软件插件与网络安全法律界定案例探讨
原作：龚蕾

    （一）新闻背景

　　随着春节的越来越近，春运话题又成了焦点，一票难求也成了百姓们更加关注焦点，抢票大幕似乎已经悄悄拉开，这几天，抢票插件事件再度升温。一些互联网企业也纷纷想尽办法，希望能够发挥特长抢到票，包括金山等浏览器企业纷纷对春运推出了抢票版浏览器，专门帮助用户来抢票。抢票版浏览器通过添加特殊的12306网站抢票插件，帮助用户自动刷票，使用户省去了不少重复刷票，也大大缩短了购票时间。看到报道，带有抢票插件的浏览器会不断刷新铁道部12306网站，导致了网站访问量激增，运行不畅。据说铁道部为此约谈了个别网络公司，后来传闻工信部叫停抢票插件，而不少购票网友发现抢票插件仍然可用。
   

　　（二）双方观点
    

　　目前各方意见是众说纷纭，主要有赞成与反对两派。
    

　　赞成方主要观点：这个插件以机器智能代替人工操作，通过对网站的刷新与监控，把原来人工手动操作的刷票购票，用软件自动完成，软件可以帮助用户快速自动刷票，使用户省去了重复刷票的人工手动过程，而且大大缩短了购票时间，提高购票成功率，体现了技术进步。毕竟抢票不是倒票。
    

　　反对方主要观点：铁路运输是公共服务部门，插件不利于系统资源公平，而且增加了拥堵。而且可能的木马等病毒会损害到用户的个人信息资料等。举个例子，一条步行街上只允许步行的人，突然出现了一辆机动车，这个就违反了道路交通规章制度。微博上，有网友认为，插件就是插队，有悖公平。
   

　　（三）网友观点节选
    

　　1、这种插件软件原理采用了智能优化路由技术，来控制刷票频次，不会对12306网站服务造成大量无效占用。
    

　　2、不懂网络技术甚至没有上网的一些老年人来说，不会使用，这样的购票方式倾向与懂网络的年轻人，非常不公平。
    

　　3、通过插件，犹如靠技术作弊，受损的是那些不会用抢票插件的农民工们。
    

　　4、浏览器抢票功能为用户提供了方便，购票次序遵循排队规则，验证仍需手工输入，系统无票就买不到票，更不可能把别人的票抢过来。
   

　　（四）案例：博帕尔事故

　　博帕尔是一个风险应急危机事件，也是重要的工艺安全生产案例。
    

　　1、案例回顾：
    

　　印度北部有一座繁华城市博帕尔，是印度最大的中部省中央邦的省会城市。博帕尔市郊有一个杀虫剂厂，隶属美国卡比德跨国公司。这家公司在博帕尔的分厂每年生产5万吨杀虫剂，年利润达1.7亿美元。
   

　　1984年，美国联碳公司设立在印度博帕尔的一家农药厂，在用凉水冲洗设备管道时，清洗用水进入了装有数十吨甲基乙氰酸酯的反应釜，由于保持该反应釜低温（零度）的安全装置处于关闭状态，引起放热反应，产生巨大的能量，将反应釜内的甲基乙氰酸酯及其相关生成物大量排除，在博帕尔上空聚集并形成面积达20平方公里的拱形毒气云团。由于毒气泄漏发生在深夜，农药厂周围的居民正处于熟睡之中，农药厂的报警装置也处于关闭状态，因此这次泄漏事故的后果极其惨烈。资料显示，这次事故直接中毒人数超过50万人（当时博帕尔市区的人口约80万），3天内死亡人数超过8 000人。由于相关责任人没有履行起码的医疗救助、环境清理等责任，至今在博帕尔，尚有12万人忍受各种中毒引起的急慢疾病的折磨，总死亡人数已超过2万人；至今仍有约2万人天天饮用被废弃化学品污染、致癌物质含量超过数千倍的污染水，另外还有大量的新生儿中存在不同程度的生长障碍。
   

