，

(浙江大学 光华法学院，杭州 310008)

一、问题的提出

随着网络技术的发展，互联网正越来越广泛、越来越深入地影响人们的生产和生活，而另一方面，技术的发展为不法行为提供了新的生存空间，恶意软件的极速增长即是其中的典型。“随着互联网的普及和广泛应用，网络环境下多样化的传播途径和复杂的应用环境给恶意软件的攻击和传播带来巨大便利，从而对网络系统整体安全及网络上主机的安全构成巨大威胁”[1]。“网络空间”几乎可与“现实空间”相当，两者构成了“双层社会”[2]，网络空间中甚至存在以往不曾出现在现实空间中的法律关系。因此，恶意软件极大地扰乱了网络空间中的秩序。

当前法学界对恶意软件已有诸多研究，对恶意软件的治理可以从大方向上分为两种进路。其一为制度建构，我国当前对恶意软件规制的立法薄弱，更明确地说，并无针对恶意软件的专门立法，从对恶意软件的定义到对恶意软件的查治，均交由行业自律。要发挥公权力的规制作用，首先应“填补空白，完善立法”[3]。构建恶意软件的规制模式，可借鉴比较法上已有的立法例，再加以本土化，寻找适合我国互联网生态环境的规制方式[4-5]，也可依据恶意软件的特征修正传统制度，如针对取证困难设置举证责任倒置制度[4]。进路之二则探讨在现有法律框架内规制恶意软件的方式，一般从侵犯个人合法权益的民法规制、破坏计算机信息系统安全的刑法规制、扰乱市场竞争秩序的行政法规制三大部门法角度分别讨论，分析发布恶意软件的行为是否具备了法律规定责任承担要件[6]。

当前的研究未能注意到，在研究恶意软件治理之前，首先应明确几个问题。第一，恶意软件的种类已超越了传统的认识，恶意软件的类型不仅限于市场上常见的广告软件、间谍软件、浏览器劫持等，在普通用户难以直接接触的平台，也同样存在破坏网络空间秩序的恶意软件，在界定恶意软件时，应当能够容纳这部分恶意软件类型。第二，为了让软件行业健康发展，治理恶意软件的同时应避免遏制软件行业的活力，当前以责任为主的强力治理方式尚未摆脱传统的法律规制模式，并不利于行业成长的长久之计，因此需要间接治理手段，留给行业自治空间。

二、恶意软件的重新界定

(一)当前规定对恶意软件的定义

目前在国家立法层面，我国对恶意软件的规定主要体现在《规范互联网信息服务市场秩序若干规定》《移动互联网应用程序信息服务管理规定》《公共互联网网络安全威胁监测与处置办法》。这些规范或有特定的出台背景[注]《规范互联网信息服务市场秩序若干规定》即以2010—2014年腾讯公司和奇虎360之间的“3Q大战”为出台背景，其规范恶意软件的目的主要是解决互联网信息服务提供商之间的不正当竞争，从条文中可以清晰地看出这一点，如第五条规定的“互联网信息服务提供者不得实施侵犯其他互联网信息服务提供者合法权益的行为”即是为了维护互联网信息服务市场的竞争秩序。，或仅针对小部分的软件类型[注]《移动互联网应用程序信息服务管理规定》仅管理在互联网应用商店上架的正规移动互联网应用程序。，或将目光着眼于威胁网络安全的恶意软件，然而，恶意软件的开发者远不止有经营资质的互联网信息服务提供商，更多的恶意软件游离于正式的软件市场之外，恶意软件的目标也不限于危害公共互联网网络安全。可以想见，当前立法势必遗漏当前的众多恶意软件类型。此外，当前立法对恶意软件的内涵认识并不一致，恶意软件可能被称为互联网信息服务提供商提供的产品[注]《规范互联网信息服务市场秩序若干规定》第五条即将互联网信息服务提供者提供的用以违反竞争秩序的恶意软件称为“产品”。，可能被称为恶意程序[注]《网络安全法》即采用恶意程序的称呼。，也可能包含有恶意程序及其他用以实施攻击行为的代码[注]《公共互联网网络安全威胁监测与处置办法》第二条即将网络资源、恶意程序、安全隐患或安全事件并列列举，意在分开恶意程序攻击和其他的恶意IP地址、恶意域名攻击等行为。，治理对象内涵的变动不居，会造成法律条文适用的模糊。

