惡意軟件的界定與治理

，

(浙江大學 光華法學院，杭州 310008)

一、問題的提出

隨著網(wǎng)絡技術的發(fā)展，互聯(lián)網(wǎng)正越來越廣泛、越來越深入地影響人們的生產(chǎn)和生活，而另一方面，技術的發(fā)展為不法行為提供了新的生存空間，惡意軟件的極速增長即是其中的典型?！半S著互聯(lián)網(wǎng)的普及和廣泛應用，網(wǎng)絡環(huán)境下多樣化的傳播途徑和復雜的應用環(huán)境給惡意軟件的攻擊和傳播帶來巨大便利，從而對網(wǎng)絡系統(tǒng)整體安全及網(wǎng)絡上主機的安全構成巨大威脅”[1]?！熬W(wǎng)絡空間”幾乎可與“現(xiàn)實空間”相當，兩者構成了“雙層社會”[2]，網(wǎng)絡空間中甚至存在以往不曾出現(xiàn)在現(xiàn)實空間中的法律關系。因此，惡意軟件極大地擾亂了網(wǎng)絡空間中的秩序。

當前法學界對惡意軟件已有諸多研究，對惡意軟件的治理可以從大方向上分為兩種進路。其一為制度建構，我國當前對惡意軟件規(guī)制的立法薄弱，更明確地說，并無針對惡意軟件的專門立法，從對惡意軟件的定義到對惡意軟件的查治，均交由行業(yè)自律。要發(fā)揮公權力的規(guī)制作用，首先應“填補空白，完善立法”[3]。構建惡意軟件的規(guī)制模式，可借鑒比較法上已有的立法例，再加以本土化，尋找適合我國互聯(lián)網(wǎng)生態(tài)環(huán)境的規(guī)制方式[4-5]，也可依據(jù)惡意軟件的特征修正傳統(tǒng)制度，如針對取證困難設置舉證責任倒置制度[4]。進路之二則探討在現(xiàn)有法律框架內規(guī)制惡意軟件的方式，一般從侵犯個人合法權益的民法規(guī)制、破壞計算機信息系統(tǒng)安全的刑法規(guī)制、擾亂市場競爭秩序的行政法規(guī)制三大部門法角度分別討論，分析發(fā)布惡意軟件的行為是否具備了法律規(guī)定責任承擔要件[6]。

當前的研究未能注意到，在研究惡意軟件治理之前，首先應明確幾個問題。第一，惡意軟件的種類已超越了傳統(tǒng)的認識，惡意軟件的類型不僅限于市場上常見的廣告軟件、間諜軟件、瀏覽器劫持等，在普通用戶難以直接接觸的平臺，也同樣存在破壞網(wǎng)絡空間秩序的惡意軟件，在界定惡意軟件時，應當能夠容納這部分惡意軟件類型。第二，為了讓軟件行業(yè)健康發(fā)展，治理惡意軟件的同時應避免遏制軟件行業(yè)的活力，當前以責任為主的強力治理方式尚未擺脫傳統(tǒng)的法律規(guī)制模式，并不利于行業(yè)成長的長久之計，因此需要間接治理手段，留給行業(yè)自治空間。

二、惡意軟件的重新界定

(一)當前規(guī)定對惡意軟件的定義

目前在國家立法層面，我國對惡意軟件的規(guī)定主要體現(xiàn)在《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅監(jiān)測與處置辦法》。這些規(guī)范或有特定的出臺背景[注]《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》即以2010—2014年騰訊公司和奇虎360之間的“3Q大戰(zhàn)”為出臺背景，其規(guī)范惡意軟件的目的主要是解決互聯(lián)網(wǎng)信息服務提供商之間的不正當競爭，從條文中可以清晰地看出這一點，如第五條規(guī)定的“互聯(lián)網(wǎng)信息服務提供者不得實施侵犯其他互聯(lián)網(wǎng)信息服務提供者合法權益的行為”即是為了維護互聯(lián)網(wǎng)信息服務市場的競爭秩序。，或僅針對小部分的軟件類型[注]《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》僅管理在互聯(lián)網(wǎng)應用商店上架的正規(guī)移動互聯(lián)網(wǎng)應用程序。，或將目光著眼于威脅網(wǎng)絡安全的惡意軟件，然而，惡意軟件的開發(fā)者遠不止有經(jīng)營資質的互聯(lián)網(wǎng)信息服務提供商，更多的惡意軟件游離于正式的軟件市場之外，惡意軟件的目標也不限于危害公共互聯(lián)網(wǎng)網(wǎng)絡安全?？梢韵胍?，當前立法勢必遺漏當前的眾多惡意軟件類型。此外，當前立法對惡意軟件的內涵認識并不一致，惡意軟件可能被稱為互聯(lián)網(wǎng)信息服務提供商提供的產(chǎn)品[注]《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》第五條即將互聯(lián)網(wǎng)信息服務提供者提供的用以違反競爭秩序的惡意軟件稱為“產(chǎn)品”。，可能被稱為惡意程序[注]《網(wǎng)絡安全法》即采用惡意程序的稱呼。，也可能包含有惡意程序及其他用以實施攻擊行為的代碼[注]《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅監(jiān)測與處置辦法》第二條即將網(wǎng)絡資源、惡意程序、安全隱患或安全事件并列列舉，意在分開惡意程序攻擊和其他的惡意IP地址、惡意域名攻擊等行為。，治理對象內涵的變動不居，會造成法律條文適用的模糊。