　　2、案例分析：

　　第一，事后调查表明，造成事故的原因是一位雇员为了发泄不满，蓄意破坏阀门，造成了泄漏。但这其实并非导致惨剧的关键性因素，随着新闻界的进一步披露，卡比德公司对于安全问题的疏忽被暴露出来。当时一些工厂设备已经很老旧了，甚至就连最起码的维护也停止了，更谈不上足够的预防措施。一些必要的隔绝措施甚至从设计上就被丢弃了，而用于预防不测和减小损失的安全设置更是形同虚设。“这一切都是由操作、管理失误和系统存在的缺陷造成的，如果你要问化工厂最危险的因素是什么，我会说那就是对人的忽视。”
   

　　第二，博帕尔事故涉及许多法律问题，包括生产安全中的雇主责任问题，生产安全事故对第三人的伤害责任问题，生产安全的标准及其适用问题，“商业秘密”保护与安全健康的适用排除问题，企业的环境责任问题，吸收合并后公司责任的划分与承担问题等。重要的是，跨国公司在全球化过程中，如何在国际法层面对上述问题予以规范，确保实现跨国管理与落实相关责任。
   

　　第三，安全生产过程需要做好管理与技术两个方面的工作，技术人员规范操作，管理人员对于安全生产工艺流程的安全认可。运营生产中，在重视职业安全的同时，更应高度重视工艺安全。职业安全事故往往伤害一个人或几个人，而工艺安全事故的后果会非常严重，不仅仅会伤害到几个人，有可能严重损坏工艺系统本身，并且造成大量人员伤亡，使整个公司、周围公众、以及周围环境带来灾难性的后果。博帕尔事故就是一个典型的例子。
   

　　第四，在本次灾难事故发生之前，博帕尔工厂就发生过多次小规模的泄漏事故，工人们有眼睛不适等。但是，这些前兆并没有引起工厂管理层的足够重视。经验表明，后果轻微的事故和未遂事故是重大事故的前兆，重视工厂所发生的哪怕不起眼的小事故，仔细分析和消除根源。这些都是安全生产，规范作业制度，安全工艺流程的管理之一。
   

　　第五，需要对生产工艺系统进行系统的工艺危害分析，辨别工艺系统中可能出现的偏离正常工况的情形，找出相关原因与后果，并提出消除或控制危害的改进措施，从而提高系统的安全性能。工艺系统的重要安全设施之所以存在，都是有一定的工艺意图，不能随意改变或绕过，如果确实需要这样做，应当按照管理程序要求，对新的做法进行必要危害分析，根据分析结果来判断。
   

　　（五）2012-2013年较严重国际网络安全案例      
   

　　据外媒报道，自微软推出Windows 8 Metro界面之后，微软就开始远离浏览器插件，而微软项目经理说，插件不利于整个互联网环境。微软IE项目经理约翰·赫瓦丁（John Hrvatin）在博客中表示：“Metro版IE界面没有插件运行，这提升了电池使用寿命、安全性和可靠性，加强了消费者隐私保护。没有插件的互联网环境有利于消费者和开发人员，我们都应当参与到这个过渡过程当中。”    
   

　　案例一：新泽西国际机场网络安检系统
   

　　2012年4月，新泽西的纽瓦克国际机场航站楼在4月27日因安检时漏检了一名婴儿而临时关闭了一个多小时。一对夫妇带着自己的孩子来到纽瓦克机场C1航站楼乘机。在安检时，丈夫先行通过了金属探测器，而妻子抱着婴儿走过探测器时，触发了警报。于是，妻子径直将婴儿递给了已通过安检的丈夫，然后退回安检区外，再次通过金属探测器时一切正常。一家三口顺利离开了安检区，前往登机口登机。不过美国运输安全管理局则表示，这样的做法完全不是小题大做，为了保证机场和旅客的安全，机场方面有责任追查一切可疑线索。由于担心有人借此机会将爆炸物带进航站楼内，警方疏散了航站楼内所有旅客，并对他们逐一进行了重新安检，却没有发现这“可疑的”一家三口，他们很有可能早就登机离开了机场。机场警察局的做法导致大量航班延误，引起了很多人的不满。
   

