電腦被“勒索”，受害者如何維權？||福州律師網推薦了解

文 |?李迎春律師；來源 |?李迎春律師的法律博客（首發于律事通公眾號）；福州律師推薦

5月12日晚上，一個以“永恒之藍”為名的計算機病毒在全球范圍內引發震動，其攻擊范圍涵蓋了美國、英國、中國、俄羅斯、西班牙、意大利等70多個國家。在中國，多所大學校園網絡被病毒攻擊，許多文檔被加密，受害者除了以比特幣作為贖金之外，幾乎無法解密并恢復文件，對學習資料和個人數據造成嚴重損失。

該病毒也因此被眾多媒體表述為“勒索病毒”，電腦用戶“談毒色變”，但又彷徨無措，籠罩在深深的擔心與驚慌之中。因為現行法律法規對于計算機病毒侵權事宜，并沒有明確規定，因此，我們在此處的探討，只能基于已有法律規范來進行，并更多地將可能存在的問題呈現出來，而并非提供清晰明確的解決方案。同時，因為其勒索行為已經涉及刑事犯罪了，對于刑事責任的探討，本文不作探究。

一、病毒造成的損失：通過評估方式予以確定

用戶的電腦受到計算機病毒的攻擊，損失的存在以及如何確定是首先面對的難題。一般而言，計算機病毒所導致的常見危害與損失，可以體現為以下幾個方面：

（1）破壞數據。計算機病毒激發之后，通過格式化、改寫、編輯、刪除、破壞設置、轉鏈接等破壞電腦用戶的相關數據，并使其得不到修復。（2）破壞操作系統。一些計算機病毒會通過搶占內存空間，影響計算機運行速度，影響正常的系統運行和軟件使用，造成系統運行出現問題甚至是被破壞。通過轉鏈接、木馬植入等方式，都可能會使電腦的操作系統出現問題。

（3）損壞硬件。一些計算機病毒被激發之后，能夠對電腦的主板、顯示器、顯卡、聲卡、內存等產生破壞性。對于這些損失，有的價值高，有的價值低；有的估值相對簡單，有的估值卻非常復雜。以此次的勒索病毒為例，中毒之后，所有文檔都被加密，交了“贖金”才能解密，其損失的確定，就要復雜許多。在不交“贖金”的情形下，表面看是文檔不能解密，實際上可能整個電腦都無法繼續使用，也就是軟件硬件一鍋端了。

對于計算機病毒所造成的損失，從法律上應該如何確定，的確非常棘手。《侵權責任法》第十九條規定，侵害他人財產的，財產損失按照損失發生時的市場價格或者其他方式計算。根據該規定，損失的確定可以通過市場價格或者其他方式確定。通過市場價格確定，問題不大，問題在于“其他方式”涵蓋哪些方式。在我們的實務經驗中，“其他方式”可以涵蓋以下幾種：

其一，協商確定。損害發生之后，由侵害人和受害人共同協商確定損害的范圍、大小、程度等事項。經由協商方式確定損害，對于侵權責任的承擔及其履行，是最為有利的方式。其二，根據侵權人的獲益確定損失。在《侵權責任法》上，受害人的損害難于確定、而侵害人的獲益能夠確定的，可以通過侵害人的獲益來推定受害人損害賠償的數額。這種確定損害的方式，能夠解決實務當中受害人損失不確定、侵害人有明顯獲益的一些情形。但對于損失與獲益都無法明確的，顯然也不能以此方式確定損失。

其三，通過第三方評估方式確立損失。在許多情形下，無論是受害方的損失還是侵害方的獲益都難于確定，選擇由第三方機構來進行評估確定損失，無疑是比較公允的方式。通過評估方式確立損失，也是在司法實踐中比較常見的方式。盡管，當事雙方可能對損失評估的結論不能完全認同，但的確又沒有更為可行的方式。

其四，酌定損失。司法實踐中，《侵權責任法》還規定了損失酌定的方式。酌定損失的方式，一般發生于經由訴訟來解決有關損害賠償之時。侵權人所獲利益難以確定，被侵權人和侵權人就賠償數額協商不一致，人民法院可以根據實際情況確定賠償數額。

“勒索病毒”在全球范圍內的肆虐，對不同的受害者，導致的損害程度各不相同。有的可能存有重要的數據和文件，有的可能保有對其具有非常重要的紀念意義的照片、視頻、音頻，有的可能導致商業秘密泄露，有的導致違約責任的承擔等等。對于許多個體的電腦用戶而言，受到計算機病毒侵害之后，有的可能覺得是自己電腦的問題，有的可能責怪自己上網不慎，有的可能覺得無所謂……然而，可以明確的是，當計算機病毒肆虐并因此而客觀上導致了損失，究竟能否維權以及如何維權，的確是值得從法律上加以探究的問題。對此，我們的回答是清晰明確的，應該尋求特定的維權路徑維護自身合法權益。