而在行業(yè)自律角度，以保護互聯(lián)網(wǎng)用戶權益為主要目的的規(guī)定主要體現(xiàn)為2006年中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《抵制惡意軟自律公約》，其將惡意軟件定義為“在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機病毒?！敝袊ヂ?lián)網(wǎng)協(xié)會又在2007年公布了《“惡意軟件定義”細則》，明確實施“強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁、其他侵犯用戶知情權和選擇權”等八種行為之一的軟件為惡意軟件。上述兩個規(guī)定的發(fā)布已是十數(shù)年前，當時將惡意軟件的界定落腳于侵犯用戶的知情權和選擇權，但這僅僅是惡意軟件的類型之一，治理當前的惡意軟件已顯無力。另外還需明確，互聯(lián)網(wǎng)協(xié)會作為行業(yè)自治團體，僅能通過督促整改、公布惡意軟件主體名單等措施實施監(jiān)督，對惡意軟件的遏制作用有限，事實上的效力賴于行業(yè)成員是否自覺遵守，在行業(yè)自治能力尚未能自足發(fā)展時，將難以發(fā)揮最佳作用。

單薄的立法目的、未及時更新的惡意軟件定義已無法涵蓋互聯(lián)網(wǎng)上出現(xiàn)的種種用以實施違法行為為目的的軟件，諸如惡意搶購(秒單)軟件，實施的并非侵犯用戶知情權和選擇權的行為，也并非互聯(lián)網(wǎng)信息服務提供商之間的不正當競爭行為，實踐中出現(xiàn)的案件表明，受惡意軟件侵害的主體提起救濟請求，也只能以諸如《侵權責任法》《消費者權益保護法》《反不正當競爭法》等為依據(jù)[注]例如(2017)浙04刑終172號案例，法院以《中華人民共和國刑法》第二百八十五條規(guī)定的非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪作為裁判依據(jù)。。若要將現(xiàn)有的惡意軟件類型均納入監(jiān)管，則需擴張惡意軟件的定義。

(二)惡意軟件的類型

為了全面認識當前的惡意軟件類型，首先要了解互聯(lián)網(wǎng)的基本架構。互聯(lián)的基本架構是指網(wǎng)絡空間之所以能被建構所依據(jù)的要素，以及數(shù)據(jù)在互聯(lián)網(wǎng)上存儲和流動的載體，包含了硬件和軟件模塊。

從網(wǎng)絡空間到物理世界、從數(shù)據(jù)到用戶，網(wǎng)絡空間可以自上而下被分為數(shù)據(jù)存儲與分析、物理層、傳輸協(xié)議/域名系統(tǒng)、內容層、應用程序、操作系統(tǒng)、硬件終端/傳感器、用戶等八層[7]。上文對惡意軟件的界定，僅僅涉網(wǎng)絡空間中“應用程序”，而在用戶可直接感知和接觸的環(huán)節(jié)之外，例如在用戶不可見的云端、數(shù)據(jù)在傳輸過程中，均有可能遭受惡意軟件的攻擊。由此，在惡意軟件攻擊所引發(fā)的法律關系中，法律關系主體由用戶與行為人，擴展至用戶、互聯(lián)網(wǎng)企業(yè)與行為人，而其中，用戶可能與行為人重合，亦即用戶利用惡意軟件實施破壞互聯(lián)網(wǎng)市場規(guī)則的行為；或互聯(lián)網(wǎng)企業(yè)與行為人重合，亦即互聯(lián)網(wǎng)企業(yè)利用惡意軟件實施不正當競爭行為，惡意軟件的類型比想象中更為復雜多樣。