　　案例二：美国YouTube与新版知识产权
   

　　美国MTV频道的母公司Viacom Inc.曾将火爆的视频分享网站YouTube及其母公司谷歌告上法庭，要求对方支付超过十亿美元的版权侵犯赔偿。Viacom公司表示，YouTube网站上载有超过十六万未经授权的视频短片，其都来自Viacom公司旗下的电视频道，包括VH1和 Nickelodeon等。除此之外， Viacom公司还寻求一项禁令，阻止谷歌和YouTube使用它公司旗下所有的视频短片资源。该赔偿诉讼已在纽约市的联邦地区法庭备案，标志着大型传统媒体公司与民间流行视频分享网站之间"明争暗斗"的进一步升级。Viacom公司声称自己是YouTube网站涉及版权侵犯的重度受害者，因为旗下很多电视频道的观众群都是年轻人，这些人同时也是使用网络最多的群体。公司指责YouTube的商业模式是建立在"利用没有授权的内容增加访问量和卖出网络广告，其明显属于非法，并违反版权相关法律。在与谷歌公司的数月谈判终止后， Viacom公司于上月开始要求YouTube从其网站删除近十万则未经授权的视频短片。谷歌公司以十七亿六千万美元的天价购进YouTube网站。
   

　　其实，笔者了解到，一些视频网站经常会有一些插件，这些插件中如果隐藏有木马等病毒，很可能会侵犯到客户资料信息，也可能会侵犯到其他网站版权或牵涉到知识产权，在网络迅速发展的今天，如何更好地发现并堵住计算机技术本身的漏洞，更好地完善相关互联网法律，或是每一位法律人士重视的网络安全问题。  
   

　　案例三：FBI盗窃存储网站Megaup存数数据
   

　　2012年初，FBI搜查了云文件共享与存储网络Megaup，该网站总部位于香港，由38岁的新西兰公民创办，美国方面指控其从盗窃数字中非法获利1.75亿美元，这一突击行动受到了美国多个行业的支持，这些行业将M形容为一条被抓上来的大鱼，他们认为M侵犯了知识产权，由此引发了长达一年的法律诉讼。引起了用户的不满，整个事件转为对抗。
   

　　案例四：黑客侵入Zappos客户资料
   

　　2012年1月份，在线零售商Zappos宣布，黑客侵入并窃取了客户资料，包括姓名、地址、账单和地址、电话号码、信用卡后四位，以及存储在网站中的散列密码字段，网站通知客户设置新密码。研究人员宣布，他们发现了一个由僵尸网络指控和控制的服务器，该服务器利用无孔不入的Ramnit蠕虫病毒入侵Windows操作系统，感染计算机窃取社交网络用户名和密码。
   

　　案例五：赛门铁克事件
   

　　2012年2月，赛门铁克使用的源代码被印度黑客组织公布在网站上，该组织宣称其已经获得了一个与印度军方有联系的第三方企业的源代码。赛门铁克已经确认了这些源代码的真实性。他们称，他们受到了黑客的敲诈，黑客要求支付5万美元，以换取不在互联网上公布这些被窃取的源代码。虽然在执法部门的帮助下，赛门铁克通过“猫和老鼠”的游戏抓住了这些黑客，但是整个行动迄今为止还没有取得明显的成功。赛门铁克表示他们还不清楚黑客是从哪里获得的这些失窃代码。安全事件迫使赛门铁克推出安全补丁，并建议使用老软件的客户进行升级。目前升级范围也已经扩大到了与失窃源代码事件相关的客户。
   

　　案例六：窃听电视电话会议
   

　　2012年2月，在FBI特工和英格兰场执法人员举行电话会议的过程中，黑客入侵了他们的电话会议系统，记录并在互联网上公布了他们的谈话内容。谈话的内容是关于英国面临拇指的黑客。Anonymous获得了凭证并窃听了电话。FBI称，这起事件貌似黑客入侵了执法人员的电子邮件，从而获取了电话会议系统的拨号信息。
   

　　案例七：银行资料遭到攻击
   

　　2012年2月，巴西银行成为了分布式拒绝服务攻击的目标。巴西汇丰银行、巴西银行、布拉德斯科银行都遭到了大规模攻击。专门揭发机密信息的爆料网站Cryptome.org也遭到了黑客的入侵。黑客上传了攻击代码并企图对网站的访问者发动路过式入侵。佛罗里达大学不得不通知719名员工，他们的社会保险号码被不正确的存储在了由失物招领部门运营的州网站上长达六年之久。
   

