这是一件纽约知名律所被勒索软件入侵并勒索失败的故事。

勒索软件是指一种流行的木马病毒，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。

勒索软件最早可以追溯至1989年，Joseph Popp编写了PC Cyborg木马程序（亦被称为“艾滋病信息木马”）。 通过“艾滋病信息引导盘”的形式进入计算机系统，采用替换DOS系统文件的方式，实现在开机时即开始计数，等到系统启动次数达到预先设置的次数时，该程序就会将磁盘中的多个目录隐藏，系统盘中的全部文件名被加密，从而导致系统无法启动。

紧接着屏幕就会显示用户软件许可过期的提示，要求用户向PC Cyborg公司支付189美元以解锁系统。

这就是最早的勒索软件玩儿法，随着技术的发展Cryptowall病毒程序族群也在不断的发展，熊猫实验室在2019年12月发现了Trj/Crypdef.A的新变种。原理同样是通过锁定感染电脑的系统并加密用户文件，以电脑控制权来向电脑所有人索取财物。

数据安全已经成为我们无法回避的问题，如果说Cryptowall时代勒索团队们还只是利用电脑控制权作为筹码实施勒索行为，那么随着互联网的发展，隐私或者商业机密的泄露可以产生的负面影响逐渐出现传播范围广、迅速又不可控的情况。

同时勒索团队也注意到了被控电脑中机密的价值，进而从最初以电脑控制权交换赎金的模式演变为将被控电脑中的机密文件复制拷贝，并以此作为对价要挟数据控制者（也就是企业们）。

据外媒报道，Grubman Shire Meiselas & Sacks律师事务所（下称“GSM&S”）在去年5月受到REvil勒索软件（也称为Sodinokobi）攻击。

攻击者表示，如果GSM&S不向其支付比特币赎金，攻击者则会分次发布其在本次攻击中获取的被盗数据，被盗数据包括保密合同、电话号码、电子邮件地址、个人通信、保密协议等。

GSM&S是纽约声名在外的律所，它所拥有的影视娱乐明星客户都是属于重量级的巨星，包括我们熟知的“教父”罗伯特·德尼罗、Lady Gaga、芭芭拉·史翠珊、玛丽亚·凯莉和麦当娜等。

同时其还服务于Facebook，Activision，iHeartMedia，IMAX，Sony，HBO和Vice Media等公司。

哦对了！还有一位不得不提的客户——唐纳德·川普，也是此次攻击的受害者之一。REvil团队甚至公开向川普发送警告信息以要求支付“数据赎金”。（OMG！美帝不是又要大选了吗！数据公开是否会影响大选，这也是不得而知但又不得不去担心的事情）

然而根据 《纽约邮报》的报道，硬气的GSM&S已经拒绝谈判或支付任何赎金，这意味着，GSM&S的客户机密 或将面临泄露。

令人大跌眼镜的是，REvil团队勒索未果居然自设网站准备拍卖此次攻击所获取的机密。

从事网络安全的伙伴可能对REvil勒索软件的名字并不陌生，毕竟该团队在近两年的“活跃”令企业吃尽了苦头。现如今公然叫卖因犯罪所获取的个人隐私和商业机密，真的是令人不寒而栗。

尽管攻击GSM&S的REvil勒索软件在当下勒索软件“产业链”中已经处于控制地位，但REvil也不过仅仅是从事软件勒索团队中的一个。

美国一家Citrix公司在2016年的研究报告称，一些企业正在囤积比特币以应对这些威胁，这样就可以快速支付勒索赎金而且不影响企业的正常运营。

这看起来很可笑，就仿佛在告诉勒索团队，我们已经做好充足的准备来应对你们的攻击，而我们的准备就是——多准备点你要的钱好尽快完成交易。

很显然在网络安全领域，很难说时下的技术是否真的成熟到可以抵御这些有意识、有组织且有规模的犯罪群体，但是多准备点比特币总是没错的，万一没被攻击，比特币再升值了，也算是“投资胜利”。