1.針對云計算和虛擬化網(wǎng)絡的惡意軟件。云計算平臺以“虛擬機系統(tǒng)作為底層架構”，“以服務的形式為用戶提供各種計算資源，……用戶可以使用各種不同的客戶端(如個人電腦、手機等)通過網(wǎng)絡來訪問云計算平臺提供的服務”[8]。這種開放的、非私密性的訪問方式，意味著平等地向不法行為人開放。在云計算平臺中，除傳統(tǒng)網(wǎng)絡的攻擊模式外，還存在新的形式，例如，就云計算平臺存儲的數(shù)據(jù)，用戶僅有使用權，用戶與互聯(lián)網(wǎng)企業(yè)之間存在以數(shù)據(jù)為內容的租賃合同。因此，“在云計算平臺中，出現(xiàn)了針對虛擬化架構的惡意攻擊軟件、交叉虛擬機側信道攻擊(cross VM side channels attack)和定向共享內存攻擊等利用虛擬化體系結構的特點攻擊云計算租戶，甚至底層的虛擬監(jiān)控機……針對云計算的按需計費模式，出現(xiàn)了欺騙性資源耗盡攻擊(fraudulent resource consumption attack)”[1]。

2.針對數(shù)據(jù)傳輸?shù)膼阂廛浖?。?shù)據(jù)傳輸發(fā)生在物理層，以及兩臺通信的主機之間，攻擊方式包括拒絕服務攻擊(DOS)，即通過各種手段消耗網(wǎng)絡帶寬和系統(tǒng)資源，迫使算機或網(wǎng)絡無法提供正常的服務，而分布式拒絕服務(DDoS)更是其中危害巨大的一種類型；中間人攻擊，即偵聽、竊取或者篡改傳輸中的信息等；HTTP、SCTP等傳輸協(xié)議則可能遭受地址竊取、關聯(lián)截獲、連接偽造等許多安全威脅。

3.針對內容層和應用程序的惡意軟件。實踐中，網(wǎng)絡用戶更為熟悉的惡意軟件多屬這種類型，如括特洛伊木馬、間諜程序、病毒、蠕蟲、僵尸郵件病毒、網(wǎng)絡釣魚、漏洞利用等。針對應用層的惡意軟件有五個特點。(1)隱蔽性強：“可以長期潛伏在主機或服務器中竊取機密信息或者在既定的條件下爆發(fā)攻擊”。(2)復雜多變、層出不窮：可以針對已有防護措施改良產(chǎn)生新的變種，而越來越多的應用層軟件也給了惡意軟件更多攻擊的機會。(3)攻擊時間短：“可以在很短時間內完成一次攻擊”。(4)貼近用戶，難于防范：“并不是所有網(wǎng)絡用戶都具有良好的安全意識”。(5)傳統(tǒng)防火墻無法防范[9]。

4.針對物理設備的惡意軟件。物理設備包含作為物理層媒體的架空明線、平衡電纜、光纖、無線信道，以及通信用的互聯(lián)設備，如計算機、終端等。隨著萬物互聯(lián)時代的到來，越來越多的物理設備改變傳統(tǒng)的“孤島”狀態(tài)，與互聯(lián)網(wǎng)相連，惡意軟件的攻擊范圍繼而也擴展至這些物理設備。而針對物聯(lián)網(wǎng)平臺的惡意軟件，則可實施全方位攻擊?！澳壳?，普遍將物聯(lián)網(wǎng)的體系架構分為三個層次：感知層、傳輸層和應用層?！锫?lián)網(wǎng)系統(tǒng)中，上述三個層次都存在各種惡意攻擊模式如：(1)針對無線傳感網(wǎng)，存在虛假路由信息、蠕動攻擊等。(2)針對傳輸層安全，存在拒絕服務攻擊、中間人攻擊、異步攻擊等。(3)而在物聯(lián)網(wǎng)應用層，通常會收集和處理用戶大量隱私數(shù)據(jù)，如個人信息、通訊薄、出行線路、消費習慣等，因此也存在針對網(wǎng)絡服務設備的攻擊”[1]。

