威胁信息安全的法律事实

第三节　威胁信息安全的法律事实

法律事实是指能够引起法律关系产生、变更、终止的客观现象。根据法律事实的发生是否与人的意志有关，可以把法律事实分为事件和行为两大类。事件是指发生与人的意志无关，但能够引起法律后果的客观现象，又称为自然事实。行为是指人实施的能引起法律后果的有意识的活动。威胁信息安全的因素多种多样、十分复杂，但从法律的角度予以界分，可把威胁信息安全的法律事实分为两类:威胁信息安全的行为和自然因素。其中，威胁行为属于法律上的行为，而自然因素属于法律上的事件。

一、威胁信息安全的行为

(一)行为否认

行为否认是指行为人对自己所为的发送或者接受信息的行为予以否认。这是关于信息道德也关乎信息安全的一个重要问题。所谓信息道德(Information Morality)，是指在信息领域中用以规范人们相互关系的思想观念与行为准则。人们的个人行为是在一定的道德观念的指引下实施的行为，而这一行为是否合法，是否危及他人和国家，还需要法律的价值判断。行为否认往往发生在电子商务过程之中。1995年，自从因特网应用于商业之后，成千上万的大小企业、个人，甚至政府加入到因特网之中，寻求和创造商业机会，推进经济的发展。简单地说，电子商务就是通过电子手段来进行的商务活动。基于对包括文本、声音和图像等的数据的电子化的处理和交换，电子商务包括了对货物和服务的电子贸易、数字内容的网上交货、电子资金转移、电子股票交易、电子提单、商业拍卖、合作设计开发以及针对用户的直接广告和售后服务等各种各样的商业行为。作为完整概念的电子商务有广义、狭义之分。广义电子商务泛指应用电子及信息技术而进行的经济贸易活动。从20多年前开始的电子数据交换(EDI，E lectronic Data Interchange)到现代电子信息网络，都可以说是实现电子商务的技术基础，从这个意义上说，电子商务经历了从早期的EDI业务到当前的因特网(Internet)商务的发展过程。狭义的电子商务指利用电子信息网络，如因特网、企业内部网(Intranet)、企业外部网(Extranet)等设施来实现的商品和服务交易活动的总称。在欧共体理事会提交给欧洲议会的关于电子商务的文件中，电子商务被解释为两种商务行为:间接电子商务和直接电子商务，前者即电子定购有形货物，但必须通过传统的邮寄或货运渠道实现物理形式的交货;后者是一种全球范围内实现的网上定购、支付和交付无形货物和服务，包括计算机软件、娱乐内容和信息服务等。行为否认是电子商务的主要安全问题之一，如果行为人对自己发送或者接受信息的行为进行否认，电子商务将无法继续，人们对电子商务的信赖将被破坏。解决这个问题，有赖于电子签名制度的构建。于是，各国纷纷制定电子签名法予以规制。我国于2004年颁布《电子签名法》，并于2005年4月实施。根据我国《电子签名法》第2条的规定，“电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”该法第16条规定:“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”另外，该法第10条规定:“法律、行政法规规定或者当事人约定数据电文需要确认收讫的，应当确认收讫。发件人收到收件人的收讫确认时，数据电文视为已经收到。”电子签名法通过建立以上制度，从民事法律的角度制止行为否认，保障了电子商务安全。

(二)非授权访问

非授权访问是指未经系统授权的行为人访问他人的信息网络。非授权访问的技术措施多种多样，实施者也很多，但黑客却是其中最大的一类，也是最让网络世界伤神的一类非授权访问主体。黑客(Hacker)原指热心于计算机技术、专门寻找系统的漏洞并找出修补方法的计算机技术痴迷者。在20世纪60年代至70年代，云集在麻省理工学院和斯坦福大学的黑客，是有着超凡的计算机技能，但奉公守法的计算机能者。而现代黑客却把他们的鼻祖的精神抛到了九霄云外，专干非法勾当，如非授权访问。同时，黑客也被用来专指利用计算机技能实施攻击系统、入侵系统、破坏系统和盗窃系统中信息的人。很多黑客入侵信息系统的目的在于显示技能的高超，但也有很多黑客顺手牵羊，干点窃取信息或者伪造和篡改信息的勾当，甚至有黑客专以此为生。媒体甚至评出史上最危险五大黑客。^[8]