根据Datto对1400多名管理中小企业IT系统的托管服务供应商决策的调查，软件勒索仍然属于当下中小企业最常见的网络风险。

从GDPR开始，数据隐私问题已然成为互联网时代企业发展的“萧何”，大数据给用户带来的便利和感受的提升也绝非是三言两语可以说得清道得明的。

全球加大对数据隐私监管力度就在表明，各个经济利益体都对“无论如何，技术的使用与发展需要建立在最基本的尊重人权之上”的立场表示赞同。

我们讨论过太多次数据合规，把数据合规的收集、使用（共享）和保护三阶段烂熟于心，也正是因为时下数据安全对网络技术的依赖性较大。

在进行数据合规操作时法务团队需要和技术团队保持紧密的沟通与联系，建立起高效的沟通及执行机制，是在数据合规及安全这场仗中打出精彩Combo的基础。

Veritas Technologies（以下简称为“VT”）就企业遭受勒索软件攻击的相关情况进行了一项研究，这项研究覆盖了6个国家的12000名消费者。

根据VT的研究表明，40%的受访者认为企业的负责人应当对企业遭受勒索软件攻击而承担责任。有60%的受访者认为勒索软件所涉及的用户数据的受害者应当从勒索软件的企业中获得赔偿。甚至有9%的人认为受到勒索软件攻击的企业负责人应当受到刑事处罚。

同时VT产品副总裁Simon Jelly指出根据研究报告所示，消费者最希望企业对数据采取的最基本的两项措施是：通过软件技术对数据进行保护以及对获取的数据进行备份。

“如果企业连这最基本的两项措施都无法实现的话，就需要最好被用户指责的准备。”

其实不难看出，消费者在对企业提要求时也做出了让步，也就是说，消费者希望企业能够以其最高技术水平来保护消费者的数据（这个在纸质文件年代应该还比较好实现，比如放到银行保险柜，甚至藏在企业的小金库里都算是有效措施）。

但是消费者也意识到，科技向善只是我们竭力倡导的主题，但是你防不住那些掌握高超技术的人，他们因为各种各样的原因与企业的网络安全部门进行“互动”，于是消费者提出的第二个基本要求就是对数据的备份。

颇有一种“如果你保护不了我的数据，那至少不要让我在数据受到侵害时，承受过多的麻烦”的感觉，就好像是既然你保护不了我的数据，你至少别让我我的数据被人家一锅端了，不然我就是赔了夫人又折兵，数据被别人盗走，作为授予数据给企业的消费者又无从享有因授权数据而应享有的服务。

举个例子说就是，早年间FaceBook的数据库泄露已成定局，无论系统侵入者是否会将获取的用户数据公开，消费者都希望FaceBook至少确保两件事：1.用户知道都有哪些数据正在受到威胁，2.如果我要继续使用Facebook，我不希望出现信息混乱、图裂、莫名其妙删除主页内容等事件发生。这也就是数据备份所能实现的基本诉求。

为了更好的规范数据的收集和使用，各个法域如雨后春笋般的公布最新制定并颁布的有关数据隐私的新规，并着重强调收集、使用不合规将面临的处罚及责任，以倒逼企业进行数据合规自查，此举一出意味着数据保护开始有了框架，而并非一门“各自凭良心干事儿”的玄学。

现在，我们大多将数据合规（安全）划分为三个阶段，收集、使用（共享、传输等）和保护（含销毁）。我们在制定用户个人信息管理政策（或隐私政策）中也几乎是按照这三个阶段来进行起草。

在这三个环节中，企业占据绝对主导权的是收集和使用阶段，也就意味着企业有权选择是否收集、使用用户数据以及如何使用和收集，而数据的保护就往往会受到各方的影响，诸如技术水平达不到数据安全的保护要求或第三方恶意攻击。

正因此，各个法域在制定数据隐私相关的规定时也都考虑到这一层面的问题，直白了当的告诉企业，如果想要在数据领域插一脚进来请先规范自己的行为，从内容、范围等方面约束自己的收集、使用行为——这也意味着在时下强而劲的监管下，企业在收集、使用数据层面上的不规范将会引起更重的责任。

至于保护的问题，如果你没有能力我不怪你，但是你可以找有能力的人来做这件事。如果你自己不行，又不愿意借助他人之力，那就是你的问题，企业需要为自己的侥幸承担应有的责任。

那么企业如果出现类似的数据挟持事件或其他黑客攻击、木马病毒入侵等事件（下文统称“网络安全事件”）时，企业是否可以主张这类事件的发生属于不可抗力，从而适用法定免责呢？