(三)對惡意軟件的新界定

上述整理表明，當下的惡意軟件種類已經(jīng)遠遠超越了當前規(guī)定中明確的類型，其危害的也不僅僅限于用戶的知情權、選擇權以及企業(yè)間的公平競爭，而是對網(wǎng)絡空間的各個層級構成了威脅與挑戰(zhàn)，用戶以及互聯(lián)網(wǎng)企業(yè)的財產(chǎn)權、隱私權、經(jīng)營權，乃至網(wǎng)絡空間的正義規(guī)則都可能受到侵害，惡意軟件具有危害網(wǎng)絡空間整體安全的性質。

界定惡意軟件的最大難點在于惡意軟件種類繁多，更為重要的是，隨著網(wǎng)絡平臺的發(fā)展，網(wǎng)絡空間不斷擴展，新的法律關系不斷生成，當前對惡意軟件的界定應當有足夠的開放性，從而能容納未來出現(xiàn)的新的惡意軟件類型。如此，可采用類型化的界定方式。“由有關的具體事務中區(qū)分出一般的特征、關系及比例，并個別賦予其名稱”[10]，這些特征即被稱為“要素”，在不同事務中，各要素出現(xiàn)的數(shù)量、結合的關系可有不同，但從要素組合的總體來看，均為可在法律上做同一評價的類別，將各類別以立法的形式固定下來，就是類型化立法。采用類型化立法的好處在于，避免了一一列舉各個軟件，借用要素來識別軟件類型，更簡單易行，只要待識別的軟件具有一些要素，這些要素的組合足以使這一軟件符合法定的某一類型，即可確定該軟件屬于一種惡意軟件，而且各類型間無需有明確且固定的界限，一個惡意軟件可能包含多種要素，那么其可歸屬于多個種類，不必受限于某一內涵固定的定義。另外，借助描述要素的方式，類型具有了開放性，當面對新的情形，通過識別要素，可以通過類推得出新的惡意軟件類型，從而能夠繼續(xù)適用法規(guī)范，有效應對持續(xù)發(fā)展的互聯(lián)網(wǎng)活動及層出不窮的惡意軟件種類。識別惡意軟件的要素，即是要抽象出各類惡意軟件所有具有的共同且核心特征，這樣的要素包括兩點：(1)非用戶期望運行的、懷有惡意目的或完成惡意功能的軟件。(2)違背或破壞網(wǎng)絡空間正當運行秩序、侵害用戶正當權益的軟件。

若描述要素的方式賦予了惡意軟件界定的彈性和開放性，那么規(guī)范還應當具有一定的確定性，用以指引法律的適用，具體而言，規(guī)范還應當列舉幾種典型的惡意軟件類型。分類可依照網(wǎng)絡分層架構進行，即分為針對云計算和虛擬化網(wǎng)絡的軟件、針對數(shù)據(jù)傳輸?shù)膼阂廛浖⑨槍热輰雍蛻贸绦虻膼阂廛浖?、針對物理設備的惡意軟件等。分類也可以依照惡意軟件的內容進行，即分為：(1)侵犯用戶知情權和選擇權的軟件。前者未經(jīng)用戶同意，或未主動告知用戶其全部功能即安裝運行，有時甚至在后臺采集用戶信息、扣取資費、干擾正常軟件的運行，傳統(tǒng)的“瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁”幾種軟件類型即屬此類；不遵循正常的安裝、設置、卸載方式，傳統(tǒng)的“強制安裝、難以卸載”幾種軟件即屬此類。(2)威脅計算機安全的軟件?！坝嬎銠C安全包含完整性、可用性和機密性。”完整性包含數(shù)據(jù)完整性和系統(tǒng)完整性，前者指“信息和程序只能通過指定的和授權的方式來改變”，后者指“系統(tǒng)以正確方式執(zhí)行它的功能，且不會發(fā)生未經(jīng)授權的操作。”“可用性是指信息在需要時系統(tǒng)能及時提供，并且不能拒絕為授權用戶服務?！睓C密性包括數(shù)據(jù)機密性和隱私(Privacy)，前者指“私人的或機密的信息不能泄露給非授權的用戶”，后者指“用戶可以控制和影響與它們相關信息的收集、存儲，以及能授權和指定其它用戶訪問”[8]。(3)被使用者作為違法犯罪工具的軟件應被排除在惡意軟件的范圍之外。開發(fā)者開發(fā)此類軟件時不具有非法目的，軟件本是具備正常功能，只是被使用者作為盜竊、詐騙、破壞計算機信息系統(tǒng)等的工具。