二、維權的重要前提：侵害發生及其緣由

綜觀各國侵權責任法的規定，在責任承擔上，大都采行過錯責任、無過錯責任和推定責任，無過錯責任一般為法定責任。推定責任則是指，在行為人不能證明其沒有過錯的情況下，推定行為人有過錯，應承擔賠償損害責任。凡在適用推定過錯責任的場合，行為人需要通過舉證證明自身無過錯才可以免責。計算機病毒被激發之后，給許多的用戶造成了客觀存在的損失。為了明晰其中的責任，從而呈現維權的可能路徑，首先需要分析侵害發生的誘發因素以及其中的簡要經過。

根據我國的1994年2月18日發布的《計算機信息系統安全保護條例》，計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機信息系統安全專用品，則是指用于保護計算機信息系統安全的專用硬件和軟件產品。毫無疑問，“永恒之藍”病毒完全符合該行政法規對于“計算機病毒”的定義規范。從侵權發生及其緣由探析的角度，顯然有必要對該病毒與電腦用戶使用過程中的相關產品、環節等的關聯關系及實質意義闡釋清楚。

基于電腦用戶對于計算機的一般認知，個體所使用的電腦大致涵蓋硬件、軟件系統、網絡服務、安全服務等主要方面。硬件主要是電腦的元器件部分；軟件一般指稱電腦的操作系統及用戶自行下載的各類軟件；網絡服務則是指作為接入網絡的服務提供者；安全服務則涵蓋防毒軟件及硬件等。從這樣四個方面，或許我們能夠以普通常識的方式，將病毒侵入及發揮作用的過程闡釋清楚。

日常的電腦，如果僅僅是硬件，只不過是一堆元器件。這些元器件，需要通過特定的操作系統來予以激活并使其發揮功能。如果不經由網絡鏈接，每一臺電腦獨自發揮其功能、互不影響，計算機病毒也難以傳播。所以，任何的計算機病毒，都可以理解為經由網絡傳送、利用系統漏洞進入電腦用戶。如果把計算機病毒比喻為一個小蟲子，這個小蟲子即是通過網絡管道，鉆入每一臺電腦的系統漏洞、對系統中的數據產生破壞，甚至通過系統軟件對電腦硬件產生破壞。就個人電腦用戶而言，主要有四大操作系統:微軟公司的Windows系統；Unix系統；Linux系統；Mac操作系統。此次，“永恒之藍”病毒，即是利用了Windows操作系統共享協議的漏洞，掃描445文件共享端口，從而進入個體電腦鎖定文件。未關閉上述端口的用戶，只要開機上網，就會中毒。從已有的資訊來看，“永恒之藍”來源于美國國家安全局的“網絡武器庫”，網絡黑客利用這一漏洞病毒侵入全球各地的電腦之中并勒索贖金。

 

從侵權法律關系來看，網絡黑客利用“永恒之藍”病毒、經由Windows系統漏洞侵害電腦用戶的合法權益。故此，以下主體都對該計算機病毒侵害負有責任：病毒制造者，病毒利用者，系統軟件提供商，安全產品提供商和網絡服務提供商。但是，這些主體對于侵害的發生承擔責任的性質是各不相同的。盡管有報道稱，“永恒之藍”病毒來自于美國國家安全局的“網絡武器庫”，但卻沒有證據證明該病毒是由其制造或是從其泄露的，因此，以美國國家安全局作為承擔責任主體，對一般電腦用戶而言，是無法實現的任務。同時，作為病毒利用者的黑客，我們也不知其身在何處，難以實現維權目的。然而，就受到攻擊的電腦而言，其所使用的操作系統的漏洞、安全防護網絡未能有效實現功能等方面，卻是可以成為相應的責任承擔主體的。因此，我們認為，在受到計算機病毒侵害之后，可以向操作系統提供商、安全防護提供商、網絡服務提供商主張侵權賠償責任。

三、維權路徑：基于產品和服務提供者的責任

在無法證實病毒制造者和明確“黑客”的情形下，有必要嘗試從產品和服務提供者的責任角度，來維護電腦用戶的合法權益。事實上，無論是系統服務提供商、安全防護功能提供商還是網絡服務提供商，都對侵害的發生負有不同程度的責任。這種責任的承擔，在我國現行法律框架之內，是有足夠法源支撐的。

