電腦被“勒索”,受害者如何維權?||福州律師網(wǎng)推薦了解
文 |?李迎春律師;來源 |?李迎春律師的法律博客(首發(fā)于律事通公眾號);福州律師推薦
該病毒也因此被眾多媒體表述為“勒索病毒”,電腦用戶“談毒色變”,但又彷徨無措,籠罩在深深的擔心與驚慌之中。因為現(xiàn)行法律法規(guī)對于計算機病毒侵權事宜,并沒有明確規(guī)定,因此,我們在此處的探討,只能基于已有法律規(guī)范來進行,并更多地將可能存在的問題呈現(xiàn)出來,而并非提供清晰明確的解決方案。同時,因為其勒索行為已經(jīng)涉及刑事犯罪了,對于刑事責任的探討,本文不作探究。
用戶的電腦受到計算機病毒的攻擊,損失的存在以及如何確定是首先面對的難題。一般而言,計算機病毒所導致的常見危害與損失,可以體現(xiàn)為以下幾個方面:
(3)損壞硬件。一些計算機病毒被激發(fā)之后,能夠?qū)﹄娔X的主板、顯示器、顯卡、聲卡、內(nèi)存等產(chǎn)生破壞性。對于這些損失,有的價值高,有的價值低;有的估值相對簡單,有的估值卻非常復雜。以此次的勒索病毒為例,中毒之后,所有文檔都被加密,交了“贖金”才能解密,其損失的確定,就要復雜許多。在不交“贖金”的情形下,表面看是文檔不能解密,實際上可能整個電腦都無法繼續(xù)使用,也就是軟件硬件一鍋端了。
對于計算機病毒所造成的損失,從法律上應該如何確定,的確非常棘手。《侵權責任法》第十九條規(guī)定,侵害他人財產(chǎn)的,財產(chǎn)損失按照損失發(fā)生時的市場價格或者其他方式計算。根據(jù)該規(guī)定,損失的確定可以通過市場價格或者其他方式確定。通過市場價格確定,問題不大,問題在于“其他方式”涵蓋哪些方式。在我們的實務經(jīng)驗中,“其他方式”可以涵蓋以下幾種:
其三,通過第三方評估方式確立損失。在許多情形下,無論是受害方的損失還是侵害方的獲益都難于確定,選擇由第三方機構來進行評估確定損失,無疑是比較公允的方式。通過評估方式確立損失,也是在司法實踐中比較常見的方式。盡管,當事雙方可能對損失評估的結論不能完全認同,但的確又沒有更為可行的方式。
其四,酌定損失。司法實踐中,《侵權責任法》還規(guī)定了損失酌定的方式。酌定損失的方式,一般發(fā)生于經(jīng)由訴訟來解決有關損害賠償之時。侵權人所獲利益難以確定,被侵權人和侵權人就賠償數(shù)額協(xié)商不一致,人民法院可以根據(jù)實際情況確定賠償數(shù)額。
“勒索病毒”在全球范圍內(nèi)的肆虐,對不同的受害者,導致的損害程度各不相同。有的可能存有重要的數(shù)據(jù)和文件,有的可能保有對其具有非常重要的紀念意義的照片、視頻、音頻,有的可能導致商業(yè)秘密泄露,有的導致違約責任的承擔等等。對于許多個體的電腦用戶而言,受到計算機病毒侵害之后,有的可能覺得是自己電腦的問題,有的可能責怪自己上網(wǎng)不慎,有的可能覺得無所謂……然而,可以明確的是,當計算機病毒肆虐并因此而客觀上導致了損失,究竟能否維權以及如何維權,的確是值得從法律上加以探究的問題。對此,我們的回答是清晰明確的,應該尋求特定的維權路徑維護自身合法權益。
綜觀各國侵權責任法的規(guī)定,在責任承擔上,大都采行過錯責任、無過錯責任和推定責任,無過錯責任一般為法定責任。推定責任則是指,在行為人不能證明其沒有過錯的情況下,推定行為人有過錯,應承擔賠償損害責任。凡在適用推定過錯責任的場合,行為人需要通過舉證證明自身無過錯才可以免責。計算機病毒被激發(fā)之后,給許多的用戶造成了客觀存在的損失。為了明晰其中的責任,從而呈現(xiàn)維權的可能路徑,首先需要分析侵害發(fā)生的誘發(fā)因素以及其中的簡要經(jīng)過。
基于電腦用戶對于計算機的一般認知,個體所使用的電腦大致涵蓋硬件、軟件系統(tǒng)、網(wǎng)絡服務、安全服務等主要方面。硬件主要是電腦的元器件部分;軟件一般指稱電腦的操作系統(tǒng)及用戶自行下載的各類軟件;網(wǎng)絡服務則是指作為接入網(wǎng)絡的服務提供者;安全服務則涵蓋防毒軟件及硬件等。從這樣四個方面,或許我們能夠以普通常識的方式,將病毒侵入及發(fā)揮作用的過程闡釋清楚。