三、惡意軟件的治理主體和治理手段

從立法時間、數(shù)量以及內容上看，相較于飛速增長和變化的惡意軟件，我國當前針對惡意軟件的立法則顯得滯后，更重要的是，以傳統(tǒng)治理模式應對惡意軟件，“不僅繼承了行政立法的諸多弊端”，不符合“互聯(lián)網(wǎng)發(fā)展客觀規(guī)律”[11]的一面則反而可能給軟件行業(yè)帶來消極影響。

在立法上，自2000年起，與治理惡意軟件以及包含惡意軟件在內的互聯(lián)網(wǎng)相關的立法陸續(xù)出臺，總體而言，立法部門和行政主管部門已經(jīng)意識到互聯(lián)網(wǎng)管理的重要性，相關立法的數(shù)量并不少，與此同時，對惡意軟件的治理往往被視作互聯(lián)網(wǎng)治理的一部分。因此，就惡意軟件而言，當前立法顯得單薄且不具針對性，甚至于落入無法可依的境地。當前立法存在的主要問題及可能的修正至少有以下三個方面：

(一)缺乏專項立法，導致立法內容不全

可以看到，當前立法通常將對惡意軟件的治理是基于不同立法目的進行分別立法，除了造成內容上的重復——在重復的部分甚至可能出現(xiàn)規(guī)定的沖突，也導致了內容不全。具體而言，從立法目的可以看出，多個規(guī)范均旨在保護權利，打擊惡意軟件，哪怕以“促進我國互聯(lián)網(wǎng)的健康發(fā)展”為目的之一的《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定》，以大半篇幅明確了不法行為人的刑事責任，這樣的管制型立法，旨在以國家力量打擊惡意軟件，其中的關鍵即是國家資源的有效輸出和對不法行為人的有效追責，依照這種思路治理惡意軟件，可能走向兩個極端：國家資源難以為繼，對眾多不法行為的治理淪為虛無，最終仍是放任軟件行業(yè)無序發(fā)展；以刑事責任和行政責任為主要手段的治理方式，威懾的對象包含潛在的不法行為人和合法行為人，若要達到治理效果，既有可能因責任過于嚴苛而遏制行業(yè)發(fā)展。

究其原因，立法者在對待惡意軟件時，仍將其視為單純的不法行為，甚至只是不法行為得以實施的工具，而不是一個處于快速發(fā)展、日新月異中的獨立行業(yè)的副產(chǎn)品。因此，在治理惡意軟件時，除了保障網(wǎng)絡空間的安全性和網(wǎng)絡行為合法性，也必須注重給予行業(yè)發(fā)展以足夠的空間。如此，我們需要針對惡意軟件的專項、綜合立法，除了融貫各部分立法以避免出現(xiàn)沖突，也是為了在一部法律中能兼顧軟件行業(yè)的安全和發(fā)展，以達到促使軟件行業(yè)健康發(fā)展的目的。

表1 惡意軟件管理規(guī)范梳理

(二)以事后懲處為追責方式，治理手段單一

以刑事、行政、民事責任追責可以說是當前對惡意軟件的僅有治理手段，用于許多行業(yè)的事前許可、登記均未應用在治理惡意軟件上。事后規(guī)制即意味著從違法行為溯源違法行為人，然而，從事互聯(lián)網(wǎng)惡意軟件行為門檻極低，通過事后規(guī)制處罰的行為人相較于龐大的違法主體而言，數(shù)量寥寥無幾。低查處率在一定程度上意味著違法行為的低成本，對違法行為人的威懾有限。從源頭控制惡意軟件的產(chǎn)生、在惡意軟件傳播使用的過程中及時查處、在損害結果發(fā)生后快速定位行為人，是惡意軟件治理要實現(xiàn)的幾個目標。

以與軟件類似的網(wǎng)站為例，當前對網(wǎng)站的治理已形成較為完整的體系：“第一，在內容層，國家要求網(wǎng)站按照不同的服務種類分別進行許可或備案；由不同的主管機關對不同的線上內容進行管理；對用戶和版主實行某種身份認證，從而保證線上內容合法與健康。第二，在物理層，國家要對虛擬主機和主機托管服務進行管理。第三，在代碼層，國家要求所有網(wǎng)站登記其域名和IP地址，建立起龐大的域名與IP地址數(shù)據(jù)庫，成為網(wǎng)站管理其他工作的基礎。域名服務和接入服務，則通過過濾與封堵技術成為控制不良網(wǎng)站的最直接的手段”[7]。

