虞文梁、 熊纹冰:论勒索软件国际治理体系的完善: 犯罪态势、 法治困境与中国方案

勒索软件问题本质是网络犯罪问题，但其背后混合了复杂的地缘政治博弈、网络攻防技术和跨国有组织犯罪等多重因素。进入数字时代以来，勒索软件的性质与影响发生了深刻变化。其已从早期单纯利用技术手段实施的网络犯罪，逐渐发展为牵动全球经济、影响社会稳定乃至危及国家安全的新挑战。这一转变不仅体现在攻击规模与复杂程度的提升上，更根本的是其从单一的经济犯罪，转向了技术破坏、经济勒索与战略意图交织的复合型安全威胁。在这一背景下，如何有效应对这种跨越国界与领域的复杂挑战，已成为国际社会亟待解决的重大治理议题。

从危害层级分析，勒索软件的影响已超越传统经济犯罪范畴。在犯罪暴利的驱使下，传统有组织犯罪网络化和新型网络犯罪有组织化的不断融合，勒索软件攻击愈演愈烈，近年来呈激增态势，已成为全球网络安全治理的最主要威胁之一。勒索软件攻击造成的全球经济损失总额持续攀升，每 年高达数十亿美元。2017年WannaCry蠕虫式勒索病毒爆发并迅速在全球蔓延，其破坏力达到了史无前例的情形，对全球网络安全造成了深远的影响。2023年3月，美国发布《国家网络安全战略》，将勒索软件攻击威胁提升到国家安全的层面，强调要利用国家综合力量应对勒索软件攻击等网络犯罪。勒索软件与分布式拒绝服务攻击（DDOS）成为欧盟面临的最常见的攻击方式,欧洲刑警组织认为勒索软件是网络安全最主要的威胁之一，并将其确定为工作的重中之重。2024年12月，我国常驻联合国代表团在安理会勒索软件问题公开会上提出，网络攻击、网络犯罪和网络恐怖主义日益成为全球公害，勒索软件就是其中的一个突出问题。中国计算机学会计算机安全专业委员会发布的2024年网络安全十大发展趋势，将勒索软件攻击列为最普遍的网络威胁形式之一。国内外网络安全领域的一些头部企业认为，国内勒索软件攻击的整体态势严峻，已成为企业的头号安全风险,勒索软件近年在诸多网络犯罪组织中造成的损失最大,亚太地区企业成为主要攻击目标，尤其是经济快速增长且实施新数据隐私法的国家。

从组织形态观察，在加密算法、匿名支持服务和加密货币等新型技术的加持下，勒索软件的产业逐渐成熟、技术快速进化、策略手段持续迭代,勒索软件已然成为一种利润极高的全球性犯罪产业，呈现出组织特征“产业链化”、组织形式“多中心化”和组织结构“扁平化”的有组织犯罪特征，进一步增强了犯罪行为的隐蔽性、扩散性和危害性，进化形成网络有组织犯罪的新形态,甚至出现了专业的网络雇佣兵，推动“勒索软件服务”（Raaa）、勒索软件构件（IABs）的众包商业化市场模式的崛起，“黑灰产业”链中各环节分工明确，勒索目标更加多元，形成了一个多样且高度专业的犯罪生态。

从技术演进来看，随着生成式人工智能（AI）大模型的广泛应用，AI正在深度嵌入式赋能勒索软件攻击，攻击者们通过自动化、智能化的攻击更加精准和隐蔽地击穿传统网络安全防御体系和机制。以比特币为代表、不受主权国家管辖的加密货币因具有高隐蔽性和不可溯源性而备受黑客青睐O，特 别是通过“混币服务”与“洗币服务”等方式洗白，很大程度上实现了“完美犯罪”。勒索软件攻击模糊了国家主体和非国家行为主体的行为边界，表面上的刑事犯罪往往混合了网络恐怖主义、地缘政治博弈等不同行为，全球勒索软件攻击高发频发与地缘政治博弈的趋势越来越重合，前者越来越多地成为后者在“灰色地带”延伸的策略和手段。

