与此同时，OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。目前，国内大量网站正在紧急通过更新软件来修复漏洞。

然而，此时距该款缺陷软件推出的2012年3月12日已两年有余，是否有账号信息被窃取尚无法评估。

谁该对信息泄露担责

如果用户登录了一个使用了该缺陷协议的网站，导致信息被盗并产生损失，谁应该对损失负责？这是接下来我们可能要面临的问题。

互联网法律专家、中国政法大学传播法中心研究员朱巍认为，该事件涉及的法律责任包括两个方面：一是窃取信息者，即黑客的法律责任；二是存在漏洞服务器因漏洞造成用户损失的责任。前者我国刑法及相关司法解释有明文规定，后者则较为复杂。

“据资料显示，该漏洞早在两年前就曾显现，黑客可以非法获取存在漏洞服务器高达64K数据，这些数据已经足够获取个人包括财产数据在内的敏感信息。”朱巍向《法制日报》记者分析。

他介绍，在网络交易中，交易网站有义务保护用户信息安全，这是源自“用户协议”的约定和交易诚信责任组成部分。一旦导致用户受损，网站应承担包括违约责任、侵权责任在内的民事法律责任。

“不过，网站也可能有抗辩理由，主要有三种，分别为免责条款的抗辩、不可抗力的抗辩和已尽到提示义务的抗辩。”朱巍说。

对此，中国政法大学知识产权中心特约研究员赵占领认为，关于不可抗力这一条抗辩理由争议最大。

“这个漏洞被发现以前造成的损失，网站是否要负责？这个问题可能还需要讨论。因为这不是网站自己的漏洞，只是网站采用了这种国内外通用的协议标准，而这种协议标准本身就存在漏洞，这对于网站来说是无法预料的。这到底算不算不可抗力，我现在也不能确定。”赵占领对《法制日报》记者表示。

朱巍则认为，在此次事件中，不可抗力的抗辩并不成立。“病毒、漏洞或黑客攻击在网络世界中广泛存在，其破坏和出现频率也无法预计，一般理论认为，在一定程度上，网站可以依据不可抗力进行免责。不过，在本事件中，SSL漏洞在两年前就已经出现，在长达两年的时间内，网站未尽到合理注意义务，因此不能以不可抗力免责。”

而对于在漏洞被发现之后仍给用户造成的损失，则没有太多争议。赵占领认为，如果网站在漏洞发现之后没有及时采取措施，导致用户损失进一步扩大，网站毫无疑问地要承担赔偿责任。

若发生损失如何维权

即便发生损失后用户存在维权空间，但被问及是否有成功案例时，多名接受《法制日报》记者采访的专家均没有给出肯定答案。

“实践中我听说的起诉案例只有一个，现在还没有判：浙江一个酒店开发的酒店Wi-Fi管理、认证系统，因存在漏洞而导致用户信息泄露，被起诉至法院，前不久刚立案，结果现在还没出来。”赵占领介绍。

而大多数案件都未能走到起诉这一步。

赵占领分析，主要原因在于取证太困难，一般用户根本没办法证明信息是通过哪个渠道泄露的，因为一般用户的这些信息在很多地方都可以看到的，所以很难证明。唯一的办法就是等公安机关立案，查到犯罪嫌疑人，查清到底是哪个渠道泄露的。

他介绍，一旦查清，如果是网站自身或者内部员工泄露，刑法修正案(七)有规定“非法泄露公民个人信息”的犯罪。之前，电信公司和支付宝公司泄露用户信息的案例就是属于这种。而如果是网站被动泄露的，情况则如上文所述，更加复杂。

赵占领认为，现有的法律措施大多是进行事后约束，这并非简单立法即可解决的问题。