因此，可參照網(wǎng)站治理，對惡意軟件治理進行多階段、多種類的監(jiān)管。

首先，在軟件發(fā)布階段，對軟件進行備案。由于軟件開發(fā)門檻極低，新生的軟件數(shù)量巨大，若對上市的軟件進行審查必將耗費大量的行政資源，并且一款軟件從開發(fā)到上市的周期可能極大地影響其在市場的競爭力，為了不影響軟件行業(yè)的活力，因此對新生軟件進行備案即可。備案目的有三：第一，確定開發(fā)者的身份，此舉威懾潛在的不法行為，也有利于降低事后追查的成本，而對于正常軟件開發(fā)者來說，實名制有利于保護其軟件著作權。第二，明確軟件的安裝和卸載方式，督促軟件開發(fā)者保護用戶的知情權和選擇權。第三，明確軟件的功能，排除專為實現(xiàn)非法目的開發(fā)的軟件。

其次，采取措施及時查處在傳播和使用中的惡意軟件。軟件備案只能達到有限的效果，一方面，備案僅能過濾掉明顯違法的惡意軟件，大量附帶了合法功能的惡意軟件仍能順利上市；另一方面，上市前的審查要求軟件發(fā)布具有統(tǒng)一平臺，但事實上難以真正實現(xiàn)，大部分惡意軟件仍游離于軟件市場外，僅是私人對私人的交易，難以被統(tǒng)一審查平臺捕捉。因此，需對上市軟件進行持續(xù)監(jiān)管。第一，可通過專門的檢測系統(tǒng)，檢測軟件特定頁面是否包含備案號[7]，更好的落實軟件備案。第二，可以采用關鍵詞篩選、抽查等方式，針對惡意軟件頁面呈現(xiàn)的內容，過濾出惡意軟件頁面呈現(xiàn)出的而定關鍵詞，配合“后臺實名、前臺自愿”的賬號實名原則，及時地追查到發(fā)布、適用惡意軟件的網(wǎng)絡用戶。第三，建立暢通的投訴、舉報機制，為了增加行業(yè)自我監(jiān)管的積極性，也為了給互聯(lián)網(wǎng)企業(yè)和普通用戶提供權利保護方式，主管部門應設立專門的投訴、舉報受理部門，在官網(wǎng)上公示聯(lián)系方式，并及時向投訴人、舉報人通知調查的重大進展。

再次，增加新的法律責任形式。與此相關的，在處罰形式上，則要增加聲譽懲戒機制，對開發(fā)、發(fā)布、適用惡意軟件的，留存其違法記錄，并關聯(lián)個人信用記錄。對于平臺上發(fā)布的軟件，聲譽懲戒機制則另有良效，通過軟件使用者的評分、評價，軟件產(chǎn)品在軟件市場上擁有一個綜合評價，捆綁有私自收集用戶信息、扣取資費、難以卸載等惡意功能的軟件則會獲得較低的評價，其他使用者即會根據(jù)此評價決定是否使用該軟件。

(三)各部門治理范圍重合

除去刑事追責不談，治理惡意軟件的主管機關為網(wǎng)信辦以及工信部和各省、自治區(qū)、直轄市通信管理局各地(以下簡稱通信管理局)，其他諸如文化、新聞部門則在職權范圍內實施監(jiān)督管理，如此，即有可能存在網(wǎng)信辦、通信管理局與其他部門職能重合的情形。此外，《中華人民共和國網(wǎng)絡安全法》明確了對網(wǎng)絡空間的治理分為統(tǒng)籌和具體實施兩部分，前者由網(wǎng)信辦實施，后者的執(zhí)行主體主要為工信部[注]參見《網(wǎng)絡安全法》第八條：“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網(wǎng)絡安全保護和監(jiān)督管理工作?！保H令人疑惑的是，國務院于2004年授權網(wǎng)信辦負責互聯(lián)網(wǎng)信息內容管理，網(wǎng)信辦承擔了部分公共平臺信息服務管理、互聯(lián)網(wǎng)用戶賬號管理、移動互聯(lián)網(wǎng)應用程序(APP)信息服務管理工作[注]《微博客信息服務管理規(guī)定》《互聯(lián)網(wǎng)用戶公眾賬號信息服務管理規(guī)定》等規(guī)范性文件有如此規(guī)定，載網(wǎng)信辦網(wǎng)站http://www.cac.gov.cn/gfxwj.htm.(最后訪問時間2018年9月13日)，此舉則又增加了網(wǎng)信辦、工信部、文化部等部門職能重疊的可能性。