与威胁快速演进形成鲜明对比的是全球治理体系的严重滞后，主要体现在规则适用与执行两个层面。一方面，现有规则难以有效规制勒索软件攻击行为。现行国际法中涉及主权、不干涉和禁止使用武力的规则等，并未对勒索软件攻击作出明确的规制,且适用门槛较高，大多数具有刑事犯罪性质或伪装成刑事犯罪的勒索软件攻击，多数勒索软件攻击可能造成仅经济损害，往往难以达到相关规则的适用标准。例如相关网络攻击行为的规模和影响达不到《联合国宪章》对“使用威胁或武力”的要求。在具体规制上，联合国政府专家组2015年报告虽鼓励各国负责任地披露信通技术的脆弱性并分享补救办法,但对于漏洞挖掘、囤积、买卖及扩散等行为，现有国际法和相关规则并未予以限制或约束，网络领域的军备控制与恶意工具扩散问题也缺少关注。另一方面，现有规则的适用遭到主观恶意抵制。部分霸权国家不愿通过国际法律规则限制勒索软件活动，担心“作茧自缚”而放弃所谓的“行动自由”，全球各国无法就网络空间中主权平等原则的具体适用范围达成共识,导致相关规则短期内难以在勒索软件攻击治理中发挥实效。

因此，勒索软件的治理困境实际上反映了数字时代新型安全威胁与传统治理模式之间的深层次矛盾。技术迭代与规则更新之间的速度差、犯罪全球化与司法管辖权的地域性冲突、威胁的跨国性与治理机制的碎片化，这些矛盾共同构成了当前全球治理体系面临的结构性挑战。如何构建一个既能够有效应对现实威胁，又具备足够弹性以适应未来技术发展的治理框架，已成为国际社会亟待解决的复杂议题。

勒索软件（Ransomware）是伴随数字化进程演化出的一种复合型恶性安全威胁，由“赎金（Ransom）+软件（Ware）”组合得名，直观揭示了其以经济利益为原始驱动的本质，属于恶意软件（malware）的一种。其运行机制是通过加密数据、锁定系统、窃取信息等技术手段，非法剥夺用户对自身计算机系统、设备或数据的合法控制权与访问权，并以此作为胁迫筹码，向受害者勒索财物或其他不正当利益。从犯罪学属性分析，勒索软件攻击以盈利等为目的且采用“非暴力”手段，初期属于白领犯罪的范畴。然而，随着攻击技术的迭代、犯罪模式的升级以及地缘政治因素的渗入，勒索软件已从一种相对单纯的技术勒索工具，演变为兼具技术破坏性、经济掠夺性与政治复杂性的全球性安全挑战。

针对这一新兴的网络犯罪形式，学界和业界从国际政治、经济金融、网络技术等多重维度展开了跨领域的探讨，形成了多元认知体系，而对其本质属性与行为类型的梳理，正是准确界定概念的基础。

（一）本质属性：从技术工具到复合型犯罪载体

有学者从犯罪演化视角提出，勒索软件攻击的本质是访问权货币化，是传统海盗勒索等赎金犯罪在信息化时代的技术变种，其危害形式从有形的物质损失转变为无形的信息数据泄露，是勒索犯罪的新途径和新商业模式。被害者通过支付赎金获取密钥以恢复访问权，各大勒索软件都具有趋利性,经济利益直接驱动和刺激着整个勒索软件行业的蓬勃发展。美国安全和技术研究所（IST）进一步指出，勒索软件犯罪不仅仅是一种经济敲诈行为，更是一种涉及商业、政治、学术和超越地理界限的犯罪行为，是具有社会危害性、经济破坏性、政治威胁性的一类法律现象。从行为主体来看，当前勒索软件攻击的实施者可划分为国家行为体和非国家行为体两大类。其中，国家行为体的活动通常与地缘政治战略相关联，其攻击目标往往指向关键信息基础设施，意图在于破坏社会正常运转、制造不稳定局势，以实现其政治或战略目的。而非国家行为体则以个人黑客和黑客组织为主，其行为动机多侧重于经济收益，但在特定情况下也可能受雇或受国家力量间接支持，从而使其行动呈现出一定的复杂性。

