現有的法律措施大多是進行事后約束，這并非簡單立法即可解決的問題。如果出現訴訟，一般會形成集體訴訟，但在管轄權和賠償程度上還有許多難題需要解決。打開任意一個“https://”開頭的網站，就意味著你打開了一個使用了SSL安全協議的網站。 這一協議被用于提高應用程序之間的數據安全系數，加密數據以隱蔽被傳送的數據。而作為該協議的一種實現形式，OpenSSL是應用最廣泛的SSL服務軟件。

簡單地說，OpenSSL為你在網站上輸入的各種賬號密碼加了一把虛擬的“鎖”。這把“鎖”如今被全球三分之二以上的網站使用。

而就在4月9日，OpenSSL爆出了本年度最嚴重的安全漏洞。利用該漏洞，黑客坐在自己家里的電腦前，就可以實時獲取到所有“https://”開頭網址的用戶登錄賬號密碼，包括網銀、電子郵件等信息。

因影響巨大，該漏洞被曝光者命名為“heartbleed”，意為“心臟出血”。

4月10日，國家互聯網應急中心發布通報，稱由于OpenSSL應用極為廣泛，包括政府、高校網站以及金融證券、電子商務、網上支付、即時聊天、辦公系統、郵件系統等諸多服務提供商均受到漏洞影響，直接危及互聯網用戶財產和個人信息安全。

年度最嚴重安全漏洞

OpenSSL的歷史可以追溯到Eric　Young所打造的SSLeay。雖然來自美國約翰霍普金斯大學的Matthew　Green曾經將其譏諷為一個“教你自學大數除法”的項目，但在此之前，加密算法曾經由美國政府牢牢控制。

多年的積累加上熟悉的特性使OpenSSL順利走向普及，而我們如今才剛剛接觸到其中不為人知的深層漏洞。

據國家互聯網應急中心通報，OpenSSL是一款開放源碼的SSL服務軟件，用來實現網絡通信的加密和認證。該軟件囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，并提供了豐富的應用程序供測試或其他目的使用。

國家信息安全漏洞共享平臺(CNVD)分析，受到該漏洞影響的產品包括：OpenSSL　1.0.1-1.0.1f版本，其余版本暫不受影響。綜合各方測試結果，國內外一些大型互聯網企業的相關VPN、郵件服務、即時聊天、網絡支付、電子商務、權限認證等服務器受到漏洞影響，此外一些政府和高校網站服務器也受到影響。

CNVD成員單位奇虎360安全專家石曉虹博士表示，OpenSSL此漏洞堪稱“網絡核彈”，因為有很多隱私信息都存儲在網站服務器的內存中，無論用戶電腦多么安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。

在CNVD的綜合評級中，這一漏洞被評為“高危”。

一些統計數據也可以顯示這一漏洞可能造成的巨大影響。奇虎360對國內120萬家經過授權的網站掃描，發現其中有11440個網站主機受該漏洞影響。4月7日、4月8日期間，共計約2億網民訪問了存在OpenSSL漏洞的網站。

而由于OpenSSL是Apache和NGINXWeb兩大服務器的默認SSL　/　TLS證書，專家估計，全球多達三分之二的“安全”網站很容易通過這一漏洞受到攻擊。

事實上，攻擊的苗頭已經出現。國家互聯網應急中心通報稱，目前互聯網上已經出現了針對該漏洞的攻擊利用代碼，預計在近期針對該漏洞的攻擊將呈現激增趨勢，對網站服務提供商以及用戶造成的危害將會進一步擴大。