1.非授权访问与入侵政府网站

政府网站是黑客的首要攻击目标之一。2007年8月，联合国官方网站被黑客入侵，重要网页遭篡改。随着越来越多的人对美国外交政策以及对以色列中东政策的不满，联合国网页接连遭黑客攻击，反对美国以及以色列中东政策的口号一度出现在网页之上。一开始，联合国发言人还称将对此事进行彻查。然而，一个月内就被“黑”了两次之后，联合国发言人的发言重点也转换了方向，从彻查转到了采取措施，防止类似侵入行为再次发生，以避免刺激黑客，招致更大的攻击。美国国防部曾被“攻陷”。黑客詹姆斯16岁时，就成为了第一个因黑客行为而被送入监狱的未成年人，并被冠以“第一少年黑客”的恶名。他对非授权访问的解释是“自己当初只是为了好玩和寻求挑战”。

2.非授权访问与窃取财务

(1)窃取信用卡信息。黑客进行非授权访问的目标之一是窃取财务。2007年5月，爱沙尼亚的银行、政府部门网站曾经遭到过黑客有组织的攻击。信用卡信息成为此次有组织的黑客进攻所针对的目标。“第一少年黑客”詹姆斯曾入侵过美国宇航局的计算机，并窃走价值170万美元的软件。2005年，卡系统公司(Card Systems Solutions，Inc.)约4000万个信用卡账户(维萨卡约2200万张，万事达卡约1390万张)的信息落入黑客“黑手”之中，成为有史以来最严重的社会信息安全事件。被窃取的信息包括持卡人的姓名、账户号码等。黑客利用手中掌握的信息，伪造信用卡进行消费。信用卡信息泄露事件对美国的信用卡产业有很大影响，因为根据美国法律规定，未经持卡人授权的信用卡消费，持卡人最多只需承担50美元的责任，其余损失由发卡银行承担。

(2)冒充政府部门进行诈骗。黑客进行非授权访问的目标之一还有冒充政府部门实施诈骗。美国联邦贸易委员会公布，近年美国网络犯罪的新趋势是，黑客冒充政府部门通过互联网非法取得他人信息。美国联邦贸易委员会宣布，自2005年11月以来，共有2.3万人先后投诉，诉称被黑客诱骗进入假冒的政府部门网站，导致个人信息被窃取，造成经济损失。

3.非授权访问与技术挑战

黑客进行非授权访问的另一目标是攻击信息技术产业，进行技术挑战。“iPhone”智能手机是美国苹果公司推出的一项顶级的高新技术产品，刚一亮相就遭到黑客围攻。导致这个局面的原因是苹果公司对“iPhone”可以免受黑客入侵的宣言深深刺激了黑客。“iPhone”不但招致围攻，而且被报已发现漏洞，甚至有人称可以完全控制“iPhone”和掌握里面的信息。此举虽然是为了逞能，但却把一大堆难题留给了苹果公司，无法收场。

4.非授权访问与个人隐私

黑客的非授权访问严重威胁着个人隐私。2007年8月4日，英国媒体报道全球最大的新闻电视台有线电视新闻联播网(CNN)的创办人泰德·特纳最近成为“网络红人”。黑客从网络上窃取了英国著名小说家罗伯特·巴特勒的电子邮件，电子邮件的内容是关于“老婆跟特纳跑了”的牢骚。特纳先生的牢骚成了全球网站最辛辣的八卦新闻，在全球被全文披露。目前，网络通信工具的使用，已经大大超过了传统的邮寄和电话的使用。如果用户的每一句话、每一封信都被存储在网络服务提供商的服务器之中，当黑客入侵，个人信息和个人隐私都将受到严重威胁。

防火墙是用来防范非授权访问的技术措施，防火墙仅用于防止“黑客”攻击，非用于病毒防治。但从技术的角度看，没有哪一种防火墙真能起到“防火”的作用。

(三)违规操作

违规操作是指信息网络管理人员违背技术操作规范和信息伦理道德规范进行的操作。违规操作也是引发信息安全的重要因素之一。所以，在很多情况下，违规操作被称为“来自内部的攻击”。事实上，来自内部的安全威胁可能会更大，因为内部人员了解内部的网络、主机和应用系统的结构;能够知道内部网络和系统管理员的工作规律，甚至自己就是管理员;拥有系统的一定的管理权限和技术能力，可以轻易地绕过许多访问控制机制;在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。对信息系统的任何不正确操作都可能导致对信息完整性的破坏，有的造成对有用信息的错误删除，有的可能造成重要文件的丢失等。如果内部人员为了报复或销毁某些记录而突然发难，在系统中植入病毒或改变某些程序设置，就有可能造成严重的损失。^[9]

