田鹏律师：互联网勒索病毒产业链的刑法思考

原创 田鹏律师 守静刑辩 2019-12-18

摘要

近年来，互联网勒索病毒攻击烈度进一步加剧，我国国内大量企业、政府机关、学校以及公共服务机构计算机数据遭到勒索病毒的加密与控制，正常经营活动被中断，重要业务系统陷入停滞。在计算机数据安全领域内，形成了一条完整的互联网勒索病毒解密产业链条。该链条根据行为模式和参与主体可以分成三个环节：上游行为、中游行为和下游行为。上游行为是指开发者——制作并传播勒索病毒及病毒生成工具和提供相应技术支持的行为；中游行为是指实际攻击者——利用从中介网站/技术论坛获得的勒索病毒与技术向全球范围发动大规模勒索病毒攻击，向受害者勒索比特币等数字虚拟货币的行为；下游行为是指实际解密者——数据解密恢复公司利用自身优势，代表受害者向攻击黑客支付比特币购买解密密钥，为受害者解密恢复数据的行为。在我国刑法中，由于对计算机信息网络犯罪的规定并不完善，虽经两次司法解释，但仍未能就勒索病毒解密产业链条的全部行为进行明确规定和适用，在这种情况下，需要通过进一步解释，对互联网勒索病毒产业链条中的上述三环节的行为按照现有刑法规定进行治理和整顿。

关键词：互联网；勒索病毒；数据解密产业；互联网犯罪

信息化时代，伴随着互联网向社会各领域渗透程度的不断加深，人类的生产生活方式也因之而变。互联网本身的虚拟性、无界性等特殊属性，也使得以互联网为犯罪对象与利用互联网实施的犯罪种类层出不穷，在给互联网秩序造成混乱的同时，也给数量庞大的互联网用户群体造成难以估算的损失。

在法律上，互联网违法犯罪根据其侵害客体和行为模式的不同，总体上可以分为以下三种类型：第一种类型是针对计算机系统的犯罪。对此，我国刑法设置了相关罪名，例如非法侵入计算机信息系统罪、破坏计算机信息系统罪等；第二种类型是利用计算机网络实施传统犯罪，例如网络诈骗、网络盗窃、网络诽谤等，这是传统犯罪的网络化；第三种类型是破坏网络业务活动、妨害网络秩序的犯罪，其行为侵害客体是网络经营活动以及网络空间的公共秩序，在我国刑法中，此类犯罪呈现空白的现状。①

鉴于此，本文选取互联网勒索病毒解密产业链为研究对象，对发动勒索病毒攻击，加密受害者计算机数据，勒索比特币或其他虚拟数字货币后进行解密的行为如何认定与处罚，进行深入思考。

01

互联网勒索病毒解密产业链概述

近年来，我国大量企业、政府机关、学校和公共服务机构遭受到黑客勒索病毒攻击，生产数据、金融财税数据等系统被加密，正常经营活动被中断，重要业务系统陷入停滞。

从侵入过程考察，勒索病毒攻击者利用各种手段侵入重要网络系统，例如通过弱口令漏洞入侵企业网站，再将企业Web服务器作为跳板，渗透进服务器内网，然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器，将企业核心业务服务器、备份服务器数据加密。②

进一步，勒索病毒的加密技术是高强度的非对称加密，除非从黑客处得到相应的解密密钥，否则对加密数据进行解密在技术上均无可能。换句话说，遭受勒索病毒攻击、数据被加密的受害者如同“身中剧毒的病人”，而黑客手中的解密密钥相当于是解毒的“独门秘方”，只有发动勒索病毒攻击的黑客本人，才有能力为加密数据进行解密。即便是受害者向大型互联网数据安全公司寻求帮助，这些正规的安全服务厂商往往也会因为受害者没有备份数据而无法为其提供数据恢复服务。

正是基于以上技术困境，向黑客妥协并交付赎金成为了受害者的唯一选择。伴随勒索病毒的传播方式的不断进化和攻击烈度的不断提升，在计算机数据恢复行业形成了较为成熟的勒索病毒解密产业：市场中的计算机数据恢复公司利用其熟悉虚拟数字货币的交易、相关计算机技术和语言沟通能力等优势，充当了受害者与发动勒索病毒攻击的黑客之间的中介，代理受害者向黑客支付虚拟货币购买解密密钥，利用自身计算机知识和技术为受害者进行数据解密。

除此之外，勒索病毒传播链本身也有专业分工，有人负责制作勒索病毒生成器，交给具有网络资源的人分发传播，各方均参与利益分成。因此，互联网勒索病毒解密产业完整链条既包括勒索病毒的攻击传播链，又包括勒索病毒的解密业务链，整体如下图所示：

