勒索攻击深观察③：全球多国制定网络安全法案，安全合规成企业“必修课”

南方财经全媒体记者 吴立洋，实习生褚陈静 北京报道

数字化时代，数据驱动各项业务发展，成为社会产业建设的基础，数据一旦遭到攻击，就会造成相关业务甚至产业的停摆。而随着政府、公共服务机构和基础设施部门成为勒索软件等恶意程序的攻击目标，其影响力与破坏力也不断增强，网络安全也不再局限于个别企业的自身防护，开始成为涉及产业链乃至国家安全的重要问题，引起各国政府与国际组织的关注与重视。

在这样的背景下，网络安全被许多国家提升到顶层战略高度。2021年美国白宫发布《国家安全战略临时指导方针》，将提升网络安全作为美国政府首要任务，并建立新的网络空间安全和新兴技术局（CSET），推动网络安全国际间协作。澳大利亚政府在2020年制定网络安全战略，计划投资16.7亿美元建立新的网络安全和执法能力。

近年来，我国网络安全建设也在不断完善，随着《网络安全法》《数据安全法》《个人信息保护法》等一系列基础性法律法规落地，我国已建立起一套基本的网络安全法律合规框架。今年两会期间，《政府工作报告》进一步强调：“推进国家安全体系和能力建设，强化网络安全、数据安全和个人信息保护”。 

落实强制报告义务

值得注意的是，在从宏观监管角度治理网络安全问题时，落实安全事故强制报告制度被多国以法律法规形式加以确认。

2011年，美国证券交易委员会（SEC）要求上市公司必须上报网络安全事故、数据泄露事件，否则将面临调查传讯。今年3月11日，美国众议院通过《关键基础设施网络事件报告》法案，要求关键基础设施所有者和运营商需要向网络安全和基础设施安全局（CISA）报告网络事件和勒索软件付款。迄今，全美50州多数已颁布相关法令，要求机构在发生个人信息数据泄露事件时及时通知用户。

2021年12月，澳大利亚《2018 年关键基础设施安全法案》修正案正式生效，新的法案引入了网络安全事件强制性报告义务，要求责任实体必须在意识到网络事件对关键基础设施资产可用性产生“重大影响”后的 12 小时内报告。

我国《网络安全法》第22条规定：“网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

2021年7月，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》，要求网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将漏洞风险及修补方式告知，并提供必要的技术支持。

腾讯安全专家李铁军表示，国家要求企业依法报告网络安全事件，一方面可以督促企业增强自身的安全系统建设，从软硬件设备、机制管理等方面形成成熟的安全防控体系；另一方面，也要求企业在出现事故后对安全问题进行更为详细和全面的溯源，分析安全弱点与问题原因，还原事故发生的来龙去脉：“每一次的回溯分析，都可以有效提升企业接下来面对网络攻击的经验与能力。”

北京航空航天大学法学院助理教授、工业和信息化法治战略与管理重点实验室办公室主任赵精武则指出，此类规定能够有效安全漏洞引发的牵连性损害风险，在当前网络安全态势下，由于关键信息基础设施运营者网络安全防护能力明显提升，网络攻击者通常并不会选择这类关键性网络节点进行直接攻击，而是利用存在业务关联或供应链关系的其他企业作为攻击，利用这些安全能力薄弱的网络节点漏洞间接攻击其他网络节点。

在这样的背景下，网络安全漏洞强制报告机制能够帮助监管机构及时研判。“一方面切断网络攻击损害结果的扩张，另一方面避免网络产品、服务提供者出于商誉保护的目的，隐瞒勒索攻击相关的重要信息，方便监管机构及时介入与治理风险。”赵精武表示。

支付赎金是否违法

除要求责任主体在发生网络安全事故后及时报告外，近年来，部分国家也在尝试从立法角度对相关企业支付赎金、提供支付渠道、传播被盗数据等行为加以限制。

2020年10月，美国财政部国外资产控制办公室（OFAC）曾发布公告表示，向恶意勒索软件攻击支付赎金可能会使得犯罪分子获益，使其得以从事不利于国家安全与外交目标的活动，支付赎金不仅不能保证受害者可以重新获取被盗数据，还可能鼓励更多不法分子参与网络攻击。

