法制论坛

搜索
查看: 19868|回复: 5

【原创】“永恒之蓝”是否成为法律的“永恒之难”?

[复制链接]
发表于 2017-5-16 11:50 | 显示全部楼层 |阅读模式
“永恒之蓝”是否成为法律的“永恒之难”?

刚刚过去的这个周末,“永恒之蓝”病毒以迅雷不及掩耳之势攻击多个国家和地区,上百个国家的学校、医院、机场、银行、加油站等均遭受影响,众多的文档资料成为主人的“永恒之难”:据外媒报道,欧洲刑警组织指出,至欧洲时间14日早上,多达150个国家的20万台电脑遭“永恒之蓝”勒索病毒侵害,我国包括山东大学、浙江大学等多所高校电脑“中招”,很多地方公安部门的专网也遭受到攻击,公民的户口业务、出入境护照等难以办理,加油站等地方也遭受了数据无法解密的困扰,诸如此类等等,给很多群众的生产生活都带来了不便。
近年来,随着互联网的快速发展,人民享受着互联网带给我们的种种便利,但是与此同时,网络病毒、木马、网络恐怖主义、网络淫秽色情等跨国犯罪问题突出,以网络为载体和手段的侵权行为发生频率已经越来越高,关于互联网犯罪类型也由原先纯正的计算机犯罪扩大到不纯正的计算机犯罪:数据泄漏事件频发,越来越多的网站爆出数据库被黑客入侵利用,用户隐私安全遭到威胁的消息;被攻击的计算机信息系统涉及更多领域,针对政府、金融、交通、电力、教育、科研等重要领域系统的攻击数量明显上升,其破坏性更大,已经成为了一个国际公害。根据2017年3月20日艾媒咨询发布的《2016-2017中国互联网安全行业研究报告》显示,据不完全统计,全世界因互联网安全问题而造成的损失达1140亿美元,而中国每年遭受的直接损失高达250亿美元。本周末的“永恒之蓝”就是其中典型的一例。能否从法律角度出发破解“永恒之难”?各国都在尝试。

关于美国对互联网犯罪的立法情况
黑客行为的社会危害性越来越大,严惩黑客的呼声愈来愈高,于是各个国家关于对惩治黑客的法律行为也越来越多起来。以美国为例,在保护政府信息层面的主要法律有:1966年,美国制定《信息自由法》,并且分别于1974年、1986年和1996年进行了修订,主要内容涉及对政府信息的获取、公开方式、可分割性,以及相关的诉讼事宜等;1987年制定的《计算机安全法》,规定NIST负责开发联邦计算机系统的安全标准。除了国家安全系统被用于国防和情报任务外,商务部负责公布安全标准,加强联邦计算机系统安全保护的培训的责任,以提高联邦计算机系统的安全性和保密性;1991年发布的《高性能计算法》,规定建立满足安全需求的联邦高性能计算程序,此程序应当提供跨部门之间协调并向国会递交年度执行报告。此外,此法还要求NIST为联邦系统建立高性能计算的安全与隐私标准;1996年发布的《克林格-科恩法》,又名《信息技术管理改革法》,规定设立首席信息官(CIO)职位;授予商务部发布安全标准的权利,要求各个机构开发和维护信息技术架构;要求政府预算办公室(OMB)监督主要信息技术的收购,并且与国土安全部长协商,公布国家标准与技术研究院(NIST)制定的强制性联邦计算机安全标准;2000年发布的《政府信息安全改革法》,规定联邦政府部门在保护信息安全方面的责任, 此法明确了商务部、国防部、司法部、总务管理局、人事管理局等部门维护信息安全的具体职责,建立了联邦政府部门信息安全监督机制;2002年发布的《联邦信息安全管理法》,为联邦信息系统创建了一个安全框架。该法案强调风险管理,规定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(联邦机构监察长)的具体责任。倡导建立由OMB监督的中央联邦事件中心,负责分析安全事件并且提供技术帮助,通知机构运营商当前和潜在的安全威胁及漏洞;2009年奥巴马总统签署《网络空间政策评估报告》,强调保障美国政府的网络系统安全。
在打击计算机犯罪方面,则有1970年美国颁布的《金融秘密权利法》,对金融业务计算机中存储的数据进行限制; 1984年的《伪造连接装置及计算机欺诈与滥用法》。这是美国通过的第一部关于计算机安全与犯罪的法案,规定了禁止对联邦计算机系统、银行系统、各州及对外贸易的各种攻击;  1986年签署的《计算机欺诈与滥用法》,扩展了1984年《伪造连接装置及计算机欺诈与滥用法》的范围,并对1986年《电子通讯隐私法》进行了补充,宣告未经授权访问“联邦利益”计算机(指被牵涉进某个刑事案件的两台或多台计算机,且它们位于不同的州),及未经授权破解计算机口令为犯罪行为,以及交易盗窃的计算机密码为违法行为。在1994年的修正案中,对传播病毒和其他有害代码行为也作了规定。
在保护关键基础设施上,2001年的《爱国者法案》对关键基础设施进行了重新定义;2003年布什总统发布第7号国土安全总统令《关键基础设施标识、优先级和保护》,对美国关键基础设施和重要资源进行优先级排序和保护;2006年DHS发布《国家基础设施保护计划》为今后的关键基础设施保护提供总体框架。
可以说,美国的关于计算机方面的犯罪,立法涉及范围广泛,注重多部门协作,同时还建立威胁信息共享及应急支持机制,并且设立专门机构协调各方携手保护信息安全,还根据现实需要不断增设新机构。
美国为了维护其国家利益无所不用其极,不禁在立法上做了很多立法,很多事情也在大家不知道的情况下进行,最为著名的就是斯诺登的棱镜门事件,其折射出美国政府对美国公民、国际社会的互联网、计算机侵害。