　　案例八：犹他州保险号码被泄露
   

　　2012年3月份，至少有228,000个社会保险号码在3月30日的泄密事件中被泄露。据犹他州技术服务部与卫生部称，这起事件涉及犹他州卫生部的医疗补助计划服务器。他们推断来自东欧地区的攻击绕过了被错误设置的安全控制。在5月份，犹他州首席信息官因此而引咎辞职。

　　案例九：梵蒂冈邮件服务器遭到攻击
   

　　2012年3月，梵蒂冈发现他们网站内部电子邮件服务器遭到长达一周的攻击，因为梵蒂冈广播系统在罗马郊外的农村设置了强力发射机，而这些发射机被认为会给附近的居民带来“白血病和癌症”等健康风险。到3月底，从其数据库窃取了16万账户信息。
   

　　案例十：荷兰电信运营商服务器入侵
   

　　荷兰警方逮捕了一名17岁少年，并怀疑其入侵了电信运营商KPN的数百台服务器，窃取了其中的帐户数据。据荷兰警方称，这名在荷兰巴伦德勒克被逮捕少年已经招供。在入侵发生之后，KPN表示他们已经任命了一名首席安全官，并成立了一个永久性的控制中心以对其系统进行监控。
   

　　案例十一：巴克莱银行银行卡缺陷而数据被盗
   

　　巴克莱银行非接触性银行卡被曝存在缺陷。该缺陷将导致客户数据被窃，而获取这些数据后将导致盗刷。
   

　　案例十二：卡巴斯基木马麻烦
   

　　在卡巴斯基实验室发现了带有数字签名的木马软件时，麻烦接踵而至，木马使用了一个瑞士公司，赛门铁克发行的数字证书。赛门铁克称该数据证书归Compavi持有的私人密钥实际上被窃，至于是内部还是外部窃贼所窃还是清楚。
   

　　案例十三：谷歌罚单
   

　　美国联邦通信委员会(FCC)对谷歌开出了25,000美元的罚单，原因是谷歌故意妨碍有关部门对其收集信息的合法性调查。FCC在报告中称过去几个月来，“谷歌故意妨碍及延迟”该部门对谷歌“WiFi数据间谍案”的调查，没有立即对信息和文件请求作出回应。不过，FCC还表示，他们并没有采取行动反动谷歌的数据收集活动，因为他们还有想知道的问题。FCC传唤了一名谷歌工程师——现在我们知道这名工程师为Marius Milner，但是这名工程师拒绝向FCC提供证词，并且引用美国宪法修正案第5条为自己进行辩护。  

　　案例十四：日本汽车制造商用户账户泄漏
   

　　汽车制造商日产承认发生了一起数据泄露事件。在该事件中，员工的用户账户证书被泄露。日产必须花时间清除网络中导致数据泄露的恶意软件。
   

　　案例十五：美国环汇公司支付系统泄漏事件
   

　　2012年，支付处理服务公司美国环汇公司承认发生了一起数据泄漏事件。在这起事件中有150多万个银行卡账号被盗。在6月份，该公司还表示他们正在调查一台存储有业务申请人信息的服务器是否也被入侵。美国环汇公司称，这一事件的发生导致一些发卡银行已经撤销了对他们的PCI合规认证，目前他们正在争取重新获得认证。
   

　　案例十六：比利时金融服务公司数据泄漏
   

　　黑客称他们已经入侵了比利时信用与融资服务公司Elantis的系统，并威胁如果不支付197000美元赎金，他们将公布机密的客户信息。Elantis已经确认发生了数据泄露事件。
   

　　案例十七：雅虎泄漏私人密钥
   

　　2012年6月，雅虎还意外的泄露了私人密钥，这些密钥被用于数据登录其为谷歌Chrome开发的Axis插件。Axis为雅虎新开发的搜索与浏览工具。开发者Nick Cubrilovic首先发现Axis Chrome插件存在安全漏洞。他称，Axis Chrome插件泄漏了私人证书文件，他人可以此伪造流氓插件。“这一漏洞发现后，雅虎被迫公布了新版本的谷歌Chrome Axis插件”
   

　　案例十八：大学网站信息数据泄漏
   

　　位于林肯市内布拉斯加大学承认发生了一起数据泄露事件。该事件泄露了654,000多份师生、学生父母和该校毕业生的个人信息。这些被盗的信息源自内布拉斯加州学生信息系统数据库。目前已经有一名学生被指控涉嫌窃取了这些数据。 

