勒索病毒利用系统漏洞肆虐全球 微软是否该承担商业责任

从5月12日开始，“勒索病毒”在全球各国爆发，受病毒影响的不仅有千千万万个人用户，更有学校、医院等重要的社会机构，带来了严重的社会后果。在英国，为5000万人提供服务的国家医疗服务体系(National Health Service)遭受重创，大量医院电脑系统瘫痪，救护车无法派遣，诊断设备无法使用，手术被迫推迟。由此造成的不仅是财产损失，更有性命之忧。

需要为这些后果负直接责任的当然是勒索病毒的制作者，但是我们也需要关注两个重要的组织在这次病毒爆发中的角色。

一个组织是美国国家安全局(NSA)。实际上，此款勒索病毒利用的系统漏洞，正是NSA发现的。利用这些漏洞，NSA可以开展入侵攻击，打击美国政府的敌人。然而，NSA开发的入侵工具Eternal Blue被盗，以此为基础，黑客开发出了此次为害全世界的勒索病毒。

对于NSA扮演的角色，微软总裁兼首席法务官Brad Smith发表声明说：“此次网络攻击事件再一次说明，为什么政府机构搜集、贮备安全漏洞是一个巨大问题，这一风险在2017年以后便逐渐显露……一次又一次，来自政府机构掌握的漏洞攻击被泄露到公众领域，制造了大规模的危害。这种危害堪比美国军队的‘战斧导弹’被盗。”

然而，当微软批评NSA的时候，也有很多人指出：微软公司自身也应为此次病毒爆发负责——这家公司也正是我们在观察此次事件时需要关注的第二个重要组织。

实际上，在NSA发现自己开发的入侵工具被盗之后，它便向包括微软、思科在内的科技公司提出了预警，提醒他们开发安全补丁。微软也确实开发了补丁，然而，这款补丁并不向使用旧款操作系统Windows XP的用户免费提供——除非他们购买了昂贵的客户支持服务。

这也正是英国医疗服务体系“中招”的原因——很多医院使用的依然是Windows XP系统，因为操作系统的升级给整个医院系统带来的不稳定性太大了；而它们又往往没有足够的资金可以购买客户服务。因此，这些医院没能做好防护准备，在病毒面前没有任何招架之力。

这就为科技公司，尤其是开发操作系统的科技公司提出了一个问题：对于付费购买了旧款操作系统的用户，公司是否可以就这样撒手不管了？虽然微软的操作系统已经更新换代了很多次，但Windows XP依然在世界很多国家被广泛使用。微软是否对这些用户的安全依然负有责任？

哥伦比亚大学第一修正案研究所(Knight First Amendment Institute)的法律专家Alex Abdo打了个比方：当汽车被发现存在设计缺陷时，制造商需要实施召回，即便这是所谓“老款汽车”。那么，当软件中被发现存在严重漏洞时，科技公司是否需要被要求强制提供补丁和升级服务呢？

在美国现行的法律框架下，微软是没有责任的——实际上，根据美国法律，自从操作系统被用户购买之后的第一天起，微软就不需要为任何后果承担责任了。也就是说，此次勒索病毒爆发，微软并不会有法律上的风险。

但是，微软作为一家商业公司所遭受的品牌伤害是实际可见的。这款勒索病毒并未影响苹果操作系统的用户，受伤的只是微软用户，这样的对比会进一步加深人们对微软操作系统“不可靠”、“不安全”的印象。而微软“抛弃”Windows XP用户的行为，也引发了舆论的广泛批评。

病毒爆发后，微软“破例”为所有Windows XP用户提供了免费的安全补丁。但很多人认为，这不应该是“破例”行为。北卡罗来纳大学学者Zeynep Tufekci就在《纽约时报》撰文指出：操作系统对于微软而言是一项带来巨额利润的业务，微软理应将其中一部分利润用于保护用户的安全，尤其是医院、学校这样事关社会运转的关键机构。为所有用户提供安全补丁，应该是微软的责任。

Zeynep Tufekci还警告说：下一步，受到威胁的将不仅仅是电脑操作系统而已，还包括我们生活中的一切智能设备。在这个“物联网”时代，我们身边的许多事物都在智能化，而这些设备的安全性是很成问题的，生产厂商也往往不能提供足够的安全保护。很有可能，各类智能设备上的病毒爆发将成为今后的常态，而科技公司在其中将同时面临着社会责任和品牌形象、商业利益的考验。

(作者为传播学博士候选人)