公安部第三研究所黄道丽等:打击勒索软件的法律思考

来源:公安部第三研究所   时间:2017-05-17

   现代加密技术和易于获取的现实货币价值为勒索软件的滋生蔓延创造了条件,信息化规模和黑客攻击技术的快速成长使得我国成为勒索软件爆发式增长的“重灾区”。在FBI尚发出“公司在感染了勒索软件之后最好支付赎金来找回重要数据”的忠告之下,勒索软件“反抗即损失”的特征愈发明朗化。我国必须加大勒索软件的打击力度,从法律、管理和技术层面实施综合治理。
一、勒索软件的概念与特征
   勒索软件(Ransomware),又称勒索病毒,维基百科将其定义为一种特殊的恶意软件,被归类为阻断访问式攻击,与其他病毒最大的不同在于手法。一种勒索软件单纯地将用户的电脑锁起来;另一种则系统性加密用户硬盘上的文件。所有的勒索软件都会使用户数据资产或计算资源无法正常使用,要求用户支付赎金以取回对电脑的控制权,或是取回用户无从自行获取的加密密钥。勒索软件编写者还在继续开发,导致勒索软件在持续变种,2014年来针对Android系统移动设备的勒索软件陆续出现。McAfee Labs预测,鉴于配电和医疗保健市场已经出现了物联网设备被劫持的案例,勒索软件随时可能移植到物联网领域。

   在法律层面,2016年9月美国加州通过的参议院第1137号法案将勒索软件定义为“未经授权的一种病毒,其将计算机病毒或锁死程序放置或感染到计算机、计算机系统或计算机网络中,限制已获授权的用户访问计算机、系统、网络及其所存储的数据,从而要求用户为其支付金钱或其他代价,以移除或通过其他方式修复该计算机病毒或锁死程序”,基本着眼于授权角度再次重申了技术上对勒索软件的定义。

   作为病毒的一种,勒索软件的概念自20世纪90年代开始出现,但其加剧威胁源自2005年开始运用更加复杂的RSA加密手段和2013年开始利用比特币等虚拟货币作为新的支付形式。暗网中已有越来越多的人提供勒索软件作为服务,勒索软件即服务(Ransomware as a service,RaaS)呈爆炸式发展趋势。我国日渐成为勒索软件泛滥的重灾区,2015年开始蔓延,2016年开始强势袭击各大互联网企业和个人用户,成为企业和个人数据安全的重大威胁之一。

   新近意义上的勒索软件具有的主要特征在于:一是采用了加密技术(例如RSA)实现对用户系统、网络的加密和解密,以及支付形式的密码化(例如Bitcoin);二是直接损害信息或数据的可用性的同时,也不完全不排除侵入,或在无法实现获取赎金(财物)的“营利目的”时的窃取、破坏等危害保密性、完整性的行为,即其基于勒索行为实施的“成功”与否决策如何进一步实施危害行为。如获取赎金的,可能解密、解锁,也可能窃取数据;如未获取赎金的,则损毁、窃取数据或者披露用户敏感信息;部分勒索实施行为甚至无论是否获取赎金,均会窃取、损毁数据。

二、打击勒索软件的监管难点
   《McAfee Labs 2017 年威胁预测报告》预测,2017 年上半年,“勒索软件即服务”模式、在黑市上出售的定制勒索软件、来自开源勒索软件代码的创意衍生攻击方式仍将肆虐横行,“勒索拒绝服务”将成为针对云服务提供商和依赖云开展运营的组织的常见攻击。产生源头缺乏法律规制和虚拟市场货币监管失控是导致打击勒索软件困难的两大原因。

1.产生源头缺乏法律规制,带动勒索软件的泛在发展和新型商业模式的形成
    勒索软件等计算机病毒的“傻瓜化”制作过程和高额赎金暴露了犯罪低成本、高收益的反比特性,使得黑色市场的专业化、精细化、技术化发展趋势愈发明显。以美国执法机构为代表的政府利用漏洞进行情报获取或政治攻击的行为,不断刺激黑客对漏洞的非法挖掘、披露和交易,加上不健全的规范机制,为勒索软件的产生提供了持续的源动力。基于国际社会漏洞治理规则碎片化的现状,从源头上阻断和根除勒索软件变得异常艰难。加密技术的应用已经实现了对制作、传播、实施、支付等所有环节的全面覆盖,现有的公钥加密体系和灰色网络为勒索软件的危害行为提供了“完美”掩护,使其更具隐蔽性。勒索软件的易传递性和获取性激发了“勒索软件即服务”(Ransomware as a service,RaaS)新兴商业模式的形成和兴起。