而在行业自律角度，以保护互联网用户权益为主要目的的规定主要体现为2006年中国互联网协会发布的《抵制恶意软自律公约》，其将恶意软件定义为“在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。”中国互联网协会又在2007年公布了《“恶意软件定义”细则》，明确实施“强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权和选择权”等八种行为之一的软件为恶意软件。上述两个规定的发布已是十数年前，当时将恶意软件的界定落脚于侵犯用户的知情权和选择权，但这仅仅是恶意软件的类型之一，治理当前的恶意软件已显无力。另外还需明确，互联网协会作为行业自治团体，仅能通过督促整改、公布恶意软件主体名单等措施实施监督，对恶意软件的遏制作用有限，事实上的效力赖于行业成员是否自觉遵守，在行业自治能力尚未能自足发展时，将难以发挥最佳作用。

单薄的立法目的、未及时更新的恶意软件定义已无法涵盖互联网上出现的种种用以实施违法行为为目的的软件，诸如恶意抢购(秒单)软件，实施的并非侵犯用户知情权和选择权的行为，也并非互联网信息服务提供商之间的不正当竞争行为，实践中出现的案件表明，受恶意软件侵害的主体提起救济请求，也只能以诸如《侵权责任法》《消费者权益保护法》《反不正当竞争法》等为依据[注]例如(2017)浙04刑终172号案例，法院以《中华人民共和国刑法》第二百八十五条规定的非法获取计算机信息系统数据罪作为裁判依据。。若要将现有的恶意软件类型均纳入监管，则需扩张恶意软件的定义。

(二)恶意软件的类型

为了全面认识当前的恶意软件类型，首先要了解互联网的基本架构。互联的基本架构是指网络空间之所以能被建构所依据的要素，以及数据在互联网上存储和流动的载体，包含了硬件和软件模块。

从网络空间到物理世界、从数据到用户，网络空间可以自上而下被分为数据存储与分析、物理层、传输协议/域名系统、内容层、应用程序、操作系统、硬件终端/传感器、用户等八层[7]。上文对恶意软件的界定，仅仅涉网络空间中“应用程序”，而在用户可直接感知和接触的环节之外，例如在用户不可见的云端、数据在传输过程中，均有可能遭受恶意软件的攻击。由此，在恶意软件攻击所引发的法律关系中，法律关系主体由用户与行为人，扩展至用户、互联网企业与行为人，而其中，用户可能与行为人重合，亦即用户利用恶意软件实施破坏互联网市场规则的行为；或互联网企业与行为人重合，亦即互联网企业利用恶意软件实施不正当竞争行为，恶意软件的类型比想象中更为复杂多样。

1.针对云计算和虚拟化网络的恶意软件。云计算平台以“虚拟机系统作为底层架构”，“以服务的形式为用户提供各种计算资源，……用户可以使用各种不同的客户端(如个人电脑、手机等)通过网络来访问云计算平台提供的服务”[8]。这种开放的、非私密性的访问方式，意味着平等地向不法行为人开放。在云计算平台中，除传统网络的攻击模式外，还存在新的形式，例如，就云计算平台存储的数据，用户仅有使用权，用户与互联网企业之间存在以数据为内容的租赁合同。因此，“在云计算平台中，出现了针对虚拟化架构的恶意攻击软件、交叉虚拟机侧信道攻击(cross VM side channels attack)和定向共享内存攻击等利用虚拟化体系结构的特点攻击云计算租户，甚至底层的虚拟监控机……针对云计算的按需计费模式，出现了欺骗性资源耗尽攻击(fraudulent resource consumption attack)”[1]。