(四)截获信息

截获信息是指行为人通过实施的对他人之间传输的信息进行窃取和截取的行为。窃取是指行为人未经授权而通过窃听等手段获得受保护的信息;截取是指行为人未经授权首先获得受保护的信息，再将此信息发送给原信息接收者。

2007年5月12日，我国中央电视台新闻节目告知:最近发现有犯罪分子窃取网上交易信息及密码，然后实施金融犯罪。新闻提醒大家在网上进行股票交易时一定要使用软键盘输入密码信息，防止窃取。截获的工具和行为方式多种多样。第一种窃取工具是数字播放器。目前，在窃取他人信息方面，数字播放器有被普遍利用的趋势。苹果公司生产的“iPod”和其他数字播放器具有强大的信息储存能力，经过专家计算，把一台计算机中的所有文档拷贝到“iPod”中只需65秒钟。正是因为这个特点，使得越来越多的人利用“iPod”等数字播放器，作为窃取企业信息和个人信息，甚至国家秘密的工具。便携式数字设备的使用，已对企业信息安全构成威胁。解决该问题的技术方法是禁用“iPod”数据传输所使用的USB接口，但这同时也会限制某些打印机、扫描仪、键盘或鼠标等采用了USB接口的设备的应用。其次，可以通过软件来限制某些特定的应用。然而，技术并不能使问题得到最终的解决。第二种是利用计算机病毒实施窃取或者截取。最典型的窃取信息的病毒是木马病毒。“木马”这个词来源于古希腊传说荷马史诗中的“木马计”。木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”感染其他文件，它的目标在于通过将自身伪装吸引用户下载执行，向施种木马者打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。据北京信息安全测评中心2006年6月7日发布的热门病毒信息，“邦德”和“隐者”为窃取QQ信息的两种新病毒。“邦德”病毒是一个和正常程序一起捆绑的病毒。病毒运行后将关闭大量安全软件，试图窃取用户QQ密码、IP地址、机器名等，窃取的信息会被发送到指定邮箱;“隐者”病毒是一个极其会隐藏的木马病毒。

还有一种情况是网络营运商实施的截获行为。中国即时通讯业的领头羊——深圳腾讯公司的即时聊天工具QQ本身也被怀疑窃取用户信息。腾讯新版QQ“2003III beta3显IP版”发布才几天，就被紧急叫停。其中最重要的原因之一是该版本有窃取用户私人信息的嫌疑，在客户使用新版QQ时，QQ会向腾讯服务器发送加密包，虽然“该加密数据包是什么信息”大家并不知情，但数据包的发往目的地为腾讯服务器IP 218.18.95.153。^[10]同样，2006年初，盛大网络利用账号申请器，窃取玩家数据信息的行为也闹得沸沸扬扬。盛大网络公司在推出的《霸王大陆》游戏过程中，进行了一个“下载客户端赢取内侧账号”的活动，而盛大网络提供的内侧账号申请器，却将玩家的电脑数据信息偷偷传回盛大网络的服务器。这个由游戏商家实施的公然、公开地窃取玩家的数据信息的事件，在全国范围内炸开了锅。

截获网络信息是触犯国家法律的违法行为，甚至可能构成犯罪。《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条规定:“为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任:非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密。”我国《计算机信息网络国际联网安全保护管理办法》第6条规定:“任何单位和个人不得从事下列危害计算机信息网络安全的活动:(1)未经允许，进入计算机信息网络或者使用计算机信息网络资源的;(2)未经允许，对计算机信息网络功能进行删除、修改或者增加的;(3)未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;(4)故意制作、传播计算机病毒等破坏性程序的;(5)其他危害计算机信息网络安全的。”该办法第7条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”