　　案例十九：巨人支付系统安全事件
   

　　2013年1月，随着春节临近，许多消费者开始在网站预定车票、机票、或进行手机冲值、购物。不少消费者发现，他们在淘宝、腾讯、京东或火车票订票网站12306网上消费，无论是否付款成功，银行卡或网银上的钱悉数被转走，最终流进了“巨人网络”账号，致使被“吞走”的资金无法及时冻结和追回。一受害者在接受媒体采访时表示，1月6日他在哈尔滨市一宾馆使用宾馆电脑，进行网上订票时，他银行卡内的105130元全被划拨到“巨人网络”账户。
   

　　掌门人史玉柱在微博上澄清并公布了诈骗分子的诈骗流程：首先，透过聊天工具等向受害人传播木马病毒，其次，控制受害人银行账号，第三，将钱转入盛大、巨人等各大游戏公司的犯罪分子控制的游戏账户，之后购买点卡或道具并立刻转移，再卖给正准备充值的消费者，换取人民币。专家认为，此次事件可能是钓鱼行为。通过技术手段，在正常的支付按钮中做了手脚，使支付页面进入钓鱼网页，也可能是网银超级木马所为，这个可能性更大。网络超级木马病毒会监听用户的支付操作行为来获取用户的银行卡号及密码，并会在第一时间将截取到的信息发送到黑客指定的服务器。用户银行卡内的资金，往往会在短短几分钟之内被洗劫一空。随着网络交易的增加，包括恶意网站、网络钓鱼、个人隐私信息安全等网络安全问题频繁出现。而受害消费者找不到责任方，专家表示，这类网络安全事件的赔偿处理还比较困难，一方面，由于网络的虚拟性，网络警察侦查工作比较困难，而相关法律也没有很完善。

　　（六）插件事件是否违反了法律？
   

　　1、法律方面有的专家认为，第一，网络插件抢票软件，是用智能方式代替人工操作。在某种程度上，影响到铁道部门的管理，铁道部门有对购票秩序进行管理的职责，网路购票本身就是用网络售票形式代替了线下的购票排队，如果第三方向用户收取了一定的费用来提供服务行为本身，需要通过通讯管理部门的许可，还需要通过工商部门的营业执照，否则就可能触犯了商业经营方面的法律。第二，抢票插件破坏了网络购票的安全性，公民个人信息存在潜在风险，实名制使得购票者的个人资料信息存在泄露潜在风险，个人信息如果被收集与利用，势必会给网络隐私造成侵害，破坏了网络安全性。第三，插件抢票与不符合民法的公平原则，危害了正常秩序、违背社会公平，破坏了购票秩序的公平性。
   

　　2、也有法律人士认为，这类插件并不违法，但不公平、也不道德，因为很多人没有这种插件，部分人受益。    
   

　　日益严峻的网络信息安全问题，越来越严重威胁着各国及全球社会经济安全。加拿大颁布了《网络加密法》、《个人保护与电子文档法》、《保护消费者在电子商务活动中权益的规定》。美国政府增加了几十亿亿美元用于提高网络安全，日本政府也拨款几十亿日元开发网络安全技术。欧盟委员会也致力于网络安全的政策与计划。
   

　　（七）思考与讨论

　　2013年1月召开的中国互联网产业年会上，中国互联网协会副理事长高新民说，当前，我国互联网信息安全问题依然突出，各种“黑色产业链”屡禁不止，需要进一步规范互联网发展，加强对互联网的治理以及对用户信息和个人隐私信息的保护。360公司副总裁石晓虹在会上发布《2012中国互联网安全报告》。报告称，我国有84.8%的网民遇到过网络信息安全事件。这些事件包括个人资料泄露、网购支付不安全等。 
    

　　假如网购插件软件频繁造成网络瘫痪，或者是潜在的木马病毒等损害了用户的个人信息利益，这种非恶意前提下而危害了公共安全，从法律角度应如何界定与分析，这样类似事件是否属于公共安全应急事件呢？如果发生这种事情，这个插件需不需要付责任？对于商家网站，如何同时做好遵守国家法律与更好地为百姓提供更加优质的服务？对于铁路部门，如何让耗资几亿元的网络售票平台实现最大限度的资源分配与公开？对于广大网站普通用户又该怎么办呢？