事项收集相应的证据予以证实。如果没有相应的证据予以证实,恐怕难于完成其相应的举证责任。对于“勒索病毒”而言,我们认为,既然损失真实存在,侵害也真实发生,受害电脑用户是可以拿起法律武器维护自身权益的。
