南方財經全媒體 記者吳立洋 實習生吳峰 北京報道

近日，多個社交媒體以及安全技術社區均有用戶稱遭遇“.locked”后綴勒索病毒攻擊，計算機文件被病毒加密，用戶“中招”后，需支付0.2比特幣“贖金”（約2.7萬人民幣）解鎖。

據悉，本次遭遇勒索病毒攻擊的對象主要為CRM（Customer Relationship Management客戶關系管理系統）廠商，包含“用友”及旗下“暢捷通”等管理軟件。

事件發生后，暢捷通分別于8月29日和8月30日緊急發布安全補丁修復該漏洞。其在公告中表示，受到勒索病毒攻擊客戶的軟件服務器“為客戶自有部署方式，且未做必要的網絡安全防護。”

多位網絡安全業內人士和律師在接受21世紀經濟報道記者采訪時表示，對于采買軟件產品存在安全問題而導致經濟損失的歸責和賠償問題，供應商和客戶通常會在采購合同中加以約定。按照目前的行業慣例，通常遭到第三方惡意攻擊時，供應商需按照故障處理盡快提供解決方案，但通常不會對相關損失承擔賠償責任。

安全損失誰之責

8月30日，國家信息安全漏洞共享平臺（CNVD）發布了關于暢捷通T+軟件存在任意文件上傳漏洞的安全公告。未經身份認證的攻擊者可利用漏洞遠程上傳任意文件，獲取服務器控制權限。

公告還建議受影響的單位和用戶立即將所使用的暢捷通升級至最新版本，聯系暢捷通技術支持，采取刪除文件等臨時防范措施或確認是否具備從備份文件恢復數據的條件及操作方法。

一位遭到該勒索攻擊并被鎖定文件的暢捷通用戶向記者表示，目前除了以一個自稱暢捷通工作人員的賬號在自己的微博下方進行了回復，表示可以反饋至相應工作人員進行安全加固，此外未有任何官方人員與其進行聯系。

“相關文件找專門的第三方公司修復需要三四萬。”該網友表示。

上海申倫律師事務所律師夏海龍在接受南方財經全媒體記者采訪時表示，如果用戶是因第三方惡意侵入系統而遭受損失，則一般應由入侵者承擔相關法律責任，判斷軟件服務商是否需要承擔責任取決于其是否存在過錯。

西安交通大學法學院助理教授王新雷也表示，根據《民法典》第一千一百六十五條規定，行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任。

但他也指出，勒索軟件等網絡攻擊的法律責任類型很多，涉及民事責任、行政責任和刑事責任。如果網絡產品服務提供商提供的網絡產品服務不符合有關安全技術標準規范的，可以認為其對被侵權人的損害存在一定過錯，將可能相應的賠償責任。這個過程主要取決于網絡產品服務提供商、用戶是否嚴格遵守了網絡產品服務的安全義務。

根據我國《網絡安全法》和《數據安全法》的規定，當軟件服務商發現旗下產品存在漏洞、存在安全風險時，應當立即采取補救措施，同時應當及時告知用戶并向有關主管部門報告。

夏海龍指出，如果軟件本身存在漏洞或入侵發生后服務商未及時采取補救措施，則軟件服務商應當承擔一定責任；如果系統遭受入侵是由于用戶未能妥善保管賬號、密碼而發生，則用戶就不能僅因此要求服務商承擔責任，而只能向侵入者追究責任。

“當發生網絡攻擊事件時，公安網絡安全部門不僅會去追查攻擊者，同時會依據《網絡安全法》第21條，對被攻擊者或者產品服務商履行網絡安全義務的情況進行檢查。”王新雷表示，檢查范圍主要為評估企業等相關方是否履行等級保護義務，如果存在違反網絡安全等級保護義務的，相關企業及其負責人均可能需要承擔行政責任甚至刑事責任。

不過多位網絡安全行業從業者告訴記者，當前在監管要求不斷完善，企業合規意識提高的大背景下，在發生網絡安全問題時，正常履行相關安全義務的企業，除了向有關部門及時報告，只需要盡快進行漏洞修復，而不需要承擔民事賠償責任。

這也是當前行業內的普遍做法。某南京網絡安全工程師告訴記者，目前服務商與客戶通常會在采購合同中寫明發生安全問題時雙方所需承擔的責任與義務，按照行業慣例，大部分情況下因網絡安全攻擊而造成的損失會被視作故障，服務商需要及時進行漏洞修復和處理，但無需對攻擊造成的損失進行賠償。

“作為軟件服務商，確實很難保證自己的產品完全沒有安全問題，就我所知，行業里也沒有進行賠償的先例。”另一位坐標成都的網安從業者向記者表示。

探索治理新框架

隨著數字經濟的快速發展，網絡安全問題對社會生產生活的威脅愈發頻繁和嚴重，網絡安全的治理框架也在不斷完善中，一方面，以《網絡安全法》等“三法一條例”為代表的技術、監管、標準制定等方面的法規和措施正不斷落地，另一方面，對于網絡安全問題前期防范、中期應對和后期處理的責任要求也在進一步細化。

去年7月，工業和信息化部、國家互聯網信息辦公室、公安部印發《網絡產品安全漏洞管理規定》，網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體，要建立暢通的漏洞信息接收渠道，及時對漏洞進行驗證并完成漏洞修補。同時，《規定》還對網絡產品提供者提出了漏洞報送的具體時限要求，以及對產品用戶提供技術支持的義務。

王新雷指出，軟件服務商發現產品存在安全漏洞后，應當履行驗證和評估漏洞的危害程度和影響范圍、向工信部網絡安全威脅和漏洞信息共享平臺報送相關信息、及時組織對網絡產品安全漏洞進行修補三方面的義務。

同年11月，國家網信辦發布關于《網絡數據安全管理條例（征求意見稿）》公開征求意見的通知。該征求意見稿第四十四條規定，互聯網平臺運營者應當對接入其平臺的第三方產品和服務承擔數據安全管理責任，通過合同等形式明確第三方的數據安全責任義務，并督促第三方加強數據安全管理，采取必要的數據安全保護措施。第三方產品和服務對用戶造成損害的，用戶可以要求互聯網平臺運營者先行賠償。

王新雷表示，“三法一條例”等網絡安全法規注重行政監管和公共利益，未來我國需要在“三法一條例”的基礎上，繼續建立健全配套法規，提高網絡安全法規的可操作性，更好地明確網絡空間利益相關方的責任邊界。

例如，在勒索軟件攻擊等場景中，通過專門法規、司法解釋等形式，明確攻擊者、網絡產品服務提供者和用戶的相應安全義務，依據不同過錯情形進行責任分配。

“我們還需要健全跨境網絡犯罪的合法偵查手段體系，并倡導和推進打擊跨境網絡犯罪的國際合作機制。”王新雷說。