2.虚拟货币市场的监管失控,导致勒索软件的赎金获取能够隐蔽实现、快速变现并难以执法取证
    以比特币为主要类型的“虚拟货币”(virtual currency)近年来也在快速发展,作为技术和交易模式支撑的区块链成为2016年炙手可热的话题。各国对虚拟货币的监管缺乏统一规则,为勒索软件的全球网络变现提供了机会,这也是各国立法差异和未建立有效国际合作模式问题的集中体现。全球虚拟货币监管路径尚在不断探索和调整过程中。2013年底中国人民银行等五部委发布的《关于防范比特币风险的通知》明确比特币为虚拟商品,以严格区别于数字货币并适用不同监管机制。在据称“全球超过90%的交易量都发生在中国”的2017年,央行加强了现场调查并明确提出“四不准”规定:不得违规从事融资融币等金融业务,不得参与洗钱活动,不得违反国家有关反洗钱、外汇管理和支付结算等金融法律法规,不得违反国家税收和工商广告管理等法律规定。为了打击恐怖主义袭击中的虚拟货币使用,欧盟于2016年扩大了反洗钱规定的实施范围,美国则在一些法院判例中为比特币的发行货币化提供了长期路径。

    此外,以比特币等虚拟货币为支付方式引发了勒索软件的再度泛滥,执法机构无法追踪资金流向,网络犯罪执法取证难上加难。

三、打击勒索软件的法律规定
    勒索软件造成的数据安全威胁成为各国共同面临的挑战。“No More Ransom!(停止勒索)”协作计划、反勒索软件技术的发展和持续执法行动正在全球开展。在法律层面,2016年9月美国加州通过参议院第1137号法案(Senate Bill No. 1137- Chapter 725),修订了《刑法典》第523节,在法律层面明确了实施勒索软件行为的刑事责任,规定如果某人以获取钱财或其他利益为目的,直接放置或感染勒索软件,或者指示、引诱他人这样做,从而将勒索软件感染到计算机、计算机系统或计算机网络中,在获取利益后为受感染者提供移除或其他方式的恢复服务的,那么此人将为该勒索软件负责,视情节被处以2至4年不等的监禁。

    我国现行法律没有针对勒索软件的专门性规定,但针对制作传播计算机病毒、敲诈勒索、信息网络技术支持和帮助等危害网络安全方面的法律规定相当完善。2000年《计算机病毒防治管理办法》明确规定任何单位和个人不得制作、传播计算机病毒,并规定了相应的警告、罚款、没收非法所得等行政处罚;《刑法》第274条规定了敲诈勒索罪,并在《关于办理敲诈勒索刑事案件适用法律若干问题的解释》中对量刑标准和提供网络技术支持帮助,规范为他人信息网络犯罪提供技术支持和帮助的行为;《刑法》第285条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪;《刑法》第286条将计算机病毒作为破坏性程序的一种,并在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中界定了破坏性程序的范围;《刑法》第287条之一规定了非法利用信息网络罪,287条之二规定了帮助信息网络犯罪活动罪;《治安管理处罚法》第29条规定故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的,可予以拘留;即将全面实施的《网络安全法》第27条强调禁止从事危害网络安全的活动,旨在实现行刑衔接,规定了拘留、罚款、没收违法所得等行政处罚。勒索软件作为计算机病毒的一种,勒索软件实施的危害行为涉嫌违法犯罪的理应属于以上法律法规规制的范围。

四、勒索软件危害行为及相关罪名分析
   勒索软件实施的危害行为,因其阶段不同而可能涉及不同的违法或犯罪行为,同时还可能具有计算机病毒或其他攻击、侵入、干扰、破坏行为的功能,在用户支付赎金后,亦可能留有“后门”而未必能够彻底恢复系统。为便于分析,以下以现行《刑法》为例,参考最高人民法院、最高人民检察院《关于办理敲诈勒索刑事案件适用法律若干问题的解释》和《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,基于单一勒索目的和功能的理想状态描述归类勒索软件可能涉及的相关罪名。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919