中国关于对互联网犯罪的立法情况
目前,我国已成为世界上黑客攻击的主要受害国之一。根据国家互联网应急中心(CNCERT/CC)数据显示,2016年1月至11月,中国境内被篡改网站数量总数达到62894个,其中被篡改政府网站数量达到1483个。已收集到的信息系统安全漏洞达9756个,其中高危漏洞3764个,占比为38.6%。可以说,跨地域、无疆界的网络犯罪正威胁着我们每一个人,极大地影响了我国网络运行的正常秩序。
为了进一步惩治计算机网络犯罪,中国规制网络黑客行为的法律框架。在法律层面上主要有1997年刑法,将两种黑客行为规定为犯罪:非法侵入计算机信息系统罪和破坏计算机信息系统罪。2009年的刑法修正案(七),增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。全国人大常委会颁布了《关于维护互联网安全的决定》以及《中华人民共和国治安管理处罚法》等。
在行政法规和部门规章层面上,1994年2月18日国务院颁布实施的《中华人民共和国计算机信息系统安全保护条例》是我国制定的第一部针对计算机系统安全保护的规范性文件;1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行办法》。1998年2月13日,国务院信息化工作领导小组发布《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》;1996年4月9日,邮电部发布《中国公用计算机互联网国际联网管理办法》;1997年12月16日公安部发布《计算机信息网络国际联网安全保护管理办法》;2000年1月25日国家保密局发布《计算机信息系统国际联网保密管理规定》;2000年4月,公安部发布《计算机病毒防治管理办法》和《计算机信息系统安全保护等级划分准则》。
另外,司法解释方面,2011年“两高”联合出台了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,进一步加大了对危害计算机信息系统安全犯罪的打击力度。
随着互联网的发展的进一步加快,我国对于互联网方面的立法进一步加快,仅2016年后半年就出台了四个法律法规:2016年8月,中央网信办等三部门联合发布了《关于加强国家网络安全标准化工作的若干意见》,与国家相关法律法规实现了配套衔接,明确了网络安全的国家标准,实现了标准化的基础制定;9月,最高人民法院、最高人民检察院等部门联合发布了《关于防范和打击电信网络诈骗犯罪的通告》,从法律执行的角度提出了对网络犯罪的预防性工作,为打击网络犯罪提供了可操作性;11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,奠定了中国网络安全保护和网络空间治理的基本框架,引导我国网信事业走上了健康安全轨道; 12月27日,国家互联网信息办公室发布我国首部《国家网络空间安全战略》,通过战略性的选择将我国网络空间安全问题提纲挈领做了指引性的规定,为保护网络空间安全提出了纲领性的意见。通过一系列法律法规的制定,让治网有法可依成为一种必然性的选择。
加快立法的同时,我们还持续通过双边渠道与有关国家开展对话合作,开展了一系列国际执法合作活动,对网络违法犯罪保持高压打击态势,坚定维护网络安全:2015年9月,中美两国决定建立打击网络犯罪及相关事项高级别联合对话机制。机制建立以来,在加强中美网络安全合作方面取得了良好成效。中美双方先后举行了三次打击网络犯罪及相关事项高级别联合对话,达成了《打击网络犯罪及相关事项指导原则》,建立了热线机制,并就网络安全个案、网络反恐合作、执法培训等展开合作;2016年6月,中英举行首次高级别安全对话,双方就打击恐怖主义、网络犯罪等领域合作达成重要共识;2016年9月,中国与加拿大举行首次高级别国家安全与法治对话,双方就反恐、网络安全与打击网络犯罪等进行深入磋商;2016年11月,中国与白俄罗斯就深化打击网络犯罪和其他跨国有组织犯罪活动等方面达成重要共识……通过以联合对话、工作会晤、工作会议等形式,中国在惩治计算机犯罪、加快国际执法合作方面迈出了坚实的脚步,畅通着个案侦查、信息交流、机制建设等方面的交流合作,积极构建和平、安全、开放、合作的网络空间。