通过上图可以明确，互联网勒索病毒揭秘产业链总体可以进行如下概括：①勒索病毒开发者基于种种原因制作勒索病毒并向有关网站或技术论坛发布→②发动勒索病毒攻击的黑客付费从有关网站或技术论坛取得勒索病毒→③攻击黑客向全球发动勒索病毒攻击→④勒索病毒受害者由于种种障碍无法与黑客正常沟通→⑤勒索病毒受害者转向数据解密恢复公司求助→⑥勒索病毒受害者与计算机数据恢复公司订立数据恢复合同→⑦数据解密恢复公司向黑客支付比特币购买解密密钥→⑧攻击黑客向数据解密恢复公司交付解密工具→⑨数据解密恢复公司利用解密密钥为勒索病毒受害者解密恢复数据。

根据互联网勒索病毒解密产业链条中各组成部分的实际作用和逻辑关系以及相关技术分析报告，该链条可以分为以下三个环节：第一是产业链上游，开发者——制作并传播勒索病毒及病毒生成工具和提供相应技术支持；第二是产业链中游，实际攻击者——利用从中介网站/技术论坛获得的勒索病毒与技术向全球范围发动大规模勒索病毒攻击，向受害者勒索比特币等数字虚拟货币；第三是产业链下游，实际解密者——数据解密恢复公司利用自身优势，代表受害者向攻击黑客支付比特币购买解密密钥，为受害者解密恢复数据。综上。面对愈演愈烈的勒索病毒攻击，司法实践中如何对互联网勒索病毒解密产业链条进行治理，对相关网络犯罪活动进行打击，成为当下我国理论与实务中亟待解决的问题。

02

互联网勒索病毒解密产业链

上游行为是否构成犯罪之评析

互联网勒索病毒解密产业链条中，所谓上游行为，本文是指利用计算机技术编写勒索病毒及勒索病毒生成器，并向有关资源中介网站或技术论坛进行传播、扩散的行为。这是勒索病毒解密产业的起始环节，是黑客发动勒索病毒攻击的帮助或者预备行为，对于之后的解密产业链条的形成，具有推波助澜的作用。在这一环节中，包含有两大主体，一是勒索病毒及生成器的开发者/作者，二是相关的中介网站和技术论坛。从这一环节两大主体的实际作用出发，结合互联网勒索病毒揭秘产业链的全局作用和影响，根据我国现行刑法及最新的司法解释，笔者对于上游环节中有关主体的行为是否成立犯罪、成立何种犯罪，做简要评析：

（一）勒索病毒及生成器开发者/作者的行为评析

从开发者主观目的分析，黑客开发、编写、发布勒索病毒的目的有很多，总结起来可以分以下两类：一是基于炫技、恶作剧等非牟利的动机而编写、发布并将勒索病毒及生成器等程序进行上传、公布的行为；二是基于牟利的动机编写、发布并将勒索病毒及生成器等程序进行上传、公布的行为。但是无论是基于何种目的，只要是开发、编写的相关勒索病毒及相关生成器，实际上使得相关勒索病毒进入了计算机网络并传播、流行，对互联网服务用户主体造成了破坏，都应当认定为是成立犯罪。

在网络社会中，黑客会基于炫耀技术、彰显实力等因素将自己开发、编写的病毒程序上传到相关的网站、论坛中，从而获得成就感、满足感。对于这种单纯的开发、编写行为因为其仅是单纯的技术行为，不宜认定为是犯罪。但其将勒索病毒的编写方法、有关技术软件上传到相关网站、论坛，供所有网站、论坛用户自由下载使用的行为，根据其特有的技术知识和专业背景，黑客对于自己的上述行为能够导致其他人利用这种技术或程序发动网络攻击、实施违法犯罪活动应当具有明确认识，主观上至少存在放任的主观故意。从打击网络犯罪，治理网络空间的源头阶段出发，对黑客开发、编写勒索病毒并上传至网站、论坛开放下载供其他用户获得使用的行为，应当认定为成立犯罪。

（1）编写、开发并上传、公布勒索病毒及生成器的行为依法不构成破坏计算机信息系统罪。

根据我国《刑法》第286条以及2011年8月1日最高人民法院、最高人民检察院《关于办理危害计算机系统安全刑事案件应用若干问题的解释》（以下简称《计算机解释》）规定：破坏计算机系统罪，是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，或者故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行，后果严重的行为③。因此，成立破坏计算机信息系统罪的构成要件包括三种类型：

第一种类型是违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的行为；

第二种类型是违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的行为；

第三种类型是制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行，后果严重的行为。《计算机解释》中对“计算机病毒等破坏性程序”作出规定，具有下列情形之一的程序，应当认定为“计算机病毒等破坏性程序”：（1）能够通过网络、存储介质、文件等媒介将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的；（2）能够在预先设定条件下自动触发，并破坏计算机系统功能、数据或者应用程序的；（3）其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。

