病毒勒索中的新法律问题

5月13日，勒索病毒“WannaCry”大规模入侵全球电脑网络，包括中国、美国在内的多个国家相继“中招”。国内不少高校、加油站、火车站、自助终端、医院、政府办事终端都被此病毒感染。

病毒勒索来了，有哪些法律问题需要了解？

从中国法律视角看勒索病毒事件

赵成（刑法专长律师）

电脑勒索病毒爆发后，根据比特币交易平台公开的数据，截至5月15日上午，全球已有136个受害者分别缴纳了价值300美元的比特币赎金，幕后黑客组织共计收到近4万美元黑产。

就算以网络病毒的面目出现，敲诈勒索的本质并没有改变。根据中国刑法规定，敲诈勒索罪是指行为人以非法占有为目的，对受害人及其近亲属的人身、财产、名誉相威胁，致使受害人产生恐惧心理而处分财产或财产性权益的行为。

根据刑法第二百七十四条规定：敲诈勒索公私财物，数额较大或者多次敲诈勒索的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑，并处罚金。

5月15日，美国白宫公开称，此次病毒勒索全球共有150个国家的30万台电脑受到感染，但联邦电脑系统没有受到影响。目前向该勒索软件支付的赎金不到7万美元（约合人民币49万元）。仅根据已获敲诈金额（不计未遂金额）核算，如在中国法律的框架下敲诈49万元人民币，或将获刑10年。以上刑期仅是根据敲诈勒索罪的勒索金额计算，除了勒索，本次黑客案例还牵涉危害公共安全等罪名。

刑法第115l规定，“以危险方法危害公共安全，尚未造成严重后果的，处三年以上十年以下有期徒刑；犯本罪致人重伤、死亡或者使公私财产遭受重大损失的，处十年以上有期徒刑、无期徒刑或者死刑”。

黑客全球勒索的行为，从涉案金额、范围、影响等各角度而言，都属可从重处理的范畴。

勒索病毒是黑客的“商业模式”

郑文（IT安全技术负责人）

勒索病毒本质不仅仅是一种网络病毒，而是一种“商业模式”，只要网络环境中有财产可被获取，就会出现无尽的“变种”。也就是说，黑客找到任何一种攻击方式，都可以拿来作为勒索工具，不一定是符合技术意义的病毒。

许多人认为勒索病毒是某种新生事物，实际上它却由来已久，最早可追溯至2013年，当时蠕虫病毒通过邮件、挂木马传播，2015年曾经出现蠕虫病毒爆发期。2016年3月，勒索病毒Locky愈演愈烈，中国国内相继有多家大中型企业、政府单位内部员工或高层领导的电脑、手机感染了该病毒，导致重要文件被加密，需要缴纳赎金才能恢复正常。

截至目前，全球已经有超过100个勒索病毒“家族”存在。有数据显示，仅其中一个勒索病毒CryptoWall家族的一个变种就曾经收到全球范围内23亿美元的赎金。

这次勒索病毒的爆发，黑客指定支付货币为比特币。针对没有比特币的被勒索者，他们附上了15种语言的“购买指引”，甚至还针对被感染者搞了“幸运抽奖”活动：针对半年没付款的被勒索者，被抽中就可以免费给你解除文档加密。这些貌似“盗亦有道”的行为让许多受害者感到啼笑皆非。

在传统黑客世界中，某些心怀不轨而技术高超的人物，通过畅游于网络和系统的漏洞、暗门之间，法律的边界在他们的世界里早已模糊。

但是，黑客的世界里也分“白帽”与“黑帽”。“白帽”黑客发现漏洞并不是为自己牟利，而是会公示提醒系统升级。他们采取的方法为模拟攻击尝试发现漏洞，这种模拟攻击大多发生在企业不知情的情况下。

360公司董事长周鸿t此前认为：尽管“白帽”发现漏洞的初心是好的，但方法却是灰色的，很多企业接受不了。如此来看，即便是“好”黑客的行为也游走在法律灰色地带，何况于那些本就以牟利为目的的“坏”黑客呢。