(五)伪造和篡改

伪造是指行为人伪造信息欺诈用户或者将伪造的信息发送给接收者的行为。篡改是指行为人对信息发送者和接收者之间传输的信息进行修改编造后发送给原接收者的行为。

伪造和篡改一旦和网络结合，将对信息安全产生极大危害，造成的财产损失和精神损害也是巨大的。微软网页浏览器(M icrosoft Internet Explorer)的用户在全球浏览器总用户的85%以上，但该浏览器在处理某些不正常超链接标记时的漏洞给攻击者提供了伪造和篡改信息的机会。当用户鼠标指向连接时，在状态栏中显示的是一个链接地址，但用户点击超链接标记时访问的却是另一个地址。攻击者可以构建特殊HTML邮件，引诱用户访问伪装地址。“mail from”伪造也是通过信息伪造而实施危害信息安全的一种行为，在电子邮件传递过程中，受SMTP协议的限制，技术上还无法根本杜绝“mail from”伪造。“mail from”伪造是指垃圾邮件的发送者伪造自动回复的邮件或者以其他好友的邮箱发来的邮件的形式发送垃圾邮件，通过伪造垃圾邮件变得更加隐蔽。通过对邮件的“mail”与“mail from”进行比较，可以识破伪造的垃圾邮件。

2007年8月5日海口市警方侦破一起特大诈骗案，将一个采用多种犯罪手段的诈骗团伙绳之以法。这个犯罪团伙雇用电脑黑客侵入高校网站，篡改招生信息，谎称考生被录取并索要钱财。这一案件涉及全国17个省市的上千名高考落榜生，涉案金额达千万以上，受骗人数之多、涉案范围之广，触目惊心。^[11]1998年7月，一位妇女通过电脑网络向银行申请贷款时得到了如下答案:“对不起，您的贷款申请被否决，因为根据记录，您已经去世了。”这是因为一名社会保险管理部门的工作人员私自篡改了计算机中存储的该妇女的信息，输入了一个虚假的死亡日期。此事被当地媒体称为“虚拟谋杀”。^[12]《电脑报》报道，2001年3月，19岁的章某及其初中的同学田某将便携电脑接入某证券公司的终端插口，输入有关程序后，就测出该公司的信息和密码系统，进而窃取该证券公司电脑系统中上万股民的地址、资金额度、证券种类、账号和买卖记录等信息。^[13]

(六)散布虚假信息

散布虚假信息是指行为人利用信息网络对不特定的人实施的提供虚假信息的行为。

法国《世界报》2007年10月27日披露，法国金融市场管理局对空客母公司——欧洲航空防务和航天集团(EADS)股票“内幕交易案”的调查范围的重点由内幕交易转向了散布虚假信息。在法国，散布虚假信息要受到刑事处罚。如果散布虚假信息罪名成立，要被判处两年有期徒刑和150万欧元的处罚，或者被罚不当获利金额10倍的罚金。法国维旺迪环球公司就曾因散布虚假信息被处以重罚。^[14]2006年以来，上海公安机关侦破多起在互联网上通过发帖、跟帖、发电子邮件等方式散布虚假、恐怖信息，或以其他方法扰乱公共秩序的违法犯罪案件，涉案人员均受到法律惩处。2006年4月，高某在互联网某论坛发表言论，扬言要对政府机关实施自杀式爆炸。自同年3月起，高某多次在互联网上散布扰乱公共秩序的虚假信息，引发公众恐慌。其行为构成“编造、故意传播虚假恐怖信息罪”。范某出于对其所在公司行业规定的不满，在互联网某论坛中发表言论，煽动该行业员工罢工，触犯《计算机信息网络国际联网安全保护管理办法》，警方对其处以行政警告并处500元罚款。朱某为泄私愤，利用自己拍摄的照片和网上下载的图片，采用恶意拼接、剪辑的方法伪造和篡改了图片，并在互联网上广为发布，攻击政府、误导网民，触犯《治安管理处罚法》，被警方依法予以治安处罚。^[15]美国时间2000年8月31日，美国联邦调查局(FBI)宣布，以美国Emulex公司的名义在网上发布虚假的信息操纵股价的犯罪嫌疑人被逮捕。该犯罪嫌疑人发布虚假信息导致Emulex的股价暴跌。