治理互联网下的计算机犯罪要靠国际形成共同的合力
我们已经进入地球村时代,高速发达的互联网成为媒介桥梁,让分处各地的民众互通有无,重要讯息瞬间便可以传遍全世界,病毒木马更是以光速在互联网上奔驰,与众多的电脑争夺着自己的高地。几年前微软的一次蓝屏事件让大家看到了美国一个公司维护自己的权益给众多的盗版带来的困扰,而这次的永恒之蓝则被国际知名杀毒软件公司卡巴斯基爆料,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。“永恒之蓝”仅仅是美国国家安全局的一个小程序给世界带来了这么大的困扰,如果真的发生了大规模的战争,美国手里的网络武器想想就让人不寒而栗!
为了解决这个问题,我们必须从法律角度来维护世界的安全,构筑网络安全防线。法律能否杜绝将“永恒之蓝”变为“永恒之难”?我认为可以从以下几点入手:
加强立法、执法、司法行为打击力度,从源头上提高打击防范的意识。目前,因为犯罪地域、执法程序、法律规定、执行机关等众多的因素交织,互联网犯罪很难在国家环境下进行惩处,而互联网的开放并包的特性决定了惩治预防黑客不能单靠各国国内法不行,而是需要全球性法律协作机制加以解决。2001年11月由欧洲委员会的26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯所共同签署的网络犯罪公约(Cyber-crime Convention)是于是全世界第一部针对网络犯罪行为所制订的国际公约。虽然这部公约能建立更广泛的共同打击网络犯罪的国际司法合作,但是这部公约对各个国家的部分网络主权让渡没有起到足够的引领作用,因此难以应对全球性的病毒木马,因此需要在其基础上重新修订,要求各国能够将部分网络主权让渡,重构新的秩序构架积极应对黑客、木马挑战;同时,加强国际间的合作,形成真正有效、合力、快速反应的打击黑客的机制。
各方协作,挤压黑客生存土壤。政府部门要站在国家战略的高度,强化监管,完善互联网管理法规,强力推进网络安全保障能力建设,不断提升关键信息基础设施安全防护能力,保障经济社会正常运转,尽力做好重大信息的发布,做好各方政策的引导协调,做到及时提醒、尽早预防;网络安全公司加大对科技的投入,真正构建起有效的杀毒、防毒引擎,增强杀毒能力特别是对病毒的预防能力,必要时可以引入人工智能系统与之相结合,增强安全厂商的准确性;系统厂商尽可能多地进行广泛测试,增强减少可攻击的目标,同时对已经发现的各种漏洞及时发布补丁,对一些特别重要的补丁程序,采用强制性安装的方式减少攻击的可能性;互联网相关企业要完善网络安全保障机制、加强企业网络安全防护体系、加强风险控制及风险管理能力,严防各种病毒、木马的泛滥;个人用户则要增强防范意识,尽可能使用知名的杀毒软件,及时安装系统漏洞修复补丁,不轻易下载、点击不明链接和软件,做好重要信息系统业务和个人数据的备份等等,只有全面防范并严厉打击,才能在网络安全之战中立于不败之地。
制定法律规范,引导黑客转红,享受法律红利。应当加强法律中对黑客转红的政策性法律利好条款制定、实施引导,尽可能引导尽多的黑客转成红客、转成白帽子,通过法律引导,让黑客尽可能多地享受到法律带来的利好,实现为互联网造福、为人民谋利、为国家尽力、为世界添彩。


高级模式
B Color Image Link Quote Code Smilies

本版积分规则

法制日报简介   |   关于我们   |   联系我们   |   法律声明   |   广告服务

网上违法和不良信息举报电话:010-84772380   法制网版权所有,未经协议授权禁止转载

京ICP备13032916号-1   网上传播视听节目许可证0105080号

京公网安备 11010502000576号   京报出证字第0080号

Powered by Discuz!

快速回复 返回顶部 返回列表