2.针对数据传输的恶意软件。数据传输发生在物理层，以及两台通信的主机之间，攻击方式包括拒绝服务攻击(DOS)，即通过各种手段消耗网络带宽和系统资源，迫使算机或网络无法提供正常的服务，而分布式拒绝服务(DDoS)更是其中危害巨大的一种类型；中间人攻击，即侦听、窃取或者篡改传输中的信息等；HTTP、SCTP等传输协议则可能遭受地址窃取、关联截获、连接伪造等许多安全威胁。

3.针对内容层和应用程序的恶意软件。实践中，网络用户更为熟悉的恶意软件多属这种类型，如括特洛伊木马、间谍程序、病毒、蠕虫、僵尸邮件病毒、网络钓鱼、漏洞利用等。针对应用层的恶意软件有五个特点。(1)隐蔽性强：“可以长期潜伏在主机或服务器中窃取机密信息或者在既定的条件下爆发攻击”。(2)复杂多变、层出不穷：可以针对已有防护措施改良产生新的变种，而越来越多的应用层软件也给了恶意软件更多攻击的机会。(3)攻击时间短：“可以在很短时间内完成一次攻击”。(4)贴近用户，难于防范：“并不是所有网络用户都具有良好的安全意识”。(5)传统防火墙无法防范[9]。

4.针对物理设备的恶意软件。物理设备包含作为物理层媒体的架空明线、平衡电缆、光纤、无线信道，以及通信用的互联设备，如计算机、终端等。随着万物互联时代的到来，越来越多的物理设备改变传统的“孤岛”状态，与互联网相连，恶意软件的攻击范围继而也扩展至这些物理设备。而针对物联网平台的恶意软件，则可实施全方位攻击。“目前，普遍将物联网的体系架构分为三个层次：感知层、传输层和应用层。……物联网系统中，上述三个层次都存在各种恶意攻击模式如：(1)针对无线传感网，存在虚假路由信息、蠕动攻击等。(2)针对传输层安全，存在拒绝服务攻击、中间人攻击、异步攻击等。(3)而在物联网应用层，通常会收集和处理用户大量隐私数据，如个人信息、通讯薄、出行线路、消费习惯等，因此也存在针对网络服务设备的攻击”[1]。

(三)对恶意软件的新界定

上述整理表明，当下的恶意软件种类已经远远超越了当前规定中明确的类型，其危害的也不仅仅限于用户的知情权、选择权以及企业间的公平竞争，而是对网络空间的各个层级构成了威胁与挑战，用户以及互联网企业的财产权、隐私权、经营权，乃至网络空间的正义规则都可能受到侵害，恶意软件具有危害网络空间整体安全的性质。

界定恶意软件的最大难点在于恶意软件种类繁多，更为重要的是，随着网络平台的发展，网络空间不断扩展，新的法律关系不断生成，当前对恶意软件的界定应当有足够的开放性，从而能容纳未来出现的新的恶意软件类型。如此，可采用类型化的界定方式。“由有关的具体事务中区分出一般的特征、关系及比例，并个别赋予其名称”[10]，这些特征即被称为“要素”，在不同事务中，各要素出现的数量、结合的关系可有不同，但从要素组合的总体来看，均为可在法律上做同一评价的类别，将各类别以立法的形式固定下来，就是类型化立法。采用类型化立法的好处在于，避免了一一列举各个软件，借用要素来识别软件类型，更简单易行，只要待识别的软件具有一些要素，这些要素的组合足以使这一软件符合法定的某一类型，即可确定该软件属于一种恶意软件，而且各类型间无需有明确且固定的界限，一个恶意软件可能包含多种要素，那么其可归属于多个种类，不必受限于某一内涵固定的定义。另外，借助描述要素的方式，类型具有了开放性，当面对新的情形，通过识别要素，可以通过类推得出新的恶意软件类型，从而能够继续适用法规范，有效应对持续发展的互联网活动及层出不穷的恶意软件种类。识别恶意软件的要素，即是要抽象出各类恶意软件所有具有的共同且核心特征，这样的要素包括两点：(1)非用户期望运行的、怀有恶意目的或完成恶意功能的软件。(2)违背或破坏网络空间正当运行秩序、侵害用户正当权益的软件。