根据上述法律和解释的有关规定，笔者认为这种编写、开发并上传、公布勒索病毒及生成器的行为不成立破坏计算机信息系统罪，主要理由如下：

首先，从行为逻辑层面看，黑客开发、编写勒索病毒并将病毒及生成器向有关技术论坛进行上传、公布的行为，并非是直接将勒索病毒向全互联网传播并发动攻击的实行行为。换句话说，编写和开发勒索病毒的黑客，只是将自己的“技术成果”上传、发布到有关技术论坛上进行展示，并非是将勒索病毒作为武器向全互联网域内的所有用户进行无差别攻击的行为，这种行为并不会直接使得勒索病毒对计算机信息系统进行破坏，而实际发动勒索病毒攻击并造成严重后果的，是通过中介网站或是技术论坛获取相关病毒程序和生成器的黑客，作为勒索病毒开发者的开发行为和破坏计算机信息系统严重后果并不具有逻辑上的必然联系。

其次，从技术角度层面来看，勒索病毒不同于一般意义上的计算机病毒，其攻击模式、传播手段都有着与传统计算机病毒不同的显著区别。第一，在攻击模式上，勒索病毒的攻击模式是利用系统漏洞进行的大规模指令攻击，并非传统计算机病毒的“感染——传播——感染”的攻击模式，换句话说，勒索病毒的攻击方式如同一把装填了无数子弹的枪，向互联网域内进行无差别打击，只能伤害到有漏洞的目标。而传统计算机病毒的攻击方式更接近于流感病毒的爆发，带有“人传人”的显著特征。第二，在传播手段上，互联网勒索病毒并不具有传播性，不会将自身的部分、全部或者变种进行复制并传播。因此，互联网勒索病毒，不符合《计算机案件解释》中对于“计算机病毒等破坏性程序”的明确规定，但是否符合“其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序”需要委托省级以上负责计算机信息系统安全保护管理工作的部门进行检验，司法机关根据检验结论，并结合案件具体情况认定。

最后，从法律层面来看，构成破坏计算机信息系统罪，需要行为人实施了对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行。或是行为人实施了对计算机信息系统中存储、处理或者传输数据和应用程序进行删除、修改、增加的操作，后果严重的行为。而根据互联网勒索病毒的实际作用,可以发现该种病毒并不会对相关信息系统进行删除、修改、增加的操作，而只是将特定软件或者存储目标进行纯粹加密，换句话说如同在特定软件或数据上加挂了一把锁头，并不会对被锁住的程序和数据进行任何物理上的破坏。从实际对受害人造成的影响来看，这种加密行为客观上“干扰”了互联网用户的正常使用，但这种干扰行为事实上是对受害者的数据进行了单一、纯粹的控制，并非一般意义上的干预、骚扰行为。现阶段法律和解释尚未对刑法第285条中“干扰”行为作出明确解释，但从法律应当具有明确性的角度出发，勒索病毒对计算机信息系统造成的“干扰”应当作“控制”理解。

综上，笔者认为，根据前述行为所处的阶段、勒索病毒实质“控制”作用和技术指标进行综合考量，并结合刑法第285条之三款的规定，对于编写、开发并传播勒索病毒及生成器的前端行为不宜认定为成立破坏计算机信息系统罪。

（2）编写、开发并传播勒索病毒及生成器的行为不构成敲诈勒索罪。

互联网勒索病毒解密产业的核心环节之一是发动勒索病毒攻击并加密受害者数据勒索赎金的行为。互联网世界中，编写、开发勒索病毒的黑客与发动勒索病毒攻击并勒索财物的黑客往往不是同一主体。因此编写、开发并传播勒索病毒及生成器的行为只是手段行为，而发动攻击加密数据勒索赎金才是目的行为。在这种情形下，编写、开发勒索病毒的黑客与发动攻击勒索财物的黑客之间，如果具有共同的主观故意，或是编写、开发勒索病毒的黑客从发动攻击勒索财物的黑客处获得了分成，则可以认定编写者和攻击者之间成立共同犯罪。编写、开发勒索病毒并将相关病毒及生成器上传的行为为后续的发动攻击、加密数据、勒索比特币的行为提供了帮助，但是否成立敲诈勒索罪取决于利用勒索病毒发动攻击加密受害者计算机数据、勒索比特币的行为是否成立敲诈勒索罪。笔者认为，利用勒索病毒发动攻击加密受害者计算机数据、勒索比特币的行为不构成敲诈勒索罪，具体理由见下文详述。