在信息网络上，充斥着虚假信息。虚假信息的散布者各怀目的，但对于当事人，对于整个社会而言，危害都是不言而喻的。为了净化网络空间，韩国的知名人士专门推动了“U-clean”活动，倡导真实的信息公开，反对散布虚假信息。

(七)拒绝服务攻击

拒绝服务攻击(Denial of Service，DOS)是指一种利用合理的服务请求占用过多的服务资源，从而使其他用户无法得到服务响应，并可能最终引发系统瘫痪的网络攻击行为。DOS是一种既简单又十分有效的网络进攻方式，它的目标是破坏系统的正常运行，让系统不能继续提供服务。首先，攻击者向服务器发送大量的带有虚假IP地址的请求，服务器发送回复信息后处于等待回传信息的状态，然而由于地址是伪造的，所以服务器一直等不到该IP地址的回传消息，分配给这次请求的资源就始终没有被释放。继而，攻击者再度发动攻击，传送新的一批请求，在这种反复发送伪地址请求的过程中，服务器无法为其他用户提供服务，服务器资源最终会被耗尽而引发系统瘫痪。

由于近年来，DOS已经成为威胁信息安全的主要隐患，一些国家纷纷制定刑罚措施，将该类行为认定为犯罪行为。英国已经2006年通过了《英国警察与公正法》，该法将DOS定为犯罪，规定损害任何电脑系统的运行的行为都构成犯罪。该法还禁止未经授权非法进入他人计算机系统窃取、查看计算机信息。并将DOS这类网络犯罪的最高刑期从五年提高到十年。此前，英国处理电脑犯罪的法律是1990年制定的《计算机不当行为法》(Computer M isuse Act，CMA)，该法是在互联网广泛应用之前制定的，对DOS没有直接规定，而被人们认为是“法律灰色地带”。2007年德国通过了一项新的法律，突出了“反黑客行为”条款，防止他人窃取计算机信息。另外，该法还规定，拒绝服务攻击是违法行为。违法者将会被判处十年以下监禁并被处以罚款。

(八)计算机病毒

计算机病毒的制作和传播是威胁信息安全的重要因素。但凡有计算机使用的地方，就有计算机病毒存在。

1.计算机病毒的定义

根据我国《计算机信息系统安全保护条例》的规定，计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒是一种破坏性的计算机程序，它的目标是破坏计算机的正常使用，致使计算机无法正常使用甚至整个操作系统或者电脑硬盘损坏。如同生物病毒一样，计算机病毒具有独特的复制能力。计算机病毒具有寄生性、传染性、潜伏性、隐蔽性等特点。所谓破坏性程序，是指有意损坏信息、程序或破坏计算机系统安全的任何程序。其范围除了计算机病毒外，还有其他非病毒的破坏性程序，它主要指特洛伊木马、逻辑炸弹、计算机蠕虫以及其他破坏性程序，如网页病毒。^[16]以上的计算机病毒，涵盖了所有的破坏性程序。

2.计算机病毒的种类

常见的计算机病毒主要有以下几类:^[17]

①系统病毒。其前缀为W in32、PE、W in95等，可以感染W indows操作系统中的某些文件(如*.exe和*.dll文件)，并通过这些文件进行传播。

②蠕虫病毒。其前缀是Worm，可以通过网络或者系统漏洞进行传播，它可以发送带毒的邮件，阻塞网络传输。

③木马病毒和黑客病毒。木马病毒，前缀为Trojan，可以通过网络或者系统漏洞进入用户的系统并隐藏起来，然后向攻击者提供用户的信息;而黑客病毒，前缀多为Hack，拥有一个可视界面，并对用户的电脑进行远程控制。木马病毒和黑客病毒往往成对出现，即木马病毒负责入侵，而黑客病毒则实施控制。

④脚本病毒。其前缀是Script，可以使用脚本语言编写，通过网页进行传播。宏病毒(前缀是Macro)是脚本病毒中特殊的一种。

⑤后门病毒。其前缀是Backdoor，可以通过网络传播，给系统开后门，造成用户的安全隐患。

⑥病毒种植程序病毒。可以在运行时从程序内释放出一个或几个新的病毒，由释放出来的新病毒实施攻击和破坏。

⑦破坏性程序病毒。其前缀是Harm，本身具有好看的图标来诱惑用户，当用户点击时，病毒便会对用户计算机实施攻击和破坏，如格式化C盘等。

⑧捆绑机病毒。其前缀是Binder，该病毒的作者会使用特定的捆绑程序将病毒与一些应用程序(如QQ、IE)捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会启动这些程序，捆绑的病毒也一起启动，给用户造成危害。