同樣的，若要解決這個問題，首要的還應當是出臺針對軟件行業(yè)的專門立法。當下的多頭立法模式，在很大程度上將軟件治理的內容交由各個部門確定，在部門職權并非截然分立的前提下，各部門實施的軟件治理行為即存在重合。因此，若能夠在一部針對軟件行業(yè)的專門立法內，確定軟件行業(yè)治理的各項內容，而后依照內容確定各個主管部門，將可以有效避免各部門治理范圍重合的問題。

四、惡意軟件的間接治理手段

間接治理則將目光從國家治理轉向行業(yè)治理，指的主要是給予行業(yè)自治的空間，利用行業(yè)優(yōu)勢實施規(guī)制。

面對高速發(fā)展的互聯(lián)網(wǎng)和軟件行業(yè)，法律可能難以及時應變，面對難以計數(shù)且與日俱增的軟件產(chǎn)品，行政資源無法做到面面俱到地審查和監(jiān)管，此時勢必要引導行業(yè)協(xié)會和互聯(lián)網(wǎng)企業(yè)積極主動地展開自治。理論上講，為了自身利益，互聯(lián)網(wǎng)企業(yè)和行業(yè)協(xié)會愿意實施一定的自我規(guī)制。首先，企業(yè)自身可能是惡意軟件的受害者，其本身即具有開發(fā)反惡意軟件的軟件(以下簡稱反惡軟件)的需求；其次，深受惡意軟件之害的普通互聯(lián)網(wǎng)用戶，即是互聯(lián)網(wǎng)企業(yè)的潛在客戶，也需要安裝反惡軟件，互聯(lián)網(wǎng)企業(yè)開發(fā)的反惡軟件可以自由在軟件市場上發(fā)布、交易。私人主體兼具私益性與公益性，其并不以促進公共利益為目的，而從社會總體收益和秩序角度說來，互聯(lián)網(wǎng)企業(yè)追求自身利益的同時，將會有效地促進軟件行業(yè)的健康發(fā)展。只不過此處會產(chǎn)生新的問題，互聯(lián)網(wǎng)公司可能會以開發(fā)反惡軟件為名，行不正當競爭行為之實，“3Q大戰(zhàn)”即是典型例子。因此，一方面要留給行業(yè)足夠的空間實施自我規(guī)制，體現(xiàn)在立法上，即是條文內容不受限于傳統(tǒng)的規(guī)則-責任模式，而要更多地向目標-原則模式傾斜。當前以責任為主的治理即是規(guī)則-責任模式，這種模式通過確定的規(guī)則將對軟件行業(yè)的治理交由國家完成，規(guī)則是具體的，行為人應按照規(guī)則的要求履行義務，缺乏行業(yè)內協(xié)商的空間，而目標-原則模式則是以軟件行業(yè)的健康為總體目標，將治理的部分內容通過原則立法的方式確定，原則是抽象的，其僅確定行為的核心要求，在核心要求之外，即存在協(xié)商和行業(yè)自由行動的空間。另一方面，立法需首先對惡意軟件做出界定，預先給互聯(lián)網(wǎng)企業(yè)劃好“警戒線”。

五、結語

惡意軟件同存在于現(xiàn)實空間中的不法行為一樣，總是“春風吹又生”，對其進行治理的前提是借用類型化立法重新界定惡意軟件，而一種有效的治理模式應當是在法律已經(jīng)建立良好的治理框架之下，由國家治理和行業(yè)自治協(xié)同發(fā)揮作用，在規(guī)范之外，則要依靠技術升級對惡意軟件進行防范和對抗，最終的目標即是能做到有效預防、及時查處、高效追責。遺憾的是，我國當前仍處在治理惡意軟件的第一步，無論是法律層面的制度建設，還是行業(yè)自律的成熟性，均屬起步階段，而到軟件行業(yè)能夠健康發(fā)展，更是任重道遠。