與此同時，OpenSSL在今年4月7日推出了OpenSSL　1.01g,修復了這個漏洞。目前，國內大量網站正在緊急通過更新軟件來修復漏洞。

然而，此時距該款缺陷軟件推出的2012年3月12日已兩年有余，是否有賬號信息被竊取尚無法評估。

誰該對信息泄露擔責

如果用戶登錄了一個使用了該缺陷協議的網站，導致信息被盜并產生損失，誰應該對損失負責?這是接下來我們可能要面臨的問題。

互聯網法律專家、中國政法大學傳播法中心研究員朱巍認為，該事件涉及的法律責任包括兩個方面：一是竊取信息者，即黑客的法律責任;二是存在漏洞服務器因漏洞造成用戶損失的責任。前者我國刑法及相關司法解釋有明文規定，后者則較為復雜。

“據資料顯示，該漏洞早在兩年前就曾顯現，黑客可以非法獲取存在漏洞服務器高達64K數據，這些數據已經足夠獲取個人包括財產數據在內的敏感信息。”朱巍向《法制日報》記者分析。

他介紹，在網絡交易中，交易網站有義務保護用戶信息安全，這是源自“用戶協議”的約定和交易誠信責任組成部分。一旦導致用戶受損，網站應承擔包括違約責任、侵權責任在內的民事法律責任。

“不過，網站也可能有抗辯理由，主要有三種，分別為免責條款的抗辯、不可抗力的抗辯和已盡到提示義務的抗辯。”朱巍說。

對此，中國政法大學知識產權中心特約研究員趙占領認為，關于不可抗力這一條抗辯理由爭議最大。

“這個漏洞被發現以前造成的損失，網站是否要負責?這個問題可能還需要討論。因為這不是網站自己的漏洞，只是網站采用了這種國內外通用的協議標準，而這種協議標準本身就存在漏洞，這對于網站來說是無法預料的。這到底算不算不可抗力，我現在也不能確定。”趙占領對《法制日報》記者表示。

朱巍則認為，在此次事件中，不可抗力的抗辯并不成立。“病毒、漏洞或黑客攻擊在網絡世界中廣泛存在，其破壞和出現頻率也無法預計，一般理論認為，在一定程度上，網站可以依據不可抗力進行免責。不過，在本事件中，SSL漏洞在兩年前就已經出現，在長達兩年的時間內，網站未盡到合理注意義務，因此不能以不可抗力免責。”

而對于在漏洞被發現之后仍給用戶造成的損失，則沒有太多爭議。趙占領認為，如果網站在漏洞發現之后沒有及時采取措施，導致用戶損失進一步擴大，網站毫無疑問地要承擔賠償責任。

若發生損失如何維權

即便發生損失后用戶存在維權空間，但被問及是否有成功案例時，多名接受《法制日報》記者采訪的專家均沒有給出肯定答案。

“實踐中我聽說的起訴案例只有一個，現在還沒有判：浙江一個酒店開發的酒店Wi-Fi管理、認證系統，因存在漏洞而導致用戶信息泄露，被起訴至法院，前不久剛立案，結果現在還沒出來。”趙占領介紹。

而大多數案件都未能走到起訴這一步。

趙占領分析，主要原因在于取證太困難，一般用戶根本沒辦法證明信息是通過哪個渠道泄露的，因為一般用戶的這些信息在很多地方都可以看到的，所以很難證明。唯一的辦法就是等公安機關立案，查到犯罪嫌疑人，查清到底是哪個渠道泄露的。

他介紹，一旦查清，如果是網站自身或者內部員工泄露，刑法修正案(七)有規定“非法泄露公民個人信息”的犯罪。之前，電信公司和支付寶公司泄露用戶信息的案例就是屬于這種。而如果是網站被動泄露的，情況則如上文所述，更加復雜。

趙占領認為，現有的法律措施大多是進行事后約束，這并非簡單立法即可解決的問題。

“像目前的《電信和互聯網用戶個人信息保護規定》、侵權責任法等都有相關的規定，但并不能解決民事賠償中的取證難題，因此也很少有受害者提起訴訟。”趙占領認為，這種困境歸根于我國的電子證據認定有很大的缺陷。

對于OpenSSL漏洞事件，朱巍提出，如果出現訴訟，一般會形成集體訴訟，但在管轄權和賠償程度上還有許多難題需要解決。