首先，關于網絡服務提供商的責任問題。在《侵權責任法》第三十六條當中，規定了三種不同的網絡侵權及其責任承擔的模式。其一，網絡用戶、網絡服務提供者利用網絡侵害他人民事權益。無論是網絡用戶，還是網絡服務提供者，利用網絡侵害他人權益的，都需要承擔相應的民事責任。在“勒索病毒”事例中，網絡用戶是躲在暗處的“網絡黑客”，網絡黑客利用網絡侵害電腦用戶的合法權益。網絡服務提供商，卻并沒有利用這種“勒索病毒”侵害他人民事權益的行為。其二，網絡侵權發生之后，受害人通知了網絡服務提供商，網絡服務提供商未采取刪除、屏蔽、斷開鏈接等必要措施的，對損害的擴大部分承擔連帶責任。以本文所及的“勒索病毒”為例，在受到該病毒侵害之后，如果有用戶向網絡服務提供商要求“斷網”等必要措施，如果網絡服務提供商未能采取相應措施，是需要針對擴大的損害承擔連帶責任的。其三，網絡服務商明確知道網絡用戶利用網絡侵害他人權益，未采取必要措施的，與該網絡用戶承擔連帶責任。這是屬于網絡服務商“明知存在計算機病毒”的情形，與本文所述的狀況有明顯差別，因此在此不做展開探討。粗看起來，網絡服務提供商在“勒索病毒”侵害過程中是不存在上述三種法定情形的。然而，是否可以適用《侵權責任法》三十七條的規定，將網絡服務提供商作為擬制的“公共場所管理人”，我們覺得是存在一定的合理性的。根據該條規定，網絡服務提供商作為“網絡公共場所管理人”，需要承擔一定的安全保障義務。這一規定，與《消費者權益保護法》當中的有關規定有著異曲同工之妙，可以用來解釋和論證網絡服務提供商在計算機病毒侵害案例中的責任承擔問題。

2.操作系統及安全防護系統提供商的產品責任。對于操作系統及安全防護系統提供商的責任問題，可以從《侵權責任法》關于產品責任的有關規則得到解決。因產品存在缺陷造成他人損害的，生產者應當承擔侵權責任。因銷售者的過錯使產品存在缺陷，造成他人損害的，銷售者應當承擔侵權責任。銷售者不能指明缺陷產品的生產者也不能指明缺陷產品的供貨者的，銷售者應當承擔侵權責任。作為受害者，因產品缺陷造成損害的，可以向產品生產者請求賠償，也可以向產品的銷售者請求賠償。對于“勒索病毒”侵權事件，該病毒利用了Windows操作系統的漏洞進行侵害，實質上是Windows的操作系統存在缺陷，依法可以向Windows系統提供商提出請求賠償。誠然，如果Windows系統提供商能夠披露“病毒來源”，能夠披露“實際的侵權者”的，依法可以相應減輕其所應當承擔的責任。

 

安全系統防護提供商的相應責任，則存在產品責任與違約責任的競合問題。安全系統防護，既可以是加裝硬件，也可以是加裝軟件。然而，無論是硬件還是軟件，都是要確保用戶電腦安全。此處的安全，當然涵蓋計算機病毒侵害，否則，其安全防護就沒有任何意義。因此，在安全防護系統提供商與用戶之間存在口頭或者書面的“防護協議”，正是以此協議作為前提，安全系統防護提供商需要承擔違約責任。這種產品責任和違約責任的競合，可以由用戶自行進行選擇。

3.責任承擔方式。《侵權責任法》第十五條，對于侵權責任的方式進行了明確：停止侵害、排除妨礙、消除危險、返還財產、恢復原狀、賠償損失、賠禮道歉、消除影響、恢復名譽。在計算機病毒侵權事例中，對這些責任承擔方式無疑也是可以加以適用的。就操作系統軟件提供商而言，受害電腦用戶請求其排除妨礙、恢復原狀，具有法律的相應基礎。以“永恒之藍”病毒而言，如果Windows系統不存在相應漏洞或者漏洞發現之后能及時采取措施，也不至于如此泛濫成災。由操作系統軟件提供商來發現和彌補漏洞，并從而督促其在與“網絡黑客”斗法的過程當中勝出，有利于保護電腦用戶的合法權益。因此，作為受害的電腦用戶，可以向操作系統提供商要求對文件進行解密、恢復文件、修復漏洞甚至承擔相應損失。

誠然，追究操作系統軟件及安全防護系統提供商的產品責任，需要以正版使用行為作為前提。受害電腦用戶在維權的過程中，也需要就實際發生的損失、計算機采購、操作系統安裝使用等事項收集相應的證據予以證實。如果沒有相應的證據予以證實，恐怕難于完成其相應的舉證責任。對于“勒索病毒”而言，我們認為，既然損失真實存在，侵害也真實發生，受害電腦用戶是可以拿起法律武器維護自身權益的。