若描述要素的方式赋予了恶意软件界定的弹性和开放性，那么规范还应当具有一定的确定性，用以指引法律的适用，具体而言，规范还应当列举几种典型的恶意软件类型。分类可依照网络分层架构进行，即分为针对云计算和虚拟化网络的软件、针对数据传输的恶意软件、针对内容层和应用程序的恶意软件、针对物理设备的恶意软件等。分类也可以依照恶意软件的内容进行，即分为：(1)侵犯用户知情权和选择权的软件。前者未经用户同意，或未主动告知用户其全部功能即安装运行，有时甚至在后台采集用户信息、扣取资费、干扰正常软件的运行，传统的“浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑”几种软件类型即属此类；不遵循正常的安装、设置、卸载方式，传统的“强制安装、难以卸载”几种软件即属此类。(2)威胁计算机安全的软件。“计算机安全包含完整性、可用性和机密性。”完整性包含数据完整性和系统完整性，前者指“信息和程序只能通过指定的和授权的方式来改变”，后者指“系统以正确方式执行它的功能，且不会发生未经授权的操作。”“可用性是指信息在需要时系统能及时提供，并且不能拒绝为授权用户服务。”机密性包括数据机密性和隐私(Privacy)，前者指“私人的或机密的信息不能泄露给非授权的用户”，后者指“用户可以控制和影响与它们相关信息的收集、存储，以及能授权和指定其它用户访问”[8]。(3)被使用者作为违法犯罪工具的软件应被排除在恶意软件的范围之外。开发者开发此类软件时不具有非法目的，软件本是具备正常功能，只是被使用者作为盗窃、诈骗、破坏计算机信息系统等的工具。

三、恶意软件的治理主体和治理手段

从立法时间、数量以及内容上看，相较于飞速增长和变化的恶意软件，我国当前针对恶意软件的立法则显得滞后，更重要的是，以传统治理模式应对恶意软件，“不仅继承了行政立法的诸多弊端”，不符合“互联网发展客观规律”[11]的一面则反而可能给软件行业带来消极影响。

在立法上，自2000年起，与治理恶意软件以及包含恶意软件在内的互联网相关的立法陆续出台，总体而言，立法部门和行政主管部门已经意识到互联网管理的重要性，相关立法的数量并不少，与此同时，对恶意软件的治理往往被视作互联网治理的一部分。因此，就恶意软件而言，当前立法显得单薄且不具针对性，甚至于落入无法可依的境地。当前立法存在的主要问题及可能的修正至少有以下三个方面：

(一)缺乏专项立法，导致立法内容不全

可以看到，当前立法通常将对恶意软件的治理是基于不同立法目的进行分别立法，除了造成内容上的重复——在重复的部分甚至可能出现规定的冲突，也导致了内容不全。具体而言，从立法目的可以看出，多个规范均旨在保护权利，打击恶意软件，哪怕以“促进我国互联网的健康发展”为目的之一的《全国人民代表大会常务委员会关于维护互联网安全的决定》，以大半篇幅明确了不法行为人的刑事责任，这样的管制型立法，旨在以国家力量打击恶意软件，其中的关键即是国家资源的有效输出和对不法行为人的有效追责，依照这种思路治理恶意软件，可能走向两个极端：国家资源难以为继，对众多不法行为的治理沦为虚无，最终仍是放任软件行业无序发展；以刑事责任和行政责任为主要手段的治理方式，威慑的对象包含潜在的不法行为人和合法行为人，若要达到治理效果，既有可能因责任过于严苛而遏制行业发展。

