簡介

2017年5月12日，全球多間公司（據報導超過20萬部電腦，數目仍在增加）受到惡意軟件「Wannacry」的廣泛攻擊。本文將解釋「Wannacry」是甚麼，以及遭受攻擊後可依據甚麼法律追究責任。

背景

「Wannacry」是一種「勒索軟件」，即通常透過垃圾電郵（釣魚電郵）及惡意連結（超連結附件或網站URL地址）傳播電腦病毒的惡意軟件。勒索軟件會將受害者電腦、硬碟機或伺服器中的檔案加密（將數據變成無意義的字符及代碼），令受害者無法取用，從而要求受害者支付100至1,000美元不等的贖金，以解密檔案使其恢復到原來的可讀取狀態。

受害者通常被要求以數碼貨幣比特幣（Bitcoin）（一種很難追踪的互聯網加密貨幣或數碼貨幣）支付贖金。電腦或伺服器的檔案一旦被加密，如沒有解密匙，幾乎無法解密。因此，除非受害人已將數據備份，否則只得就範，向勒索者支付贖金。

刑事及民事法律依據

刑事法律依據

《盜竊罪條例》（香港法例第210章）第23條訂明，任何人為求獲益或使另一人遭受損失而以恫嚇的方式作出不當要求，即干犯勒索罪：「任何人如為使自己或另一人獲益，或意圖使另一人遭受損失，而以恫嚇的方式作出任何不當的要求，即屬犯勒索罪。」

因此，根據香港法例，威脅加密或刪除受害者的電腦檔案，不當地要求支付贖金或比特幣的行為屬刑事罪行。

安裝勒索軟件的行為亦違反《刑事罪行條例》（香港法例第200章）中涉及「有犯罪或不誠實意圖而取用電腦」的條文：

任何人有下述意圖或目的（不論是在取用電腦的同時或在日後任何時間）而取用電腦，即屬犯罪：

• 意圖犯罪；
• 不誠實地意圖欺騙；
• 目的在於使其本人或他人不誠實地獲益；或
• 不誠實地意圖導致他人蒙受損失。

勒索案的犯案者可能身處其他司法管轄區，但這並不代表香港沒有司法管轄權：根據《刑事司法管轄權條例》（香港法例第461章），如果勒索罪行的元素在香港發生，即使犯案者不在香港或並非香港市民，香港法院及執法部門仍有權追究犯案者的刑事責任。

民事法例依據

遇到勒索軟件的威脅及勒索，受害者亦可根據民事侵權法，控告犯案者蓄意以非法手段造成傷害的侵權行為。然而，要確定犯案者身分和證明案情將會相當困難。

防範勒索軟件

數據一旦被勒索軟件加密便幾乎無法解密，因此電腦用戶應採取措施，避免成為勒索軟件的受害者：

• 使用防毒軟件並及時更新修補程式。
• 不要打開電郵中的任何可疑連結或附件。
• 定期將電腦及伺服器中的數據備份，並將備份檔案離線儲存，那麼即使數據被鎖，數據仍有備份。
• 向執法部門報案。

總結

勒索軟件攻擊可令企業無法使用任何客戶或業務數據來經營業務，令業務運作大受影響，更可能令公司聲譽受損及失信於客戶。

雖然支付贖金與否屬受影響公司或個人的決定，但世界各地的執法機關均建議受害者不要支付贖金，因為即使支付了贖金，也不保證被鎖的檔案會被解密，而且這樣會鼓勵網絡罪犯繼續勒索。網絡勒索亦可能涉及洗黑錢問題，須向有關當局舉報，因此受害者不應支付贖金。企業及個人應著重預防措施，提高員工對網絡勒索的警覺。

如有查詢，請聯絡我們的訴訟及調解爭議部門：

E: criminal@onc.hk                                                             

W: www.onc.hk                                                                   

T: (852) 2810 1212

F: (852) 2804 6311

香港中環康樂廣場8號交易廣場第三期19樓

注意：以上內容涉及十分專門和複雜的法律知識或法律程序。本篇文章僅是對有關題目的一般概述，只供參考，不能作為任何個別案件的法律意見。如需進一步的法律諮詢或協助，請聯絡我們的律師。