日常的電腦,如果僅僅是硬件,只不過是一堆元器件。這些元器件,需要通過特定的操作系統(tǒng)來予以激活并使其發(fā)揮功能。如果不經(jīng)由網(wǎng)絡鏈接,每一臺電腦獨自發(fā)揮其功能、互不影響,計算機病毒也難以傳播。所以,任何的計算機病毒,都可以理解為經(jīng)由網(wǎng)絡傳送、利用系統(tǒng)漏洞進入電腦用戶。如果把計算機病毒比喻為一個小蟲子,這個小蟲子即是通過網(wǎng)絡管道,鉆入每一臺電腦的系統(tǒng)漏洞、對系統(tǒng)中的數(shù)據(jù)產(chǎn)生破壞,甚至通過系統(tǒng)軟件對電腦硬件產(chǎn)生破壞。就個人電腦用戶而言,主要有四大操作系統(tǒng):微軟公司的Windows系統(tǒng);Unix系統(tǒng);Linux系統(tǒng);Mac操作系統(tǒng)。此次,“永恒之藍”病毒,即是利用了Windows操作系統(tǒng)共享協(xié)議的漏洞,掃描445文件共享端口,從而進入個體電腦鎖定文件。未關閉上述端口的用戶,只要開機上網(wǎng),就會中毒。從已有的資訊來看,“永恒之藍”來源于美國國家安全局的“網(wǎng)絡武器庫”,網(wǎng)絡黑客利用這一漏洞病毒侵入全球各地的電腦之中并勒索贖金。
從侵權法律關系來看,網(wǎng)絡黑客利用“永恒之藍”病毒、經(jīng)由Windows系統(tǒng)漏洞侵害電腦用戶的合法權益。故此,以下主體都對該計算機病毒侵害負有責任:病毒制造者,病毒利用者,系統(tǒng)軟件提供商,安全產(chǎn)品提供商和網(wǎng)絡服務提供商。但是,這些主體對于侵害的發(fā)生承擔責任的性質(zhì)是各不相同的。盡管有報道稱,“永恒之藍”病毒來自于美國國家安全局的“網(wǎng)絡武器庫”,但卻沒有證據(jù)證明該病毒是由其制造或是從其泄露的,因此,以美國國家安全局作為承擔責任主體,對一般電腦用戶而言,是無法實現(xiàn)的任務。同時,作為病毒利用者的黑客,我們也不知其身在何處,難以實現(xiàn)維權目的。然而,就受到攻擊的電腦而言,其所使用的操作系統(tǒng)的漏洞、安全防護網(wǎng)絡未能有效實現(xiàn)功能等方面,卻是可以成為相應的責任承擔主體的。因此,我們認為,在受到計算機病毒侵害之后,可以向操作系統(tǒng)提供商、安全防護提供商、網(wǎng)絡服務提供商主張侵權賠償責任。
在無法證實病毒制造者和明確“黑客”的情形下,有必要嘗試從產(chǎn)品和服務提供者的責任角度,來維護電腦用戶的合法權益。事實上,無論是系統(tǒng)服務提供商、安全防護功能提供商還是網(wǎng)絡服務提供商,都對侵害的發(fā)生負有不同程度的責任。這種責任的承擔,在我國現(xiàn)行法律框架之內(nèi),是有足夠法源支撐的。
首先,關于網(wǎng)絡服務提供商的責任問題。在《侵權責任法》第三十六條當中,規(guī)定了三種不同的網(wǎng)絡侵權及其責任承擔的模式。其一,網(wǎng)絡用戶、網(wǎng)絡服務提供者利用網(wǎng)絡侵害他人民事權益。無論是網(wǎng)絡用戶,還是網(wǎng)絡服務提供者,利用網(wǎng)絡侵害他人權益的,都需要承擔相應的民事責任。在“勒索病毒”事例中,網(wǎng)絡用戶是躲在暗處的“網(wǎng)絡黑客”,網(wǎng)絡黑客利用網(wǎng)絡侵害電腦用戶的合法權益。網(wǎng)絡服務提供商,卻并沒有利用這種“勒索病毒”侵害他人民事權益的行為。其二,網(wǎng)絡侵權發(fā)生之后,受害人通知了網(wǎng)絡服務提供商,網(wǎng)絡服務提供商未采取刪除、屏蔽、斷開鏈接等必要措施的,對損害的擴大部分承擔連帶責任。以本文所及的“勒索病毒”為例,在受到該病毒侵害之后,如果有用戶向網(wǎng)絡服務提供商要求“斷網(wǎng)”等必要措施,如果網(wǎng)絡服務提供商未能采取相應措施,是需要針對擴大的損害承擔連帶責任的。