通过援引美国《国际紧急经济权限法》（International Emergency Economic Powers Act，IEEPA）与《禁止与敌国贸易法》（Trading with the Enemy Act，TWEA），OFAC表示，与法律禁止的对象进行交易可能会被追究民事责任。此外，向受害者提供支付给勒索软件赎金渠道的公司，也需要考虑自身是否具有金融犯罪执法网(Financial Crimes Enforcement Network，FinCEN)所规定的监督义务。

相关的法律尝试也发生在欧洲。2021年5月，爱尔兰卫生服务系统（HSE）遭到Conti勒索软件攻击，全国多家医院诊疗预约被迫取消，CT等放射性治疗业务难以正常运作。不久后，HSE表示已收到攻击者给出的勒索金额，但“根据国家政策”，其不会支付赎金。

随后，一部分被窃取的患者机密信息被公布在安全防护网站VirusTotal上，HSE称，在5月25日被删除前，这些数据已被下载23次。5月20日，HSE获得一项法院命令，要求禁止对被盗数据进行任何形式的处理、发布、共享或销售行为。不久后，爱尔兰高等法院再次发布命令，要求VirusTotal的所有者Chronicle Ireland及其美国母公司——谷歌旗下的Chronicle LLC提供上传者和下载者的个人信息。

虽然有部分网络安全人士呼吁从立法层面直接禁止向攻击者支付赎金，但如此严厉规制行为仍在学界和业界存在不小的争议。赵精武认为，将支付勒索软件赎金定位为非法的行为确实可以使攻击者“竹篮打水一场空”，增加其获得赎金的难度，提升其违法成本，勒索软件非法获利的可能性，也迫使企业主动报告事故详细信息，畅通网络安全信息共享机制。但从刑法理论的角度看，支付赎金的目的是为了减少损失的进一步扩大，属于被攻击者的无奈之举，并不满足犯罪成立要件中有关主观故意或过失的要求，因此并不适宜直接定性为违法行为。

当前在中国如果遭到勒索攻击，且短期内没有合适的办法加以解决，为了保护数据安全或相关网络服务的持续稳定，赵精武认为，支付赎金的行为目前看并不构成违法。

强化企业合规要求

近年来，随着各国对数据安全重视程度的不断提升，企业在遭到网络安全攻击时，除了可能因数据丢失、业务停摆而产生直接经济损失，由于未满足合规要求而带来的高额行政罚款也逐渐成为其“难以承受之重”。

2020年10月，英国信息专员办公室（Information Commissioner's Office，ICO）裁定英国航空公司未能保护客户数据，对其处以创纪录的2000万英镑罚款；仅在两周后，万豪连锁酒店同样因未能保护客户数据而被罚款1840万英镑。据ICO公布的财务数据显示，20/21财年其总罚款金额同比增长1580%。

今年3月，爱尔兰数据保护委员会（DPC）宣布，由于 Facebook 的母公司 Meta 违反欧盟《通用数据保护条例》（GDPR），将对其处以 1700万欧元的罚款。根据 GDPR 执法跟踪网站enforcementtracker.com统计，2021年 GDPR 罚单的总金额高达约10.6亿欧元，而过去三年的罚款总额仅为2.4亿欧元。

我国有关部门也曾多次就企业、金融机构数据安全问题开出罚单。2021年1月29日，银保监会开出本年1号罚单，中国农业银行因涉及数据泄露风险等，被罚 420 万元人民币。

“除了基本的安全保障措施，履行安全合规义务也是当前企业必须完成的必修课。”北京某安全行业从业者向记者表示，满足合规要求既给予企业具体的安全防护指引，规范其安全防护机制和事故处理方式，也有利于在行业乃至国家层面形成安全响应和信息共享机制。

赵精武认为，除了在发生网络安全事故后及时按照法律法规要求向有关部门报告，企业在日常经营中还需满足以下基本的合规需求：首先，定期进行网络安全自评估，发现潜在的网络安全风险或漏洞；其次，制定网络安全应急处置预案，设置专门的安全管理机构和安全管理负责人，定期开展网络安全演练，提升企业内部员工应对勒索攻击的处置能力和反应速度；最后，遵守网络安全国家标准，优先采购具备资格的机构安全认证合格或检测符合要求的网络设备和产品，提升企业网络物理设备安全水平和信息系统防护水平。