可以说，本次勒索病毒给全世界提了个醒，网络安全与黑客之间的争斗未来可能更为激烈。

黑客的“罪与罚”

潘叶虞（IT技术总监）

美国的《计算机诈骗和滥用法案》（CFAA），明确规定严禁“未经授权的访问”以及“超越权限的访问”。而以上行为对于黑客却是呼吸一般的“必需”和“日常”。

美国联邦政府首次使用反黑客攻击法令是在1989年，即该法案颁布的3年后。被告是时任NSA美国国家计算机安全中心首席科学家的儿子，当时就读康奈尔大学的研究生Morris。后者被控创造并释放了后来臭名昭著的Morris蠕虫。Morris最终被判3年缓刑和400个小时的社区服务。如今，他已成为麻省理工的终身教授。

中国某知名黑客曾对“黑客是一种职业吗”一问如是回答：“黑客相当于习武之人。强盗、飞贼、保镖、捕快，这才是习武之人的各种职业。”

所以，世界究竟应该怎样对待黑客，尤其是那些所谓天才黑客？一起引发争议的判决曾使这样一位天才“陨落”：著名电脑黑客Aaron Swartz因向麻省理工校园的所有游客提供JSTOR（一个在线学术期刊系统）免费学术论文下载而遭到。尽管JSTOR管理方无意发起，但联邦检察官坚持诉诸法律。2013年1月，患抑郁症的Swartz于纽约自杀身亡，年仅26岁。他的死亡对于崇尚信息自由开放的互联网社区是一个重大损失。他的家人此后发表声明称：美国“罪恶的司法体系充斥着恐吓行为和无法无天的公诉人”。

谷歌新公司员工准则中有一条写道：应该做正确的事，遵守法律、行为端正并相互尊重。水能载舟亦能覆舟，黑客行为和法律之间，以法为先；如何判定黑客的罪名并进行量刑，也需要更为详细、完善的法律。

目前中国对黑客定罪量刑依据刑法第二百八十六条规定：对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或拘役；后果特别严重的，处五年以上有期徒刑。

勒索比特币，所以查不到黑客？

曾火（比特币从业者）

中国成为了此次病毒勒索的主要攻击地之一。5月15日，部分国内比特币交易平台发出提示：在监管整改下，当前比特币不支持提现，因此建议“受害者”不要在交易平台购买比特币支付赎金。

国内大型比特币交易平台OKCoin有关负责人此前声明：目前国内比特币交易平台不能提取比特币，若网友想购买比特币去支付赎金解封电脑，需要选择能够提币的交易所，不然会遭受二次损失。

黑客为什么选择比特币作为支付工具？这是由于比特币目前仍缺乏全球统一的有效监管，让黑客感觉使用比特币有“免受审查”的便利。

“匿名性”的确是比特币的特征之一，但比特币发掘和交易人的信息也并非不可查悉：首先，只要变现比特币便有迹可循，很多交易平台采用实名认证，一旦注册就会留下身份痕迹；其次，尽管比特币支付时不会传递身份信息，但支付时的IP地址是可查的。根据FBI已经处理的案例，除非使用者擅长防追踪技术，否则多数还是可以查到身份。对于调查机构来说，理论上只要黑客使用勒索到的比特币或者变现就能找到他们。

亚洲区域的比特币研究员Kolidat日前宣布，针对此次病毒勒索，调查机构目前已掌握了非常多数量的勒索地址，并且在持续追踪相关比特币的走向。

虽然调查机构有一定的信心，但我们还需要了解另一个事实，那就是2013年勒索病毒诞生以来，几乎从没有抓住过相关黑客。

对于网络时代的新型犯罪，尤其类似此次使用比特币为支付手段的犯罪，监管比特币市场仍是重中之重。2017年1月始，中国政府就对比特币市场开展了一系列调查、整顿专项活动。我认为，全球虚拟货币和虚拟财产的管理都应该进行这样的整顿，在技术上避免给黑客留下可乘之机。