其三,網(wǎng)絡服務商明確知道網(wǎng)絡用戶利用網(wǎng)絡侵害他人權益,未采取必要措施的,與該網(wǎng)絡用戶承擔連帶責任。這是屬于網(wǎng)絡服務商“明知存在計算機病毒”的情形,與本文所述的狀況有明顯差別,因此在此不做展開探討。粗看起來,網(wǎng)絡服務提供商在“勒索病毒”侵害過程中是不存在上述三種法定情形的。然而,是否可以適用《侵權責任法》三十七條的規(guī)定,將網(wǎng)絡服務提供商作為擬制的“公共場所管理人”,我們覺得是存在一定的合理性的。根據(jù)該條規(guī)定,網(wǎng)絡服務提供商作為“網(wǎng)絡公共場所管理人”,需要承擔一定的安全保障義務。這一規(guī)定,與《消費者權益保護法》當中的有關規(guī)定有著異曲同工之妙,可以用來解釋和論證網(wǎng)絡服務提供商在計算機病毒侵害案例中的責任承擔問題。
2.操作系統(tǒng)及安全防護系統(tǒng)提供商的產(chǎn)品責任。對于操作系統(tǒng)及安全防護系統(tǒng)提供商的責任問題,可以從《侵權責任法》關于產(chǎn)品責任的有關規(guī)則得到解決。因產(chǎn)品存在缺陷造成他人損害的,生產(chǎn)者應當承擔侵權責任。因銷售者的過錯使產(chǎn)品存在缺陷,造成他人損害的,銷售者應當承擔侵權責任。銷售者不能指明缺陷產(chǎn)品的生產(chǎn)者也不能指明缺陷產(chǎn)品的供貨者的,銷售者應當承擔侵權責任。作為受害者,因產(chǎn)品缺陷造成損害的,可以向產(chǎn)品生產(chǎn)者請求賠償,也可以向產(chǎn)品的銷售者請求賠償。對于“勒索病毒”侵權事件,該病毒利用了Windows操作系統(tǒng)的漏洞進行侵害,實質(zhì)上是Windows的操作系統(tǒng)存在缺陷,依法可以向Windows系統(tǒng)提供商提出請求賠償。誠然,如果Windows系統(tǒng)提供商能夠披露“病毒來源”,能夠披露“實際的侵權者”的,依法可以相應減輕其所應當承擔的責任。
安全系統(tǒng)防護提供商的相應責任,則存在產(chǎn)品責任與違約責任的競合問題。安全系統(tǒng)防護,既可以是加裝硬件,也可以是加裝軟件。然而,無論是硬件還是軟件,都是要確保用戶電腦安全。此處的安全,當然涵蓋計算機病毒侵害,否則,其安全防護就沒有任何意義。因此,在安全防護系統(tǒng)提供商與用戶之間存在口頭或者書面的“防護協(xié)議”,正是以此協(xié)議作為前提,安全系統(tǒng)防護提供商需要承擔違約責任。這種產(chǎn)品責任和違約責任的競合,可以由用戶自行進行選擇。
3.責任承擔方式。《侵權責任法》第十五條,對于侵權責任的方式進行了明確:停止侵害、排除妨礙、消除危險、返還財產(chǎn)、恢復原狀、賠償損失、賠禮道歉、消除影響、恢復名譽。在計算機病毒侵權事例中,對這些責任承擔方式無疑也是可以加以適用的。就操作系統(tǒng)軟件提供商而言,受害電腦用戶請求其排除妨礙、恢復原狀,具有法律的相應基礎。以“永恒之藍”病毒而言,如果Windows系統(tǒng)不存在相應漏洞或者漏洞發(fā)現(xiàn)之后能及時采取措施,也不至于如此泛濫成災。由操作系統(tǒng)軟件提供商來發(fā)現(xiàn)和彌補漏洞,并從而督促其在與“網(wǎng)絡黑客”斗法的過程當中勝出,有利于保護電腦用戶的合法權益。因此,作為受害的電腦用戶,可以向操作系統(tǒng)提供商要求對文件進行解密、恢復文件、修復漏洞甚至承擔相應損失。
誠然,追究操作系統(tǒng)軟件及安全防護系統(tǒng)提供商的產(chǎn)品責任,需要以正版使用行為作為前提。受害電腦用戶在維權的過程中,也需要就實際發(fā)生的損失、計算機采購、操作系統(tǒng)安裝使用等事項收集相應的證據(jù)予以證實。如果沒有相應的證據(jù)予以證實,恐怕難于完成其相應的舉證責任。對于“勒索病毒”而言,我們認為,既然損失真實存在,侵害也真實發(fā)生,受害電腦用戶是可以拿起法律武器維護自身權益的。
