黑客:一种“自然灾害”?
张 岩《电子计算机与外部设备》 2000.10
网站遭遇黑客攻击,消费者损失谁来赔偿?黑客进攻防不胜防,网络安全成本由谁支付?网站该不该对黑客攻霹行为负责?以“黑”治“黑”真能奏效么?我们,是否正在进入黑客的第二次“黄金时代”?
7月22日,星期六。八佰拜(http://www.800huy.com..cn)网上折扣店的倒置式竞买(1小时之内无人购买,价格自动降低100元,直至有人下单竞买成功)手机专场聚集了大量喜欢紧张刺激竞买感受的网民,一部底价3060元的诺基亚8210手机将竞买者们牢牢“拴在”鼠标和键盘旁边。然而,令竞买者无法理解与接受的是,在近8个小时的竞买活动,这部诺基亚8210虽一路下跌至1760元,却没有一张订单可以将其买下。彼时,该款手机已聚集起8000余名竞买者,不少网友已在网上守侯了6.7个小时,于是当竞拍活动“无果而终”时,强烈的“被涮感觉”在网民中间油然而生,愤怒的网友将声讨八佰拜“欺骗行径”的帖子贴满网站BBS,一些网友甚至通过email,将他们的气愤发送给京城有影响的媒体。
随着媒体的对“网民遭涮”事件的曝光,眼看将成为众矢之的的八佰拜紧急召集新闻发布,称:八佰拜遭遇黑客袭击!
据该公司介绍,7月22日早10:58分到下午15:58分,不断有人对诺基亚8210下虚假订单,即而,客户开始无法正常下单,经技术人员检测发现,网站服务器已遭黑客攻击。屋漏偏逢连阴雨,此时,ISP提供的DDN专线又突发问题,致使服务器无法正常连接。为避免网友无限期等待,晚11时半,八佰拜撤消了已无法正常进行的手机竞买。
为平息“黑客事件”给网站声誉造成的不良影响,7月29日,八佰拜推出“8210补拍行动”,拿出5部诺基亚8210,并以黑客事件的结束价——1760元起拍……
网站:对“黑客行为”负责?
至此,八佰拜“被黑事件”看似已划上句号,然而,如果我们换一个角度,从更深、更广层面上检视“消费者消费过程中的网站被黑问题”,则不难发现,八佰拜事件不过只是此类问题的起始与发端。 如果我们确认我们已经进入互联网时代,
如果我们认可电子商务将成为未来商业模式的主导,如果我们不否认“物理世界”的一切都将在网络世界里得到“映射”,则我们就不得不承认,黑客事件将伴随互联网商业成长的始终。
作为网站,无疑的,八佰拜是“黑客事件”的受害者,作为受害者之一,它应否对消费者因黑客捣乱造成的损失进行赔偿?如果应赔偿,如何界定赔偿金额与赔偿责任?如果不应赔偿,消费者损失又该如何弥补?“补拍行动”能算一种充分“赔偿”么?如果不算,八佰拜应该赔多少,怎么赔?从法理上讲,除非遭遇台风、地震、冰雹等不可抗力,商家对于消费者的消费损失,均应承担赔偿责任,那么,“黑客行为”能否算作一种“不可抗力”?
对于这些问题,不同人群给出的答案各不相同。
采访中,对于应否对黑客入侵给客户造成的损害负责,网站的态度基本上可分为3类——不予置评、理应免责和适当赔付。
“不予置评”类对可能发生的黑客攻击行为表现出“强烈敏感”,包括数家著名电子商务网站在内的一些网络公司对于记者提问的第一反应是“不发表意见”,原因是不愿刺激黑客“进攻心理”,以免成为其下一轮攻击目标。
“理应免责”类主张,黑客行为理论上讲虽不属不可抗力,却在实质上具有与台风、地震等自然力相仿的不可抗性质。“黑客责任”理应由黑客自己承担,而对黑客行径实施惩治,无疑则是国家公检法机构的任务。“理应免责派”认为,即使退一步讲,黑客行为至少也应划归可敬儿免责的意外事件之列,比如顾客到商场买东西遭遇扒窃,商场就不必为顾客丢东西的损失负责。
“适当赔付”类认为,虽然黑客事件并不属于不可抗力,网站也确实承担有保障消费者安全消费的义务,但在电子商务发展初级阶段的今天,若强制要求网站承担消费者损失的“完全赔偿责任”,则不仅是对网站的不公平,而且甚至会遏制电子商务的健康发展。“适当赔付”观点同时认为,与物理社会防范犯罪不能仅仅依靠百姓与商家的戒备与警惕一样,防范黑客也不能仅仅依靠网站对于安全问题的重视以及防火墙产品本身的威力,真正的防御应该来自于社会司法体系的强大震慑。按照“适当赔付”观点,八佰拜的后续补拍行为已属相当负责。
作为此次“黑客事件”的主角,八佰拜本身是“适当赔付”观点的拥护者。“从理论上讲,我们有义务为消费者提供一个安全放心的网络购物环境,并理应对消费者损失进行适当补偿。”该公司电子商务部总经理赵为民说,“至于讲‘补拍’作为一种补偿形式是否到位,我想,从‘充分度’上考虑,可能确实不够到位,但究竟怎么作才算到位,恐怕也没有人能够给出一个明确的说法,一切尚有赖于电子商务法的出台。”
至于浪费掉的网费和上网时间,赵为民认为,应该将其视作一种必须支付的网上消费成本,就像在物理购物环境,我们需要花费往返车费与选购时间一样。
“宽容”还是“不宽容”?