此外，编写、开发勒索病毒的黑客通过将勒索病毒及其生成器等软件公布、上传到中介网站或技术论坛，供发动攻击的黑客使用并从中分成获利的行为，符合《计算机案件解释》对提供侵入、非法控制计算机信息系统程序、工具罪中“情节严重”的规定：“（4）明知他人实施第（3）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的；（5）违法所得5000元以上或者造成经济损失1万元以上的”，则可以以提供侵入、非法控制计算机信息系统程序、工具罪追究编写、开发勒索病毒黑客的刑事责任。

（3）编写、开发并传播勒索病毒及生成器的行为宜评价为提供侵入、非法控制计算机信息系统程序、工具罪。

我国《刑法》第285条之三规定：“提供专门用于侵入、非法控制计算机信息系统程序、工具，或者明知他人实施侵人、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款规定处理。”

此外《计算机案件解释》规定，具有下列情形之一的程序、工具应当认定为“专门用于侵入、非法控制计算机信息系统的程序、工具”：（1）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超过授权获取计算机信息系统数据功能的；（2）具有避开或者突破计算机系统安全保护措施，未经授权或者超越授权对计算机系统实施控制功能的；（3）其他专门专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

根据上述规定笔者认为，编写、开发并传播勒索病毒及生成器的行为构成提供侵入、非法控制计算机信息系统程序、工具罪。理由如下：

首先，如前所述，勒索病毒的实际危害在于“控制”而非“破坏”，无论是基于何种原因编写、开发勒索病毒并将病毒及生成器上传、公布到网站、论坛，其核心行为是向特定或者不特定的用户群体提供了专门用于非法控制他人计算机信息系统的程序和工具；

其次，成立提供侵入、非法控制计算机信息系统程序、工具罪必须达到“情节严重”的情形。根据《计算机案件解释》规定，具有下列情形之一的，应当认定为“情节严重”：（1）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5人次以上的；（2）提供第（1）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具20人次以上的；（3）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具5人次以上的；（4）明知他人实施第（3）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的；（5）违法所得5000元以上或者造成经济损失1万元以上的；（6）其他情节严重的情形。因此，编写、开发勒索病毒并将病毒及其生成器上传至中介网站、技术论坛供有关用户获取使用的行为，根据互联网勒索病毒的波及范围推算，使用同种技术的勒索病毒进行攻击的黑客数量远远超过上述“（4）明知他人实施第（3）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的”人数限制，达到了情节严重的程度。

因此，编写、开发勒索病毒并将病毒及相关生成程序上传至中介网站、技术论坛的行为，更符合提供侵入、非法控制计算机信息系统程序、工具罪的构成。

（二）中介网站/技术论坛的行为评析

在互联网勒索病毒揭秘产业链中，编写、开发勒索病毒的黑客将勒索病毒及相关生成器程序上传、公布到有关中介网站或者技术论坛上，这些中介网站供有关用户免费或者付费下载使用，这些中介网站无法对下载者进行精准的身份核验、用途确认，换言之，其主观明知模糊，充其量仅对下载者将要违法使用有明知，但具体如何使用却无主观认知。对于这些中介网站或者技术论坛在互联网勒索病毒解密黑色产业链条中的作用，笔者认为应当成立帮助信息网络犯罪活动罪。具体理由如下：

首先，信息网络共同犯罪有着不同于其他类型共同犯罪的显著特点：第一，犯罪的行为主体之间可能遍及整个互联网域，行为主体之间甚至互不相识；第二，在客观上，各行为主体之间只是分担部分行为，而且实行行为、帮助行为都有极强的隐蔽性；第三，在主观上，各行为主体之间的意思联络具有不确定性，大部分情况下表现为一种模糊的放任心理状态。因此，在互联网勒索病毒解密产业链中，发动勒索病毒进行攻击的黑客主体数量庞大、身份隐蔽、遍及全球，采用传统共犯理论无法对中介网站或者技术论坛的帮助行为进行认定。因此，我国《刑法》第287条规定了帮助信息网络犯罪活动罪对中介网站或者技术论坛在互联网勒索病毒解密黑色产业链中的行为进行认定、处罚。

其次，根据我国《刑法》287条规定，帮助信息网络犯罪活动罪是指自然人或者单位明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的行为。根据中介网站和技术论坛发挥的作用，在客观上起到了为编写、开发勒索病毒的黑客提供网络存储的功能，但是对于他人利用网站或论坛上的技术实施违法犯罪活动，这些中介网站、技术论坛本身并不能对后续的违法犯罪行为进行明确认识。因此，其行为完全符合帮助信息网络犯罪活动罪的犯罪构成。

