一、背景

在2021年的《政府工作報告》中，李克強總理提出要加快數字化發(fā)展，打造數字經濟新優(yōu)勢，協同推進數字產業(yè)化和產業(yè)數字化轉型。在數字化發(fā)展的過程中，伴隨著效率的提升，網絡安全風險的敞口也不斷增大。而在各種網絡安全風險中，勒索軟件已經成為最為嚴重的威脅之一，甚至會直接危害人身安全。2020年9月德國杜塞爾多夫大學醫(yī)院遭受勒索軟件攻擊，一名患者被轉移至附近的其他醫(yī)院后不幸身亡。勒索所造成的危害已經無法忽視。

勒索軟件（“ransomware”）也被稱為勒索病毒，通常的運作模式是進入系統后對系統內數據進行加密，直接導致系統中數據無法正常使用，并要求在指定期限內支付贖金。贖金通常會要求以比特幣等加密貨幣的形式支付。勒索軟件不僅針對企業(yè)，也會針對政府部門與事業(yè)單位展開無差別攻擊。

2017年WannaCry在全球范圍內的肆虐讓勒索軟件治理成為不可回避的問題。在裁判文書網中稍作檢索，就能發(fā)現WannaCry所帶來的巨大破壞，WannaCry直接導致數家公安機關以電子形式存儲的證據無法恢復，以至于公安機關在訴訟中需要向法院專門說明證據的收集、存儲情況。直到今日，勒索軟件的陰霾也沒有煙消云散，反而形成了完整的產業(yè)鏈。而且不同勒索軟件都存在內部競爭，也開始“內卷”。近年來新興“Ransomware as a Service”（“RaaS”）的產業(yè)模式，更是大大降低了發(fā)動勒索軟件攻擊的門檻。

二、勒索軟件的預防、處置無法與法律絕緣

面對肆虐的勒索軟件，傳統上是由IT或信息安全部門負責處置，但網絡安全的特點是與所有人息息相關。大量的勒索軟件所引發(fā)事件顯示，法務與合規(guī)部門不僅需要加入到處置勒索軟件的決策圈中，更需要在預防環(huán)節(jié)就積極介入。

勒索軟件作為網絡安全事件的主要誘因之一，也要求機構在網絡安全事件處置機制的大框架下，針對勒索軟件的特點進行預先部署。根據網絡安全的定義（《網絡安全法》第76條），保障網絡數據的機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 的能力是網絡安全的重要組成部分。勒索軟件主要破壞數據的可用性與機密性，即使數據無法繼續(xù)，或是讓本應保密的數據公之于眾。

法律部門之所以需要積極介入勒索軟件的應對工作，不僅是因為勒索軟件的預防、處置不僅涉及網絡安全法律義務的履行，也因為網絡系統一旦被勒索軟件感染，可能也會面臨對外服務無法繼續(xù)正常提供的問題，直接需要面對違約或侵權責任。

三、預防與處置

應對勒索軟件，預防最為重要。在中國法下，完成網絡安全等級保護已經成為最好的免責事由之一。等級保護制度從技術與管理兩個角度對網絡系統的安全能力提出了具體的要求，本身就可以提升機構的網絡安全能力。在完成等級保護情況下，機構的網絡系統即使遭受勒索軟件的攻擊，可以在沒有“后顧之憂”的情況下進行報案。

除了完成等級保護，應對勒索軟件最有效的措施就是對數據定期進行異地備份，以確保網絡系統一旦被勒索軟件感染，數據可以得到有效恢復。這不僅需要機構建立數據備份機制（《網絡安全法》第21（4）條），也需要定期進行演練，確保備份的數據能夠真實被恢復。另一方面，對機構員工進行教育培訓也是預防勒索軟件、提升全員安全意識的有效途徑（《數據安全法（草案）》第25條）。