2006年,我国的信息安全领域又度过了一个不平凡的年头。不仅因为《2006-2020国家信息化发展战略》、《信息安全等级保护管理办法》等重量级政策法规在这一年里颁布,以“熊猫烧香”为代表的一批重大信息安全案件得以破获,还因为我们正面临更加严
第二,信息安全有关案例与典型事件
在司法层面,我们注意到2006年以下几类案例有所增多:网上诈骗案、网络钓鱼等围绕网络银行安全的案例、盗取虚拟财产和网络信息的案例、与流氓软件有关的案例,等等。其中比较典型的有:“熊猫烧香”病毒案、我国首例企业间的网络攻击案——8848告百度通过发动DOS攻击实施不正当竞争行为案、反“流氓软件”第一案——反“流氓软件”联盟诉中搜案、涉及工商银行网络银行的大范围网络钓鱼事件,等等。
其中,近年迅速增多的与网络银行有关的信息安全问题非常值得我们做更多的关注。一般来看,这些问题大概有几种类型:第一,木马病毒;第二,假网站。在此类案件中,犯罪分子在网络上设置与真银行网站域名相似或外观相似的站点,诱骗用户输入用户名及口令,盗取信息后进行网银转账;第三,偷窥或直接骗取卡号、口令。此类案件并没有利用木马病毒、假网站等技术手段,而是由于用户的防范意识薄弱,卡号、口令等私密信息被犯罪分子直接偷窥或盗取。
简单地说,网银的安全风险无非两大方面:系统安全风险与身份安全风险。目前的风险主要来自后者,大规模的系统安全风险还不是很大,也许以后会成为重点。身份安全有银行的身份安全与用户的身份安全两大类,前者主要指网络钓鱼等手段伪造银行身份骗取用户钱财,后者包括用户密码保管不善、身份被冒用、盗用等风险。前一类的风险是面对一群人的,后一类往往是个案,具有一定的特殊性。用户的针对措施可以包括:妥善保管密码、及时修改密码、不在公用机器上用网银、及时杀毒避免中毒、使用电子签名、不随意接受不明邮件不随意登陆不明网站等。
在2006年6、7月的针对工行的网上钓鱼事件中,受害人成立了维权联盟,设立了专门的网站,矛头直指工行,要求工行予以赔偿损失。之所以造成这样的局面,其实很重要的一点就是在这样的事件中被仿冒者应采取什么样的应对措施的问题。按照法律的一般原则,冒充某人身份诈骗的,被冒名者不可能需要承担什么责任,应该也是受害人,受害人一般不可能追究被冒用人的责任;还有,假冒商品也是这样,被假冒商品一般不可能成为受害消费者追索的对象。所以,基于这样的基本原理,银行本是不应承担损害赔偿责任的,但问题在于一旦发生了这样的群体事件,银行应采取什么样的措施和态度予以应对,是否需要在第一时间以什么方式告知受害人帐户的变化、是否应及时通知其他人风险的存在、是否应及时设立警示标志、是否应对网站采取防伪手段、是否应及时侦测是否存在自己网站的冒牌货并采取措施,等等。而根据目前的法律规定,《电子支付指引(第一号)》的第45条规定,银行只是有“帮助查找原因、尽量挽回损失”的义务。
以上法律问题存在的主要原因在于立法上的缺失,因此应加快网银业务的法规建设。充分借鉴国际上网银业务法规建设的先进经验,尽快完善网银业务的法规框架,形成合理的商业银行、客户关系利益调整机制。在商业银行行为规范方面,建立网银业务的技术标准体系和业务规范体系,目前中国仍处与网银业务发展的初期阶段,应通过发布网上银行安全评估指引和内部管理指引等非强制形式,引导银行加强信息安全管理,推动规范化内部审计管理规则和工作程序的建立,根据网银业务发展的实际,适时调整银行、消费者二者之间的权利义务关系,明确规定银行在执行支付指令时的审查义务,兼顾交易效率和支付安全目标的实现。
总之,随着一批与信息安全有关的案例的裁判,惩戒了违法犯罪人,理顺了当事人间的法律关系,解决了矛盾,保护了国家、集体和个人的合法权益。同时,我们的司法机关也积累了更多的执法经验,为相应的法律的制定和司法解释的出台打下了基础。但另一方面,在我国信息安全的司法保护层面,网络资料易灭失导致的取证难、法律不足导致的法律依据不足、互联网的非实名制导致的找到当事人难等难题依然存在,需要司法的不断进步,也需要立法、行政执法和公民法制意识提高的全面配合。
网友评论