最后，根据2019年10月21日发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中对帮助信息网络犯罪活动罪中“情节严重”的规定，明知他人利用信息网络实施犯罪，为其犯罪提供帮助，具有下列情形之一的，应当认定为刑法第二百八十七条之二第一款规定的“情节严重”：（一）为三个以上对象提供帮助的；（二）支付结算金额二十万元以上的；（三）以投放广告等方式提供资金五万元以上的；（四）违法所得一万元以上的；（五）二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚，又帮助信息网络犯罪活动的；（六）被帮助对象实施的犯罪造成严重后果的；（七）其他情节严重的情形。在实践中，根据互联网勒索病毒的相关攻击手段和攻击频率与受害者数量群体，“为三个以上对象提供帮助”和“违法所得一万元以上”对于相关中介网站和技术论坛来说，是一个极低限度的情节严重认定标准。

综上所述，中介网站或者技术论坛将黑客编写、开发的勒索病毒及生成器等程序进行公布，供用户群体下载使用，甚至从之后的网络勒索病毒攻击行为中分得利益，这种行为完全符合帮助信息网络犯罪活动罪的犯罪构成，司法实践中应当以帮助信息网络犯罪活动罪追究相关自然人和单位责任。

03

互联网勒索病毒解密黑色产业链

中游行为是否构成犯罪之评析

在互联网勒索病毒解密黑色产业链条中，中游行为是通过中介网站或者技术论坛获得互联网勒索病毒及相关生成器的黑客，利用相关病毒程序及自身掌握的计算机技术，向全互联网域内发动勒索病毒攻击，对侵入的受害者计算机信息系统程序和数据进行加密，向受害者索取财物的行为。在现实中，勒索病毒索取财物一般分成两个阶段：第一阶段，利用勒索病毒向全互联网域内发动攻击，并将勒索病毒植入有漏洞的计算机系统，加密受害者数据信息；第二阶段，以受害者被加密控制数据为要挟，向受害者索取财物或者比特币等虚拟数字货币。

从行为的逻辑关系分析，第一阶段的行为是手段行为，第二阶段的行为是目的行为。对此，学界和实务领域普遍认为，制作和传播计算机病毒符合刑法规定的破坏计算机信息系统罪的犯罪构成，凭借病毒索取受害者财物又符合刑法规定的敲诈勒索罪的犯罪构成④。此外，在司法领域有法官认为：“黑客利用勒索病毒勒索受害者财物的行为在司法实践中要根据案件的具体犯罪事实，选择'破坏计算机信息系统罪’或'敲诈勒索罪’定罪处罚。⑤”

但是笔者并不认同上述观点，根本原因有二：第一是勒索病毒的性质特殊，对计算机信息系统的作用是“控制”而非“破坏”；第二是现阶段黑客已不再向受害者索取财物，转而向受害者索要比特币等虚拟数字货币，并非传统意义上的“财物”。具体理由如下：

（一）黑客发动勒索病毒攻击、加密控制受害者计算机数据的行为不构成破坏计算机信息系统罪。

在本文第二部分，笔者从技术角度对互联网勒索病毒进行了说明，并进一步在法律层面对利用勒索病毒发动攻击加密控制受害者计算机数据的行为进行了有关分析，认为黑客发动勒索病毒侵入受害者计算机信息系统加密相关数据的行为不构成破坏计算机系统罪。

首先，当下的互联网勒索病毒非同于往常的其他计算机病毒，其攻击方式是利用有关技术对互联网域内的计算机系统进行漏洞攻击，从而侵入受害者计算机系统，进而加密有关数据。这种攻击方式使得勒索病毒不具有传统意义上的可传播性，利用勒索病毒发动攻击的行为则不属于破坏计算机信息系统罪“制作、传播计算机病毒等破坏性程序”的行为模式；

其次，现阶段的互联网勒索病毒的实际功效在于“加密控制”而并非对受害者计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作；

最后，利用勒索病毒攻击并加密受害者计算机中相关数据，在行为模式上可以归结为对计算机信息系统的“非法控制”。这种非法控制行为，不属于破坏计算机信息系统罪规定的对计算机信息系统功能的删除、修改、增加行为，但是否构成对计算机信息系统的“干扰”，尚无明确解释。但《刑法》第285条之二规定了非法控制计算机信息系统罪，根据相关规定，非法控制计算机信息系统罪是指“通过非法侵入方式或者其他技术手段，违反他人意志，完全控制或者部分控制他人计算机信息系统的行为。⑥”因此，黑客发动勒索病毒侵入受害者计算机信息系统加密相关数据的行为更加符合非法控制计算机信息系统罪的构成要件。

