遭遇网络勒索:法律义务梳理与合规建议
一、背景
在2021年的《政府工作报告》中,李克强总理提出要加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型。在数字化发展的过程中,伴随着效率的提升,网络安全风险的敞口也不断增大。而在各种网络安全风险中,勒索软件已经成为最为严重的威胁之一,甚至会直接危害人身安全。2020年9月德国杜塞尔多夫大学医院遭受勒索软件攻击,一名患者被转移至附近的其他医院后不幸身亡。勒索所造成的危害已经无法忽视。
勒索软件(“ransomware”)也被称为勒索病毒,通常的运作模式是进入系统后对系统内数据进行加密,直接导致系统中数据无法正常使用,并要求在指定期限内支付赎金。赎金通常会要求以比特币等加密货币的形式支付。勒索软件不仅针对企业,也会针对政府部门与事业单位展开无差别攻击。
2017年WannaCry在全球范围内的肆虐让勒索软件治理成为不可回避的问题。在裁判文书网中稍作检索,就能发现WannaCry所带来的巨大破坏,WannaCry直接导致数家公安机关以电子形式存储的证据无法恢复,以至于公安机关在诉讼中需要向法院专门说明证据的收集、存储情况。直到今日,勒索软件的阴霾也没有烟消云散,反而形成了完整的产业链。而且不同勒索软件都存在内部竞争,也开始“内卷”。近年来新兴“Ransomware as a Service”(“RaaS”)的产业模式,更是大大降低了发动勒索软件攻击的门槛。
二、勒索软件的预防、处置无法与法律绝缘
面对肆虐的勒索软件,传统上是由IT或信息安全部门负责处置,但网络安全的特点是与所有人息息相关。大量的勒索软件所引发事件显示,法务与合规部门不仅需要加入到处置勒索软件的决策圈中,更需要在预防环节就积极介入。
勒索软件作为网络安全事件的主要诱因之一,也要求机构在网络安全事件处置机制的大框架下,针对勒索软件的特点进行预先部署。根据网络安全的定义(《网络安全法》第76条),保障网络数据的机密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 的能力是网络安全的重要组成部分。勒索软件主要破坏数据的可用性与机密性,即使数据无法继续,或是让本应保密的数据公之于众。
法律部门之所以需要积极介入勒索软件的应对工作,不仅是因为勒索软件的预防、处置不仅涉及网络安全法律义务的履行,也因为网络系统一旦被勒索软件感染,可能也会面临对外服务无法继续正常提供的问题,直接需要面对违约或侵权责任。
三、预防与处置
应对勒索软件,预防最为重要。在中国法下,完成网络安全等级保护已经成为最好的免责事由之一。等级保护制度从技术与管理两个角度对网络系统的安全能力提出了具体的要求,本身就可以提升机构的网络安全能力。在完成等级保护情况下,机构的网络系统即使遭受勒索软件的攻击,可以在没有“后顾之忧”的情况下进行报案。
除了完成等级保护,应对勒索软件最有效的措施就是对数据定期进行异地备份,以确保网络系统一旦被勒索软件感染,数据可以得到有效恢复。这不仅需要机构建立数据备份机制(《网络安全法》第21(4)条),也需要定期进行演练,确保备份的数据能够真实被恢复。另一方面,对机构员工进行教育培训也是预防勒索软件、提升全员安全意识的有效途径(《数据安全法(草案)》第25条)。