密码泄露拷问互联网安全 法律短板致维权难（2）

法律短板致用户维权难

这次CSDN密码泄露事件，个人用户是直接受害者。李欲晓认为，此次事件中，用户隐私权和名誉权都受到了不同程度的侵害，但要维权却困难重重。

李欲晓分析此次CSDN密码泄露事件中的法律责任时认为，在此次事件中，网络服务提供者和黑客攻击者显然有责任，但由于与网络安全相关的立法滞后，目前追究网站和黑客的法律责任较为困难，现有的法律法规对国家安全、个人权益的保护都有缺失。

据李欲晓介绍，目前我国很多法律条款，比如《刑法修正案（七）》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等都有涉及个人信息法律保护的内容，但是其中并未提到用户因网站遭受黑客攻击密码泄露，或者用户因此受到损失，网站应该承担怎么样的责任。

一个严峻的现实是，目前的法律对黑客的破坏行为可能难有约束力。

早在2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，就已经对黑客、商业网站或者其内部人员恶意泄露用户信息牟利的行为作出追究责任的规定。因此，黑客此类行为构成犯罪，但问题的关键是“黑客在哪儿，他们是谁？”黑客都追不到，该如何定罪。

对用户来说，可以向公安机关报案，但依据现有的法律只能寻求民事赔偿，而且个人如何通过技术手段查到黑客身份，或者界定经济损失都存在很大难度，个人用户维权非常难。李欲晓说：“因为电子证据技术性太强，而且很容易被篡改，所以取证很难。”

在论坛现场有人提问李欲晓，如果因为密码泄露导致银行账户的资金被窃取，能不能起诉银行或者网站。李欲晓直言，依据现有的法律法规可以进行这方面的诉讼。但起诉之后不一定会得到有利的判决，因为在侵权责任法和民法方面，还没有明确的规定。

用户不是计算机专家

杜跃进介绍说，解决互联网安全问题，政府的推动作用非常重要。政府应该在政策、标准制定、监督、检查等方面起作用。比如说，代码安全不被重视，政府可以提要求，一定级别的代码要经过第三方监测。

李欲晓说，目前我国网络法律还不健全，国家应加强网络法律建设，尤其是出台网络安全的相关法规，保证网民能够在一个安全可信环境下去享受互联网提供的便利。

杜跃进说，除了政府的推动，网站服务商本身也要有长远战略与社会责任，尤其是面对新的黑客威胁，单靠用户安全意识不断提高并不能解决问题。永远不要期待用户安全意识能提到足够高的水平。用户就是用户，不是计算机专家，不能要求他们整天想着计算机有什么毛病。

作为被黑客攻击的受害者，蒋涛建议，应在业界建立共享安全技术联盟，大家共享安全公共知识库，共同提升开发人员的安全技术水平。

李欲晓则认为，网络安全需要一个整体的网络安全环境，“我们已经进入网络社会，现在有5亿人在使用互联网，每个用户的生活和财产信息、个人隐私全在网上。但是我们在各个方面似乎准备得还不充分，无论是网络服务企业还是网络安全企业，包括网民自己，都应该想想今后面对这样的网络社会该做什么准备”。