的确,在经历了年初以来一系列强力黑客攻击事件以后,地球上已没有哪家网站敢于宣称自家的安全防御系统面对黑客攻击可以作到天衣无缝。而面对互联网商务发展初期的种种失误乃至过失,消费者的态度往往也相当宽容,虽然雅虎、美国在线、亚马逊、eBay等频频遭遇黑客袭击,但迄今为止,没有一家网站被要求对消费者的损失进行赔付。即使“隐私诉讼”正在成为互联网消费讼争的新焦点,却没有谁要求美国在线为6月中旬黑客入侵事件导致的客户“隐私资料”失窃负责,那次事件中,数百用户资料遭窃,而直至有人在网络上将此次事件公之于众,这间拥有2300万用户的全球最大的互联网企业才“意识”到网站遭袭,并开始着手进行调查。
然而,“宽容”果真应该是消费社会面对黑客问题与黑客现象所应表现的最佳姿态么?作为消费者,我们应否以及应该在多大程度上对于黑客问题殿示我们的“宽宏大量”?或者,我们是否应该因“全球皆无赔付先例”,就放弃追索我们的权益?
事实上,稍加思索就不难发现,人们对网站防御机制的“宽容”本身正是互联网经济仍处于“试验性”阶段的证明。只有当网站作为一种商业形态尚无法像物理商店那样在普通人的日常生活里不可或缺时,人们才愿意体现面对新生事物所经常体现的那种“宽宏”与“呵护”。然而,“呵护”过度就是“娇纵”,对于互联网商业的健康发展,值得担心的不仅有我们的苛严,而且有我们的宽容。
假如8000网民同时“成交”
“中消协”专家志愿者武高汉将消费者因网站被袭遭受损失却得不到赔付比喻为“商店遭遇打动却要求顾客共同承担损失”。很显然,在真正成熟的商业环境里,没有人愿意承担如此巨大的“消费风险”。
虽然没有消费者要求八佰拜作进一步赔付,但武高汉认为,作为一种赔偿方式,八佰拜“的补拍行动”远远不够“到位”。因为在8小时的若若等中,消费者损失的不仅是网费、时间与精力,而且还有因8210每小时降价百元的“虚假惊喜”所造成的精神损失。
武高汉认为,从理论上讲,8000网民都有要求网站赔偿的权力,因此“补拍”赔偿从绝对值上就不够。同时,由于八佰拜并没有将“补拍”受益者限定在8000网民之内,获益者也并不一定就是受损者。武高汉并且认为,八佰拜应对此次“黑客事件”的反应也不够及时得当,比如直至拍卖停止,竞拍者对于网站遭遇黑客攻击都处于完全不知情状态,而事实上,八佰拜是完全“有能力” 及时通告网民,以使其避免进一步的网费及上网时间损失的。
武高汉甚至认为,从理论上讲,不具备抵御黑客攻击的能力,也就等于不具备从事网上经营活动的资格。“由于自身能力不足造成的交易损失与交易失败,责任不该由消费者来负。”武高汉说,“因此,如果此次黑客事件的结果不是网民无法下单,而是8000单全部成交,理论上讲,八佰拜就必须‘拍给’网民8000部手机。”
公安部11局法规处副处长唐先临等政策法律界专家也认为,黑客行为是可以预见、预防和抵御的,网站有保证消费者安全交易的义务,防范黑客攻击亦是网站经营者的责任。不过,唐先临以及中科院软件所信息安全技术中心主任卿斯汉等也同时认为,在电子商务处于雏形阶段,被认为具有划时代意义的全球首都《电子签名法》刚刚在美获得通过,电子证据的采集与认定尚缺乏统一标准的今天,要求网站承担黑客攻击给消费者造成损失的全部责任也不公平。消费者有必要树立适当的网上消费风险意识,而网站则应该打出类似“吸烟有害健康”、“股市有险”的警示条款,将交易风险明示给消费者。
据了解,截至“黑客事件”发生时止,八佰拜网站交易条款中尚没有此类警示性内容。
无形的手
黑客攻击对网站商誉的影响与损害究竟有多大?来自美国权威机构的一组调查统计数据表明,出于对安全问题的担心,61%的互联网冲浪者不愿上网购物,而在有过网上购物经历的人群中,90%对消费安全不放心。2000年,黑客攻击及电脑病毒给美国企业造成的损失截目前已超过2660亿美元,相当于美国国民生产总值(GDP)的2.5%。
市场“无形的手”已在发挥作用。如果在一家餐馆就餐遭遇打劫,你很可能不会第二次迈入同一家餐馆,如果打劫在这家餐馆是常事,那么该餐馆肯定逃不脱很快倒闭的命运,而如果顾客遭打劫是整个餐饮业的普遍现象,那么整个餐饮业都会萧条下去,因为除非为了“体会冒险和刺激”,没有人会“傻到”愿意去餐馆进餐。
现在的问题是,作为餐馆,应该如何面对“劫盗”横行现象?
