日常的电脑,如果仅仅是硬件,只不过是一堆元器件。这些元器件,需要通过特定的操作系统来予以激活并使其发挥功能。如果不经由网络链接,每一台电脑独自发挥其功能、互不影响,计算机病毒也难以传播。所以,任何的计算机病毒,都可以理解为经由网络传送、利用系统漏洞进入电脑用户。如果把计算机病毒比喻为一个小虫子,这个小虫子即是通过网络管道,钻入每一台电脑的系统漏洞、对系统中的数据产生破坏,甚至通过系统软件对电脑硬件产生破坏。就个人电脑用户而言,主要有四大操作系统:微软公司的Windows系统;Unix系统;Linux系统;Mac操作系统。此次,“永恒之蓝”病毒,即是利用了Windows操作系统共享协议的漏洞,扫描445文件共享端口,从而进入个体电脑锁定文件。未关闭上述端口的用户,只要开机上网,就会中毒。从已有的资讯来看,“永恒之蓝”来源于美国国家安全局的“网络武器库”,网络黑客利用这一漏洞病毒侵入全球各地的电脑之中并勒索赎金。 从侵权法律关系来看,网络黑客利用“永恒之蓝”病毒、经由Windows系统漏洞侵害电脑用户的合法权益。故此,以下主体都对该计算机病毒侵害负有责任:病毒制造者,病毒利用者,系统软件提供商,安全产品提供商和网络服务提供商。但是,这些主体对于侵害的发生承担责任的性质是各不相同的。尽管有报道称,“永恒之蓝”病毒来自于美国国家安全局的“网络武器库”,但却没有证据证明该病毒是由其制造或是从其泄露的,因此,以美国国家安全局作为承担责任主体,对一般电脑用户而言,是无法实现的任务。同时,作为病毒利用者的黑客,我们也不知其身在何处,难以实现维权目的。然而,就受到攻击的电脑而言,其所使用的操作系统的漏洞、安全防护网络未能有效实现功能等方面,却是可以成为相应的责任承担主体的。因此,我们认为,在受到计算机病毒侵害之后,可以向操作系统提供商、安全防护提供商、网络服务提供商主张侵权赔偿责任。 三、维权路径:基于产品和服务提供者的责任 在无法证实病毒制造者和明确“黑客”的情形下,有必要尝试从产品和服务提供者的责任角度,来维护电脑用户的合法权益。事实上,无论是系统服务提供商、安全防护功能提供商还是网络服务提供商,都对侵害的发生负有不同程度的责任。这种责任的承担,在我国现行法律框架之内,是有足够法源支撑的。 首先,关于网络服务提供商的责任问题。在《侵权责任法》第三十六条当中,规定了三种不同的网络侵权及其责任承担的模式。其一,网络用户、网络服务提供者利用网络侵害他人民事权益。无论是网络用户,还是网络服务提供者,利用网络侵害他人权益的,都需要承担相应的民事责任。在“勒索病毒”事例中,网络用户是躲在暗处的“网络黑客”,网络黑客利用网络侵害电脑用户的合法权益。网络服务提供商,却并没有利用这种“勒索病毒”侵害他人民事权益的行为。其二,网络侵权发生之后,受害人通知了网络服务提供商,网络服务提供商未采取删除、屏蔽、断开链接等必要措施的,对损害的扩大部分承担连带责任。以本文所及的“勒索病毒”为例,在受到该病毒侵害之后,如果有用户向网络服务提供商要求“断网”等必要措施,如果网络服务提供商未能采取相应措施,是需要针对扩大的损害承担连带责任的。其三,网络服务商明确知道网络用户利用网络侵害他人权益,未采取必要措施的,与该网络用户承担连带责任。这是属于网络服务商“明知存在计算机病毒”的情形,与本文所述的状况有明显差别,因此在此不做展开探讨。粗看起来,网络服务提供商在“勒索病毒”侵害过程中是不存在上述三种法定情形的。然而,是否可以适用《侵权责任法》三十七条的规定,将网络服务提供商作为拟制的“公共场所管理人”,我们觉得是存在一定的合理性的。根据该条规定,网络服务提供商作为“网络公共场所管理人”,需要承担一定的安全保障义务。这一规定,与《消费者权益保护法》当中的有关规定有着异曲同工之妙,可以用来解释和论证网络服务提供商在计算机病毒侵害案例中的责任承担问题。 2.操作系统及安全防护系统提供商的产品责任。对于操作系统及安全防护系统提供商的责任问题,可以从《侵权责任法》关于产品责任的有关规则得到解决。因产品存在缺陷造成他人损害的,生产者应当承担侵权责任。因销售者的过错使产品存在缺陷,造成他人损害的,销售者应当承担侵权责任。销售者不能指明缺陷产品的生产者也不能指明缺陷产品的供货者的,销售者应当承担侵权责任。作为受害者,因产品缺陷造成损害的,可以向产品生产者请求赔偿,也可以向产品的销售者请求赔偿。对于“勒索病毒”侵权事件,该病毒利用了Windows操作系统的漏洞进行侵害,实质上是Windows的操作系统存在缺陷,依法可以向Windows系统提供商提出请求赔偿。诚然,如果Windows系统提供商能够披露“病毒来源”,能够披露“实际的侵权者”的,依法可以相应减轻其所应当承担的责任。 安全系统防护提供商的相应责任,则存在产品责任与违约责任的竞合问题。安全系统防护,既可以是加装硬件,也可以是加装软件。然而,无论是硬件还是软件,都是要确保用户电脑安全。此处的安全,当然涵盖计算机病毒侵害,否则,其安全防护就没有任何意义。因此,在安全防护系统提供商与用户之间存在口头或者书面的“防护协议”,正是以此协议作为前提,安全系统防护提供商需要承担违约责任。这种产品责任和违约责任的竞合,可以由用户自行进行选择。 3.责任承担方式。《侵权责任法》第十五条,对于侵权责任的方式进行了明确:停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉。在计算机病毒侵权事例中,对这些责任承担方式无疑也是可以加以适用的。就操作系统软件提供商而言,受害电脑用户请求其排除妨碍、恢复原状,具有法律的相应基础。以“永恒之蓝”病毒而言,如果Windows系统不存在相应漏洞或者漏洞发现之后能及时采取措施,也不至于如此泛滥成灾。由操作系统软件提供商来发现和弥补漏洞,并从而督促其在与“网络黑客”斗法的过程当中胜出,有利于保护电脑用户的合法权益。因此,作为受害的电脑用户,可以向操作系统提供商要求对文件进行解密、恢复文件、修复漏洞甚至承担相应损失。 |