勒索软件的违法行为与监管困境

在网络安全法实施前夕，WannaCry勒索病毒事件给我国网络安全法律治理敲响了警钟。在现行法律机制下，对于WannaCry之类的勒索软件应如何规制、有何监管难点以及未来的应对之策均值得关注。

（一）勒索软件的法律规制

勒索软件造成的数据安全威胁成为各国共同面临的挑战。目前“No More Ransom！（停止勒索）”协作计划、反勒索软件技术的发展和持续执法行动正在全球开展。

国际上，2016年9月美国加州通过参议院第1137号法案（Senate Bill No.1137-Chapter 725），在法律层面明确了实施勒索软件行为的刑事责任，规定如果某人以获取钱财或其他利益为目的，直接放置或感染勒索软件，或者指示、引诱他人这样做，从而将勒索软件感染到计算机、计算机系统或计算机网络中，在获取利益后为受感染者提供移除或其他方式的恢复服务的，那么此人将为该勒索软件负责，视情节被处以二至四年不等的监禁。

我国现行法律没有针对勒索软件的专门性规定，但针对制作传播计算机病毒、敲诈勒索、信息网络技术支持和帮助等危害网络安全方面的法律规定相当完善。2000年《计算机病毒防治管理办法》明确规定任何单位和个人不得制作、传播计算机病毒，并规定了相应的警告、罚款、没收非法所得等行政处罚；刑法第274条规定了敲诈勒索罪，并在《最高人民法院、最高人民检察院关于办理敲诈勒索刑事案件适用法律若干问题的解释》中对量刑标准和提供网络技术支持帮助，规范为他人信息网络犯罪提供技术支持和帮助的行为；刑法第285条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪；刑法第286条将计算机病毒作为破坏性程序的一种，并在《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中界定了破坏性程序的范围；刑法第287条之一规定了非法利用信息网络罪，287条之二规定了帮助信息网络犯罪活动罪；治安管理处罚法第29条规定故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的，可予以拘留；网络安全法第27条、第63条强调禁止从事危害网络安全的活动，旨在实现行刑衔接，规定了拘留、罚款、没收违法所得等行政处罚。勒索软件作为计算机病毒的一种，勒索软件实施的危害行为涉嫌违法犯罪的理应属于以上法律法规规制的范围。

（二）勒索软件的监管困境

目前，我国司法实践中已有与勒索软件相关的司法判例。截至2017年，全国已经公布的判决，采取勒索软件形式实施犯罪的刑事判决共计8例，其中以“敲诈勒索罪”和“破坏计算机信息系统罪”判决的案例各有4例。虽然已有立法及司法实践，但仍需要注意的是，对于勒索软件，监管方面仍存在诸多难题。

首先，境外执法难。鉴于此类案件的始作俑者往往身处境外，如何进行司法协助甚至司法合作将是未来研究的重点，不难预见，类似的跨国跨境类网络犯罪在未来将比肩恐怖犯罪成为全球公敌。(www.xing528.com)

其次，源头打击难。勒索软件等计算机病毒的“傻瓜化”制作过程和高额赎金暴露了犯罪低成本、高收益的反比特性，使得黑色市场的专业化、精细化、技术化发展趋势越发明显。以美国执法机构为代表的政府利用漏洞进行情报获取或政治攻击的行为，不断刺激黑客对漏洞的非法挖掘、披露和交易，加上不健全的规范机制，为勒索软件的产生提供了源动力。此外，伴随着区块链等加密技术在制作、支付等领域的普遍应用和不断升级，从源头上发现并阻断勒索软件行为变得异常艰难，同时伴随着暗网的潜滋暗长，未来提供类似勒索软件和“勒索拒绝服务”的“灰黑色”服务群体也会在高额回报的驱动下不断扩张。