综上，笔者认为利用互联网勒索病毒发动攻击，对受害者计算机信息系统进行加密的行为不构成破坏计算机信息系统罪，而应当构成非法控制计算机信息系统罪。

（二）黑客向受害者索要比特币的行为不构成敲诈勒索罪。

我国《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密或者其他犯罪的，依据本法有关规定定罪处罚”。在刑法教义学上，上述规定称为注意规定。它的功能在于：在刑法已有规定的情况下，提示司法人员注意对相关规定的适用⑦。又根据我国《刑法》第274条的规定，敲诈勒索罪是指以非法占有为目的，对他人实行威胁（恐吓），索取公私财物数额较大或者多次敲诈勒索的行为。由此可知，敲诈勒索罪的成立条件之一是索取较大数额的“财物”。而现阶段的互联网勒索病毒索取的“财物”，并非是传统索财案件中的财物，而是以比特币为代表的虚拟数字货币。对于像比特币这样的虚拟货币是否属于法律所需要保护的财产法益，目前法律领域和金融领域均持否定态度。

首先，比特币在经济属性上不属于法定货币形式，只是因其带有匿名化、发布去中心化、交易全球化的特点，同时根据带有一定形式上的货币功能，能够在全世界范围内满足一部分支付功能和价值储藏功能，而被互联网用户群体和金融从业机构认定为数字货币，并在互联网世界中流通使用。但是在当前，包括我国在内的多数国家均不承认比特币的货币地位，2013年12月5日，中国人民银行会同银监会、证监会、保监会以及外汇管理局共同发布《关于防范比特币风险的通知》中明确表示，比特币不是真正意义上的货币，并非是由货币发行权能的国家机关发行，不具有国家法定货币的法偿性和强制性⑧。因此，从其经济属性来看，以比特币为代表的数字货币等同于是在网络空间内具有流转性的数字虚拟产品，不属于严格意义上的财物范畴。

其次，比特币在法律属性上，其本质属性属于电子数据，但是否属于刑法保护范围中的“公私财物”，目前尚未有明确规定。此外2017年3月15日通过的《民法总则》在民事权利一章中规定：“法律对数据、网络等虚拟财产的保护有规定的，依照其规定”。由此可见，无论是《刑法》还是《民法总则》都未对虚拟财产赋予“财物属性”，现行其他法律对于以比特币为代表的虚拟数字货币也未明确民事权利客体的身份地位。因此，现阶段的法律未对虚拟货币进行定义、分类及特性做更进一步的细化确认，从法律应有的确定性规则来看，以比特币为代表的虚拟数字货币不属于“财物”范畴。

综上所述，由于比特币不属于“公私财物”的范畴，不属于刑法规定的“财物”。因此利用受害者被加密的数据，向受害者勒索比特币的行为，不符合敲诈勒索罪的犯罪构成，不构成敲诈勒索罪。

04

互联网勒索病毒解密黑色产业链

下游行为是否构成犯罪的评析

互联网勒索病毒解密黑色产业链下游行为，在事实上只是将中游行为中受害者的角色等价换成了互联网行业内从事计算机数据恢复、解密业务的计算机数据恢复公司。在这一环节，受害者因多种原因无法和发动勒索病毒攻击的黑客进行沟通，转而向作为第三方的计算机数据恢复公司寻求帮助。受害者与计算机数据恢复公司订立数据恢复合同、收取数据恢复费用后，由计算机数据恢复公司出面与发动勒索病毒攻击的黑客联络，向黑客支付比特币，购买解密密钥，最后为受害者被勒索病毒攻击加密的计算机系统解密、恢复数据。

因此，这一环节是互联网勒索病毒解密黑色产业链条中至关重要的一部分。客观上，作为第三方主体参与的计算机数据恢复公司的介入，使整个产业链条的运转更加流畅，效率更加高效。某种程度上，这些数据恢复公司扮演了发动勒索病毒进行敲诈勒索的黑客的“帮凶”角色，但是从勒索病毒解密黑色产业链全局层面来看，根据数据恢复公司实际发挥的作用，数据恢复公司参与到互联网勒索病毒解密产业链条的主观原因是“牟利”——从勒索病毒受害者处收取的解密费用与向黑客支付的比特币之间的差价；客观结果是为受害者被加密的计算机数据进行了解密，保护了受害者的数据信息安全。由此，互联网勒索病毒解密黑色产业链条的下游行为具有相当程度上的正当性，不具有刑法的非难性，不宜认定为犯罪，具体论述如下：

（一）双重外部困境：解密数据恢复公司产生之外部因素解析。

根据常识可知，一种产业的形成必然伴随着相对稳定、成熟的市场出现。在实践中，伴随着互联网勒索病毒攻击烈度的加剧，越来越多的互联网用户因遭受到勒索病毒的攻击给生产生活带来不便。但因现实中存在的双重外部困境，而使越来越多的受害者不得不求助于数据恢复公司，代为因遭受勒索病毒攻击而被加密数据的受害者进行解密并恢复数据，也因此使得勒索病毒解密产业链条的最终形成。