安全成本——谁来支付?
今天,我们已经对机场安检习以为常,习惯于在手持警棍的银行保安和实时监控摄像头的“注视”下从坐在金属防护栏后面的银行职员手里提款或者存钱,习惯于看到“荷枪实弹的”运钞车停在银行或者储蓄所门前……
商业安全需要建设成本,但问题是,同样作为商业机构,餐馆是否需要花费和机场、银行同样高昂的安全建设成本?在花费了如此高昂的成本之后,“劫盗”现象能否被真正杜绝?安全成本过高,是否会同样导致餐馆经营难以为继?并且,顾客的就餐安全,果真是餐馆依靠强化安全保卫措施就能够解决的么?
很显然,我们都知道,在“物理世界”里,商店与餐馆的安全消费环境主要建立在社会治安保障机制之上,作为纳税人,国家有责任保卫我们安居生活的权力,换言之,我们或者可以说,进餐馆就餐的安全成本是我们自己出钱支付的,虽然,我们仍然需要机场和银行“为我们支付”相对高昂的安全建设成本。
那么,在网络中呢?
“的确,就像‘物理世界’一样,保卫公民网络生活的安全也是国家相关职能部门的责任。”公安部11局法规处副处长唐先临说,“网络环境的安全就是信息时代的社会安全,预防与打击黑客犯罪正是网络社会治安的一部分。”
据唐先临介绍,1999年,仅经由僵公安系统接警处理的“涉计算机网络犯罪”既多达近千起,增长速度高得惊人,而相形之下,我们的防御技术与人员素质都开始显出“捉襟见肘”。
事实上,更加令“网络治安”捉襟见肘的是“网络无国界”的特性。黑客攻击可以从地球上任何一个角落发出,如何抓捕?如何量刑?如何定罪?适用哪个国家的法律?给全球互联网造成巨大损失的“爱虫”病毒释放者最终被菲律宾警方释放,而原因是在“爱虫”发作的时候,该国尚没有制定出惩治黑客犯罪的相关法律。
网络犯罪已经完全超越了国界,但我们却尚没有一个全球性的法律体系和法律框架作为支撑。已经有人提出“在网络疆土上重新划定我们的网络疆界”,是继续保持“物理世界”中的“国家原则”与“国家心态”,还是建立一个网络的大同世界?我们必须作出抉择。
“反黑”专家、中科院“黑客入侵防范”课题组组长许榕生研究员受公安部委托所进行的一系列测试结果表明,我国95%的网络系统随时可能被攻破。另外一项专业调查结果亦显示,国内90%的电子商务网站存在安全隐患,其中40%隐患严重,网络数据可以为黑客随意篡改。八佰拜网站电子商务部总经理赵为民也告诉记者,八佰拜其实经常遭遇黑客捣乱,比如商品剩余数被改为“-2”,而尚未开拍的货品会莫名其妙地开始自动降价。
商业网站究竟应该花费多高的成本进行安全建设?按照赵为民的说法,像八佰拜这样规模与流量的网站,要想建成“接近完善”的安全防护系统,至少需要花费上百万美元,言外之意:如此高昂的建设成本足以令八佰拜破产。
那么,“黑客保险”是不是一条中间道路呢?也许!至少在美国,这种崭新的保险形式看上去很时髦,前景很好。