究其原因，立法者在对待恶意软件时，仍将其视为单纯的不法行为，甚至只是不法行为得以实施的工具，而不是一个处于快速发展、日新月异中的独立行业的副产品。因此，在治理恶意软件时，除了保障网络空间的安全性和网络行为合法性，也必须注重给予行业发展以足够的空间。如此，我们需要针对恶意软件的专项、综合立法，除了融贯各部分立法以避免出现冲突，也是为了在一部法律中能兼顾软件行业的安全和发展，以达到促使软件行业健康发展的目的。

表1 恶意软件管理规范梳理

(二)以事后惩处为追责方式，治理手段单一

以刑事、行政、民事责任追责可以说是当前对恶意软件的仅有治理手段，用于许多行业的事前许可、登记均未应用在治理恶意软件上。事后规制即意味着从违法行为溯源违法行为人，然而，从事互联网恶意软件行为门槛极低，通过事后规制处罚的行为人相较于庞大的违法主体而言，数量寥寥无几。低查处率在一定程度上意味着违法行为的低成本，对违法行为人的威慑有限。从源头控制恶意软件的产生、在恶意软件传播使用的过程中及时查处、在损害结果发生后快速定位行为人，是恶意软件治理要实现的几个目标。

以与软件类似的网站为例，当前对网站的治理已形成较为完整的体系：“第一，在内容层，国家要求网站按照不同的服务种类分别进行许可或备案；由不同的主管机关对不同的线上内容进行管理；对用户和版主实行某种身份认证，从而保证线上内容合法与健康。第二，在物理层，国家要对虚拟主机和主机托管服务进行管理。第三，在代码层，国家要求所有网站登记其域名和IP地址，建立起庞大的域名与IP地址数据库，成为网站管理其他工作的基础。域名服务和接入服务，则通过过滤与封堵技术成为控制不良网站的最直接的手段”[7]。

因此，可参照网站治理，对恶意软件治理进行多阶段、多种类的监管。

首先，在软件发布阶段，对软件进行备案。由于软件开发门槛极低，新生的软件数量巨大，若对上市的软件进行审查必将耗费大量的行政资源，并且一款软件从开发到上市的周期可能极大地影响其在市场的竞争力，为了不影响软件行业的活力，因此对新生软件进行备案即可。备案目的有三：第一，确定开发者的身份，此举威慑潜在的不法行为，也有利于降低事后追查的成本，而对于正常软件开发者来说，实名制有利于保护其软件著作权。第二，明确软件的安装和卸载方式，督促软件开发者保护用户的知情权和选择权。第三，明确软件的功能，排除专为实现非法目的开发的软件。

其次，采取措施及时查处在传播和使用中的恶意软件。软件备案只能达到有限的效果，一方面，备案仅能过滤掉明显违法的恶意软件，大量附带了合法功能的恶意软件仍能顺利上市；另一方面，上市前的审查要求软件发布具有统一平台，但事实上难以真正实现，大部分恶意软件仍游离于软件市场外，仅是私人对私人的交易，难以被统一审查平台捕捉。因此，需对上市软件进行持续监管。第一，可通过专门的检测系统，检测软件特定页面是否包含备案号[7]，更好的落实软件备案。第二，可以采用关键词筛选、抽查等方式，针对恶意软件页面呈现的内容，过滤出恶意软件页面呈现出的而定关键词，配合“后台实名、前台自愿”的账号实名原则，及时地追查到发布、适用恶意软件的网络用户。第三，建立畅通的投诉、举报机制，为了增加行业自我监管的积极性，也为了给互联网企业和普通用户提供权利保护方式，主管部门应设立专门的投诉、举报受理部门，在官网上公示联系方式，并及时向投诉人、举报人通知调查的重大进展。

再次，增加新的法律责任形式。与此相关的，在处罚形式上，则要增加声誉惩戒机制，对开发、发布、适用恶意软件的，留存其违法记录，并关联个人信用记录。对于平台上发布的软件，声誉惩戒机制则另有良效，通过软件使用者的评分、评价，软件产品在软件市场上拥有一个综合评价，捆绑有私自收集用户信息、扣取资费、难以卸载等恶意功能的软件则会获得较低的评价，其他使用者即会根据此评价决定是否使用该软件。