1.技术困境：互联网勒索病毒无法通过正常渠道破解——走投无路。

如前所述，当前黑客开发、编写的互联网勒索病毒从技术上采取高强度非对称加密技术，对受害者计算机系统数据进行加密，采用传统的直接解密方式强行破解需要花费几十、甚至上百年的时间。这种加密方式从技术上给数据解密工作带来无法跨越的技术鸿沟。此外，现阶段国内外各大计算机数据安全公司也无法针对此类勒索病毒制定有效的解决方案，无法对已经被勒索病毒感染的计算机系统进行恢复，只能采取修补漏洞的方式进行事前主动防御。因此，在这种巨大的技术困境下，受害者选择向黑客妥协，支付比特币购买解密密钥，成为唯一的选择，这无关于数据恢复公司是否与黑客通谋，无论事前是否就勒索病毒解密业务形成合意，数据恢复公司作为中介，在受害者与黑客之间沟通，承接数据恢复服务，是互联网信息技术层面的必然要求。

2.沟通困境：受害者与黑客之间关系畸形——天然无信任基础。

实践中，大量的受害者在计算机系统遭遇勒索病毒攻击后，无法与黑客之间就支付比特币解密被加密的数据等事项进行正常沟通，互联网的虚拟性、无界性使得受害者与黑客之间无法形成信任基础。另外，绝大部分的受害者限于语言交流、购买并向黑客支付比特币、获取密钥后如何解密等技术障碍，无法对被勒索病毒加密的计算机信息数据进行相关操作。因此，数据恢复公司相对于受害者而言，更熟悉比特币等虚拟数字货币的交易方式，更熟悉计算机信息技术，更熟悉计算机专业术语等优势地位和条件，参与到互联网勒索病毒解密黑色产业链条中，构成了地位相对重要，也相对特殊的一个环节。

正因上述互联网勒索病毒解密产业链条之外的困境存在，在相当程度上为数据恢复公司介入到勒索病毒解密产业链条中，带来了必然性。换言之，外部困境在一定程度上赋予了数据恢复公司“专职医生”的身份地位，成为了发动勒索病毒攻击黑客之外的唯一“破局人”。

（二）商业合规：解密数据恢复公司发展之内部因素分析。

根据前述互联网勒索病毒解密产业链条外的种种困境，笔者认为，从遭受勒索病毒攻击的受害者现实经济利益考量，无法起到受害者选择更加合法、合规的路径去解密数据。作为受害者的解密代理人或者“专职医生”，法律亦无法期待计算机数据恢复公司去做出更符合理性、人性的适法行为。换言之，符合绝大多数受害者利益诉求的“无奈”选择就无限逼近于合法行为，更进一步，计算机数据恢复公司接受受害者委托为其解密数据的行为是正常业务行为，更是合法行为。具体论述如下：

1. 计算机数据恢复公司就受害者数据解密事项均签订解密服务合同，符合商事活动的形式要件和实质规则。

笔者对互联网勒索病毒解密产业链条的下游环节即数据恢复公司介入解密的环节进行调研了解后发现，在实践中，几乎所有的数据恢复公司介入解密环节后，都会与受害者就数据解密事项签订计算机数据恢复服务合同，对于数据恢复的委托事项、恢复方式、交易流程、退款约定、其他条款及保密义务等相应事项均有明确约定，合同要件齐备，具有民事法律效力。如下图所示：

笔者据此认为，实践中，遭受勒索病毒攻击的受害者与数据恢复公司之间订立计算机数据恢复合同，最主要的原因便是数据恢复公司提供的数据恢复服务对于受害者而言，不存在语言沟通、支付渠道等障碍，能够更加便捷地受害者数据问题。通过上图可以发现，计算机数据恢复合同中对于交易流程有着详细约定，明显有利于受害者，通过订立上述合同，在相当程度上抵消了受害者直接向黑客进行联系，支付比特币购买解密工具，并自行恢复被加密数据等一系列风险，而将解密失败、数据丢失的风险全部转嫁到数据恢复公司身上。因此，数据恢复公司参与到勒索病毒解密产业链条之中，与受害者就解密事项订立数据恢复合同，明显是为了受害者的数据安全和相关利益而服务，并不具有与非法占有的目的，也无法证明数据恢复公司具有和发动勒索病毒攻击的黑客之间具有共同犯罪的共谋。