⑨恶作剧病毒。其前缀是Joke，它和破坏性病毒一样具有好看的图标，当用户点击时，病毒会做出各种破坏性动作和操作来吓唬用户，而实际上并不实施真正的攻击，如女鬼(Joke.Girlghost)病毒。

3.计算机病毒的危害

计算机病毒的危害性极大，直接对计算机和网络以及信息造成破坏。计算机病毒不但造成了资源和财富的巨大浪费，而且还可能引发社会性的灾难。随着社会信息化发展，计算机病毒的威胁日益严重。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯(Morris)，将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞，在全球范围内引发了计算机界的一次大地震。此后，各种病毒不断涌现。2007年1月，曾制造肆虐我国信息网络的“熊猫烧香”病毒案6名犯罪嫌疑人全部落网。“熊猫烧香”病毒的制作者，武汉市新洲人李俊(男，25岁)于2006年10月16日编写了“熊猫烧香”病毒并上网传播，同时，还以“知识产权许可”的方式，在网络上将该病毒销售给120余人，非法获利10万余元。根据我国《计算机信息系统安全保护条例》第23条的规定:“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。”第24条规定:“违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的，依法追究刑事责任。”《中华人民共和国刑法》第286条规定:“违反国家规定，故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。”

以上各类威胁信息安全的因素，也可以称为人为因素。

二、威胁信息安全的事件

威胁信息安全的事件可以分为技术缺陷和自然灾害两大类。

(一)技术缺陷

技术缺陷主要是发生于信息网络硬件和软件本身的缺陷，无论是硬件还是软件的缺陷，都可能造成网络堵塞、信息丢失，威胁信息安全。黑客就是利用技术缺陷对信息网络进行攻击。但是此种情况下造成的信息安全问题仍属于法律事实上的行为，不属于事件。而单纯由技术缺陷导致的信息安全则属于事件。信息网络一般以互联网为平台，由一系列硬件和软件组成。技术缺陷是在所难免的一个问题。硬件设备故障、软件设计瑕疵以及电压不稳定等因素都会产生信息系统的损害，出现信息丢失或遭破坏，甚至整个系统崩溃等后果。对于符合通行的技术标准的缺陷导致的损害，当事人可以主张免责或者按照公平责任规则原则承担责任;而对于未达到标准的缺陷导致的损害，当事人应对损害承担法律责任。

(二)自然灾害

自然灾害是另一类威胁信息安全的法律事件。自然界存在着各种各样的灾害，但与人类生活无关的不属于这里所说的自然灾害。这里所谓的自然灾害是指能引起法律后果的自然灾害，如地震、风暴潮等引发的信息系统危机等。我国《民法通则》第153条规定，不可抗力是指不能预见、不能避免并且不能克服的客观情况。依据此规定，发生特大自然灾害、地震等不可抗力事件而影响合同继续履约时，当事人免于承担违约责任。网络设备和其他设备一样，会因洪水、地震、火灾、磁场或雷电等自然灾害或自然现象而无法正常运作，这些自然灾害往往会给信息系统带来极其严重的后果。1998年5月，美国“银河4号”卫星因受太阳风暴影响而失灵，造成北美地区80%的寻呼机无法使用，金融服务陷入脱机状态，信用卡交易也被中断。^[18]野生动物造成的信息安全也属于自然灾害。20世纪90年代，日本通产省的计算机经常出现故障。经调查发现，原来是一群老鼠咬断了电线。^[19]由于我国台湾南部海域于2006年12月26日晚至27日凌晨发生强烈地震，电信和网通的多条海底通信光缆均受到地震影响，导致不同程度的中断。但由于地震属不可抗力的范畴，网络中断造成的网民和企业的巨大损失，电信运营商(包括中国电信和中国网通等)无须赔偿。但海底光缆的安全问题总是要解决，然而，解决此类问题的核心与重点不是技术，电信技术发展到今天，修复海底光缆在技术上绝对不存在问题，而是如何制定和实施我国电信运营商与国际电信运营商的国际合作战略这一制度和法律层面的问题。