(三)各部门治理范围重合

除去刑事追责不谈，治理恶意软件的主管机关为网信办以及工信部和各省、自治区、直辖市通信管理局各地(以下简称通信管理局)，其他诸如文化、新闻部门则在职权范围内实施监督管理，如此，即有可能存在网信办、通信管理局与其他部门职能重合的情形。此外，《中华人民共和国网络安全法》明确了对网络空间的治理分为统筹和具体实施两部分，前者由网信办实施，后者的执行主体主要为工信部[注]参见《网络安全法》第八条：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”，但颇令人疑惑的是，国务院于2004年授权网信办负责互联网信息内容管理，网信办承担了部分公共平台信息服务管理、互联网用户账号管理、移动互联网应用程序(APP)信息服务管理工作[注]《微博客信息服务管理规定》《互联网用户公众账号信息服务管理规定》等规范性文件有如此规定，载网信办网站http://www.cac.gov.cn/gfxwj.htm.(最后访问时间2018年9月13日)，此举则又增加了网信办、工信部、文化部等部门职能重叠的可能性。

同样的，若要解决这个问题，首要的还应当是出台针对软件行业的专门立法。当下的多头立法模式，在很大程度上将软件治理的内容交由各个部门确定，在部门职权并非截然分立的前提下，各部门实施的软件治理行为即存在重合。因此，若能够在一部针对软件行业的专门立法内，确定软件行业治理的各项内容，而后依照内容确定各个主管部门，将可以有效避免各部门治理范围重合的问题。

四、恶意软件的间接治理手段

间接治理则将目光从国家治理转向行业治理，指的主要是给予行业自治的空间，利用行业优势实施规制。

面对高速发展的互联网和软件行业，法律可能难以及时应变，面对难以计数且与日俱增的软件产品，行政资源无法做到面面俱到地审查和监管，此时势必要引导行业协会和互联网企业积极主动地展开自治。理论上讲，为了自身利益，互联网企业和行业协会愿意实施一定的自我规制。首先，企业自身可能是恶意软件的受害者，其本身即具有开发反恶意软件的软件(以下简称反恶软件)的需求；其次，深受恶意软件之害的普通互联网用户，即是互联网企业的潜在客户，也需要安装反恶软件，互联网企业开发的反恶软件可以自由在软件市场上发布、交易。私人主体兼具私益性与公益性，其并不以促进公共利益为目的，而从社会总体收益和秩序角度说来，互联网企业追求自身利益的同时，将会有效地促进软件行业的健康发展。只不过此处会产生新的问题，互联网公司可能会以开发反恶软件为名，行不正当竞争行为之实，“3Q大战”即是典型例子。因此，一方面要留给行业足够的空间实施自我规制，体现在立法上，即是条文内容不受限于传统的规则-责任模式，而要更多地向目标-原则模式倾斜。当前以责任为主的治理即是规则-责任模式，这种模式通过确定的规则将对软件行业的治理交由国家完成，规则是具体的，行为人应按照规则的要求履行义务，缺乏行业内协商的空间，而目标-原则模式则是以软件行业的健康为总体目标，将治理的部分内容通过原则立法的方式确定，原则是抽象的，其仅确定行为的核心要求，在核心要求之外，即存在协商和行业自由行动的空间。另一方面，立法需首先对恶意软件做出界定，预先给互联网企业划好“警戒线”。

五、结语

恶意软件同存在于现实空间中的不法行为一样，总是“春风吹又生”，对其进行治理的前提是借用类型化立法重新界定恶意软件，而一种有效的治理模式应当是在法律已经建立良好的治理框架之下，由国家治理和行业自治协同发挥作用，在规范之外，则要依靠技术升级对恶意软件进行防范和对抗，最终的目标即是能做到有效预防、及时查处、高效追责。遗憾的是，我国当前仍处在治理恶意软件的第一步，无论是法律层面的制度建设，还是行业自律的成熟性，均属起步阶段，而到软件行业能够健康发展，更是任重道远。