综上，数据恢复公司的介入，符合商事活动的形式要件和实质规则，不具有刑法的非难性，应当认定成为特殊情形下的市场经营行为。

2. 数据恢复公司代表受害者向黑客支付比特币购买解密工具，是解密成本与可行性的必然选择，符合各方的利益追求。

笔者向计算机数据安全领域专业人士进行咨询了解到，目前市场上的计算机数据恢复公司所提供的数据恢复服务主要分为以下三类：①用户错误操作将数据删除、丢失后的数据恢复；②用户计算机信息系统遭遇病毒攻击，数据恢复公司通过现有技术手段进行查杀恢复；③用户计算机信息系统遭遇到特殊类型的病毒攻击，数据恢复公司技术无法解决，需要向发动攻击的黑客进行联络寻求解决方式。在数据恢复业务中，遭遇到互联网勒索病毒攻击后，数据恢复公司代表受害者向黑客支付比特币购买解密工具，是解密成本与可行性的必然选择，符合各方的利益追求。

对于受害者而言，在遭遇到勒索病毒攻击后，除了花费高昂价格向360、金山等大型数据安全公司进行求助以外，选择小型数据恢复公司采取向黑客妥协并沟通付费、购买解密工具的方式恢复被攻击加密的数据，对于受害者来说更加便利，成本也更加低廉；

对于数据恢复公司而言，利用所掌握的互联网信息技术、语言优势和支付渠道等便利条件，通过为受害者提供代理的方式，介入黑客与受害者之间，提供数据恢复服务，赚取技术服务费用，符合其正常经营的利益追求；

对于发动勒索病毒攻击的黑客而言，往往由于与受害者之间无法形成有效沟通、无法建立足够的信任基础等原因，而无法实现其勒索比特币的目的。因此，发动勒索病毒攻击的黑客更愿意与从事数据恢复业务的数据公司联系，甚至会将与其进行联络沟通的数据恢复公司相关信息主动向受害者发布，从而迫使受害者主动向黑客指定的数据恢复公司联络，以其实现其获得比特币的最终目的。

笔者对互联网勒索病毒攻击的受害者身份信息进行梳理后发现，遭受勒索病毒攻击的受害者群体以中小型民营企业为主。这进一步说明了信息时代下，我国经济运行体系中，尤其是中小型民营企业的数据安全问题依然严峻。这种选择向黑客妥协的方式虽然助长了信息网络犯罪的嚣张气焰，客观上帮助了黑客实施网络犯罪的实现，但这种方式对于艰苦创业的中小型民营企业来说却是最有利的选择。正因如此，数据恢复公司的行为更应当认定为是为了解决以中小型民营企业为代表的受害者数据安全问题，所实施的正常业务行为——换言之，法律总是滞后于时代，作为相关市场中的参与主体，法律不能苛责数据恢复公司作出合法性的前瞻预测。

综上所述，市场中数据恢复公司代表遭受勒索病毒攻击的受害者向黑客支付比特币购买解密工具，并为之解密恢复数据的行为，在相当大的程度上是为了受害者的数据安全和经营利益所服务，而并非是为了黑客实现“敲诈勒索”而服务。数据恢复公司凭借着计算机数据恢复领域的专业技术，所扮演的也只是受害者代言人的角色，而不是黑客的“帮凶”。数据恢复公司的客观行为给受害者消除了语言、技术上的阻碍，转移了受害者直接向黑客沟通并恢复数据的风险，保护了受害者的数据安全，从事的仅仅是公司正常的业务经营行为，不应当认定为与黑客成立共同犯罪。

结语

计算机信息技术发展至今，业已进入大数据、云计算阶段。物联网、区块链技术日趋成熟完善，保证网络安全成为世界各国必须面临的严峻任务。虽然我国刑法针对计算机信息网络犯罪进行了相应的规制，但是技术发展的先导性使得法律本身不断滞后于时代的发展，需要对信息网络犯罪活动的发展态势保持时刻关注，针对实务中出现的新技术、新问题、新产业要以最灵敏的嗅觉，把握其对社会的影响程度，及时制定规制措施。简而言之，对于互联网领域内的新型产业，既不能不管不问，任其野蛮生长；也不能不加区分，对其笼统否定。回归到互联网勒索病毒解密产业链中，对其中的环节和行为既要区分对待，也要根据实际作用进行客观分析。只有这样，才能实现惩治犯罪与社会发展的有机统一。

注释：

①陈兴良：《互联网账号恶意注册黑色产业的刑法思考》，载《清华法学》2019年第6期。

②腾讯安全联合实验室：《2018年互联网黑产研究报告》，中国大数据观察网，

http://www./BigData/2018-08/01/content_5782956.html

③ 张明楷：《刑法学》（第五版），法律出版社2019年版，第1048页

④姜楠：《全球勒索比特币触犯哪些罪名》，载《北京日报》2017年5月24日，第14版

⑤姜楠：《以勒索病毒索要比特币的刑事责任分析》，中国法院网，

http://www.chinacourt.org/article/detail/2017/05/id/2877988.shtml

⑥前引③，张明楷书，第1046页

⑦前述①，陈兴良文。

⑧贾丽萍：《比特币的理论、实践和影响》，载《国际金融研究》，2013年第12期。