老规矩，定义先行。

说文解字中，“抗”即是“扞也”，段玉裁在《说文解字注》中亦提到，“抗、禦也”，我们可以从中窥出在字面上（或者说从立法目的上来看）的不可抗力其实是指，当事人不可抵御，不可抵抗的客观事件的发生。

对于这类事件，当事人无法或者不能采取方法、手段加以规避与之抗衡。

作为一个正经的法律专业术语，“不可抗力”的说法是源自于大陆法系，然而尽管force majeure出现在法律英语词典中但他其实是从法语体系中“借”来的。

首次提出force majeure的国家即是法国，在1804年《法国民法典》中基本确定不可抗力作为法定责任免除事由的地位（见于《法国民法典》第1147条、1148条、1384条及1386条）。

但不可抗力的概念在法国学界仍然具有很大的争议性，因此始终未在成文法层面上对不可抗力进行定义，但整体上认可“不可抗力”的构成因素应至少包括：无法抗拒、无法预见、存在于义务人之外且合同根本无法履行。

以上四个因素，缺一不可，也即在法国民法典的规定中，任何一个因素的缺失就会阻断不可抗力的认定。

然而在我国，不可抗力的定义就十分明确了。

我国《民法典》180条规定，不可抗力是指合同订立时不能预见、不能避免并不能克服的客观情况，常见的不可抗力是自然灾害和政治事件引起的履约环境和能力的减弱或灭失。

认定是否构成不可抗力的因素的条件应当从可预见性、可避免性及可克服性三个要素进行判断。

可预见性

笔者认为，可预见性应当做广义理解，即企业应当对事件是否存在发生可能性的预见，例如对系统中存在漏洞的识别，以及通过技术手段提前预知网络安全事件的发生，例如在系统中嵌入异常警报程序通过对用户登录情况（如IP、写入方式等）的分析判断每次登入是否异常。

可避免性

由于企业技术水平必然存在差异，因此，我们所说的可避免，应当建立在一个参照标准之上的——即行业内平均技术水平可达到的避免，这里的认定就需要从技术上来弥补立法的扁平，通常在认定技术水平是我们需要进行专家论证。

笔者认为，我国已经建立了网络安全标准体系，通过《网安全等级保护基本要求》确定网络安全等级保护要求达到的最低技术水平，因此可以借鉴对网络安全等级保护的评估标准的来认定技术水平。

可克服性

此处的可克服性，是指对事件后果出现的无法克服，即毫无办法加以阻止。此处的后果我们首先要界定是网络安全事件发生这件事本身，还是指因网络安全事件的发生所产生的损失及其它后果。

如果将可克服性要求的覆盖范围无限扩张到网络安全事件发生后所产生的一切损失及后果则无形之中为企业增加了一项义务，即我们允许网络安全事件的发生，但企业有义务将网络安全事件发生所产生的影响及后果全面有效的控制。这无形中是在否定不可抗力作为法定免责事由的地位。

因此笔者认为，可克服性的要求应当仅指网络安全事件的发生是否可以克服，例如当我们发现有黑客正在尝试进入企业系统时立即采取制动方案来阻止黑客的登入。

对比可以发现，我国对于不可抗力的认定没有“合同根本无法履行“这一要件，《民法典》中规定的结果要件是“不能履行民事义务”，也就是说我国民法典并没有不可抗力影响程度的要求。

客观事件发生的可预见性、可避免性及可克服性只有在被串连起来时，才能被认定为是不可抗力事件，我们在判断网络安全事件是否构成不可抗力事件则需要从以上三个因素进行判断。

那么若某一网络安全事件不构成不可抗力是否就意味着受到攻击的企业将会负担起无限的赔偿责任呢？

笔者认为，若某一网络安全事件不构成不可抗力事件，则我们可以从不可抗力事件的外延继续探讨企业的责任承担问题，不可抗力是意外事件的一种，是否可以适用意外事件的理论来进行责任划分就具有探讨意义。

用户将数据授权给企业，却发生网络安全事件，除非用户方参与加害，否则我们很难要求数据提供者也是网络安全事件最终的受害者负有责任。

我们很难说这些勒索软件带给我们了什么，的确，一部分技术能力卓越的人正在用自身的天赋去挑战整个网络安全体系——不分地域、不分种族——仿佛就是为了一次一次验证自己的天赋。

然而同样有另一部分人，也在为验证自己的天赋而时刻准备着应对这些挑战。