互联网“心脏出血”用户安全风险谁担责

现
有的法律措施大多是进行事后约束，这并非简单立法即可解决的问题。如果出现诉讼，一般会形成集体诉讼，但在管辖权和赔偿程度上还有许多难题需要解决。打开任意一个“https://”开头的网站，就意味着你打开了一个使用了SSL安全协议的网站。 这一协议被用于提高应用程序之间的数据安全系数，加密数据以隐蔽被传送的数据。而作为该协议的一种实现形式，OpenSSL是应用最广泛的SSL服务软件。简单地说，OpenSSL为你在网站上输入的各种账号密码加了一把虚拟的“锁”。这把“锁”如今被全球三分之二以上的网站使用。而就在4月9日，OpenSSL爆出了本年度最严重的安全漏洞。利用该漏洞，黑客坐在自己家里的电脑前，就可以实时获取到所有“https://”开头网址的用户登录账号密码，包括网银、电子邮件等信息。因影响巨大，该漏洞被曝光者命名为“heartbleed”，意为“心脏出血”。4月10日，国家互联网应急中心发布通报，称由于OpenSSL应用极为广泛，包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响，直接危及互联网用户财产和个人信息安全。年度最严重安全漏洞OpenSSL的历史可以追溯到Eric　Young所打造的SSLeay。虽然来自美国约翰霍普金斯大学的Matthew　Green曾经将其讥讽为一个“教你自学大数除法”的项目，但在此之前，加密算法曾经由美国政府牢牢控制。多年的积累加上熟悉的特性使OpenSSL顺利走向普及，而我们如今才
刚刚接触到其中不为人知的深层漏洞。据国家互联网应急中心通报，OpenSSL是一款开放源码的SSL服务软件，用来实现网络通信的加密和认证。该软件囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了
丰富的应用程序供测试或其他目的使用。国家信息安全漏洞共享平台(CNVD)分析，受到该漏洞影响的产品包括：OpenSSL　1.0.1-1.0.1f版本，其余版本暂不受影响。综合各方测试结果，国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响，此外一些政府和高校网站服务器也受到影响。CNVD成员单位奇虎360安全专家石晓虹博士表示，OpenSSL此漏洞堪称“网络核弹”，因为有很多隐私信息都存储在网站服务器的内存中，无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。在CNVD的综合评级中，这一漏洞被评为“高危”。一些统计数据也可以显示这一漏洞可能造成的巨大影响。奇虎360对国内120万家经过授权的网站扫描，发现其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间，共计约2亿网民访问了存在OpenSSL漏洞的网站。而由于OpenSSL是Apache和NGINXWeb两大服务器的默认SSL　/　TLS证书，专家
估计，全球多达三分之二的“安全”网站很容易通过这一漏洞受到攻击。事实上，攻击的苗头已经出现。国家互联网应急中心通报称，目前互联网上已经出现了针对该漏洞的攻击利用代码，
预计在近期针对该漏洞的攻击将呈现激增趋势，对网站服务提供商以及用户造成的危害将会进一步扩大。与此同时，OpenSSL在今年4月7日推出了OpenSSL　1.01g,修复了这个漏洞。目前，国内大量网站正在紧急通过更新软件来修复漏洞。然而，此时距该款缺陷软件推出的2012年3月12日已两年有余，是否有账号信息被窃取尚无法评估。谁该对信息泄露担责如果用户登录了一个使用了该缺陷协议的网站，导致信息被盗并产生损失，谁应该对损失负责？这是接下来我们可能要面临的问题。互联网法律专家、中国政法大学传播法中心研究员朱巍
认为，该事件涉及的法律责任包括两个方面：一是窃取信息者，即黑客的法律责任；二是存在漏洞服务器因漏洞造成用户损失的责任。前者我国刑法及相关司法解释有明文规定，后者则较为
复杂。“据资料显示，该漏洞早在两年前就曾显现，黑客可以非法获取存在漏洞服务器高达64K数据，这些数据已经足够获取个人包括财产数据在内的敏感信息。”朱巍向《法制日报》记者分析。他介绍，在网络交易中，交易网站有义务保护用户信息安全，这是源自“用户协议”的约定和交易诚信责任组成部分。一旦导致用户受损，网站应承担包括违约责任、侵权责任在内的民事法律责任。“不过，网站也可能有抗辩理由，主要有三种，分别为免责条款的抗辩、不可抗力的抗辩和已尽到提示义务的抗辩。”朱巍说。对此，中国政法大学知识产权中心特约研究员赵占领认为，关于不可抗力这一条抗辩理由争议最大。“这个漏洞被发现以前造成的损失，网站是否要负责？这个问题可能还需要讨论。因为这不是网站自己的漏洞，只是网站采用了这种国内外通用的协议标准，而这种协议标准本身就存在漏洞，这对
于网站来说是无法预料的。这到底算不算不可抗力，我现在也不能确定。”赵占领对《法制日报》记者表示。朱巍则认为，在此次事件中，不可抗力的抗辩并不成立。“病毒、漏洞或黑客攻击在网络世界中广泛存在，其破坏和出现频率也无法预计，一般理论认为，在一定程度上，网站可以依据不可抗力进行免责。不过，在本事件中，SSL漏洞在两年前就已经出现，在长达两年的时间内，网站未尽到合理注意义务，因此不能以不可抗力免责。”而对于在漏洞被发现之后仍给用户造成的损失，则没有太多争议。赵占领认为，如果网站在漏洞发现之后没有及时采取措施，导致用户损失进一步扩大，网站
毫无疑问地要承担赔偿责任。若发生损失如何维权即便发生损失后用户存在维权空间，但被问及是否有成功案例时，多名接受《法制日报》记者采访的专家均没有给出
肯定答案。“实践中我听说的起诉案例只有一个，现在还没有判：浙江一个酒店开发的酒店Wi-Fi管理、认证系统，因存在漏洞而导致用户信息泄露，被起诉至法院，前不久刚立案，结果现在还没出来。”赵占领介绍。而大多数案件都未能走到起诉这一步。赵占领分析，主要原因在于取证太困难，一般用户根本没办法证明信息是通过哪个渠道泄露的，因为一般用户的这些信息在很多地方都可以看到的，所以很难证明。唯一的办法就是等公安机关立案，查到犯罪嫌疑人，查清到底是哪个渠道泄露的。他介绍，一旦查清，如果是网站自身或者内部员工泄露，刑法修正案(七)有规定“非法泄露公民个人信息”的犯罪。之前，电信公司和支付宝公司泄露用户信息的案例就是属于这种。而如果是网站被动泄露的，情况则如上文所述，更加复杂。赵占领认为，现有的法律措施大多是进行事后约束，这并非简单立法即可解决的问题。“像目前的《电信和互联网用户个人信息保护规定》、侵权责任法等都有相关的规定，但并不能解决民事赔偿中的取证难题，因此也很少有受害者提起诉讼。”赵占领认为，这种困境归根于我国的电子证据认定有很大的缺陷。对于OpenSSL漏洞事件，朱巍提出，如果出现诉讼，一般会形成集体诉讼，但在管辖权和赔偿程度上还有许多难题需要解决。