最后，司法取证难。勒索软件的主要支付方式为虚拟货币。但从现实情况来看，各国对虚拟货币的监管缺乏统一规则，为勒索软件的全球网络变现提供了机会，这也是各国立法差异和未建立有效国际合作模式问题的集中体现。全球虚拟货币监管路径尚在不断探索和调整过程中。2013年年底中国人民银行等五部委发布的《关于防范比特币风险的通知》明确比特币为特定的虚拟商品，以严格区别于数字货币并适用不同监管机制。在据称“全球超过90%的交易量都发生在中国”的2017年，央行加强了现场调查并明确提出“四不准”规定：不得违规从事融资融币等金融业务，不得参与洗钱活动，不得违反国家有关反洗钱、外汇管理和支付结算等金融法律法规，不得违反国家税收和工商广告管理等法律规定。为了打击恐怖主义袭击中的虚拟货币使用，欧盟于2016年扩大了反洗钱规定的实施范围，美国则在一些法院判例中为比特币的发行货币化提供了长期路径。这使得执法机构无法追踪资金流向，加之以病毒自身的传播特性和数据被删除后无法恢复等特点，勒索软件案件的执法取证将面临重重阻碍。

（三）勒索软件的防控策略

勒索软件给网络安全带来了巨大的威胁，为有效防治勒索软件，需要采取诸多措施：

其一，完善法律体系，形成犯罪防控的长效机制。我国这方面的立法虽然已经制定了网络安全法，刑法修正案（九）也对信息网络犯罪的进行了专门规制，增设了拒不履行网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪三个新罪名。但总体而言，我国关于网络犯罪的立法仍相对薄弱，特别是与国外有关网络犯罪的相关法律相比，在立法模式、罪名设置、保护范围、刑罚配置等方面都有一定差距。因此，针对这类犯罪高发的态势，有必要探讨其犯罪的特点和规律，分析犯罪防控的困境，有针对性地构建网络防控体系，制定防控策略，提升针对以勒索软件为主要对象的网络犯罪整体防控效能。具体来看，包括健全法律基础，明确网络管理相关单位的职责任务，解决多头管理、职能交叉的问题；及时细化网络安全法条目，增强法律的操作性、提高执行力。此外，还需要通过立法明确互联网接入服务、内容服务、信息服务等各个环节、相关机构的责任和义务，并分别制定详细、独立的罚则，对不严格落实安全管理和安全技术措施应承担的相关法律责任。对存在不良信息、清理整治不及时、违法有害信息高发频发的联网单位和系统运营单位要通过公开警示、通报、约谈和处罚等层层递进的执法手段进行管理，实现“有法可依、有法必依”的依法防控环境。

其二，切实落实网络安全法规定的网络安全保障义务，包括网络安全等级保护制度、关键信息基础设施保护制度、网络安全应急响应制度等规定的义务。强化安全意识，完善网络安全建设，有效提升网络犯罪防御能力，将网络安全纳入日常工作业务中。这次WannaCry勒索软件事件中，微软公司已经于3月发布了严重漏洞公告和系统补丁，但是国内还是有不少机构和个人电脑感染病毒，说明相当一部分对基础安全服务不够重视，没有做好基础安全建设。因此，政府、行业组织在网络犯罪防御体系建设中，要大力开展联网单位备案、安全技术保护措施检查等基础性工作。互联网公司、网络服务提供单位需要强化安全意识，不断完善自身安全建设，采取相应的技术与管理措施，实现事前积极防御、事中监测与监控、事后应急与处置，有效提升自身的网络犯罪防御能力。通过开展多层级网络安全监测、组建应急处置队伍、制订应急预案开展应急演练等工作提高监测、预警、处置能力，做到对网络安全隐患有效防范，对网络安全事件提早发现、及时处置；组织重点保障单位开展网络信息安全综合演练，搭建网络攻击演习环境，磨合应急处置机制，做好应急处置准备，确保一旦发生信息安全事件，能够快速妥善处置，将影响和损失降到最低。