（二）行为类型：基于攻击逻辑的演化与划分

随着技术的持续演进与犯罪模式的不断升级，勒索软件的攻击行为呈现出清晰的阶段性发展特征，其胁迫逻辑也从单一走向复合，形成了一系列技术上既有传承又相互区别的行为类型。 在发展的早期阶段，勒索软件主要表现为“单一勒索”模式，其攻击逻辑相对直接，即通过对用户数据进行加密或锁定系统访问权限，以恢复访问为条件索要赎金。此阶段攻击技术门槛较低，防御相对容易。随着安全防护能力的普遍提升，“双重勒索”模式逐渐成为主流。该模式在加密数据的基础上，增加了窃取并威胁公开敏感数据的行为环节，从而形成“加密勒索+数据泄露威胁”的双重压力。这种模式利用了受害主体对数据泄露可能导致声誉损害、法律风险及商业损失的恐惧，显著提高了赎金支付意愿，即便受害方具备数据恢复能力，也往往迫于泄露压力而选择支付。这一变化直接导致攻击重点转向大型企业、政府机构、医疗机构等持有高价值数据的组织。近年来，更为复杂的“多重勒索”模式开始出现并呈现扩散趋势。此类攻击在双重勒索的基础上进一步延伸攻击链条，对与受害主体相关联的第三方实施胁迫。例如，攻击者在窃取企业数据后，不仅向该企业勒索，还可能利用所获客户数据，向客户群体进行二次勒索或实施精准诈骗。这种模式形成了“对甲勒索+对乙胁迫”的网状攻击结构，危害范围更广，社会影响更深，对跨组织、跨地域的协同防御提出了严峻挑战。

需要指出的是，尽管勒索类型不断演变，其主要胁迫机制始终围绕“阻断访问”与“信息胁迫”两个基本维度展开。同时，人工智能、自动化攻击等新技术的应用，正推动攻击行为向智能化、自适应方向发展。例如，部分高级勒索软件已能利用人工智能技术进行攻击路径优化、动态规避检测，甚至根据数据分析结果差异化定制赎金金额，这进一步模糊了传统类型之间的界限，也预示着未来行为类型将继续动态演进。

（三）概念界定的多元范式与共识

针对勒索软件这一动态发展的威胁，学术界与国际组织基于其行为特征，逐渐形成了一元说、二元说与多元说等主要界定范式。这些范式反映了不同发展阶段对勒索软件本质的理解差异，它们在历时性上呈现递进与补充关系，共同推动了对勒索软件概念认知的深化。当前，国际讨论的趋势正从具体行为描述转向对其“复合型胁迫工具”这一本质属性的共识性把握，强调其融合技术破坏、经济勒索与社会心理压迫的多重危害特性。

一元说聚焦勒索软件的核心行为进行定义，强调单一技术手段与勒索目的的关联性。《牛津英语词典》将其定义为“以支付一定赎金为目而设计阻止访问电脑系统的病毒软件”。美国国家标准技术研究院将其界定为“一种恶意攻击者对组织的数据进行加密，并要求付款以恢复访问的网络攻击行为”。美国司法部文件则将其定义为恶意行为者通过加密受害者设备上的文件使其无法使用，然后要求支付赎金以恢复受害者对文件的访问权限的一种恶意软件。这类定义精准捕捉了早期勒索软件的关键特征，为初步认知其犯罪本质提供了基础。

二元说通过涵盖两类主要攻击行为进行定义，更全面地反映了勒索软件技术发展后的特征。有学者认为，勒索软件攻击是指通过锁定设备或加密文件等方式阻止用户正常访问系统或数据，并要挟受害者支付赎金的恶意网络行为。国家计算机网络应急技术处理协调中心将其定义为“黑客用来劫持用户资产或资源实施勒索的一种恶意程序”。国外网络安全公司则按攻击者的加密方式将勒索软件分为两类，包括加密型勒索软件和锁定型勒索软件。前者主要加密受害者硬件设备上的数据，禁止访问数据；后者则采取锁定受害者硬件设备的方式，禁止访问设备。

多元论则全面涵盖了勒索软件的各类攻击行为与胁迫手段，更贴合当前攻击技术的复杂化趋势。例如有学者认为，勒索软件是一种由国家和非国家网络犯罪分子设计和部署的恶意软件，通过计算机系统中的漏洞锁定、加密和窃取数据，使计算机及其文件无法使用，以此要挟支付赎金以换取解密文件、解锁系统、在暗网上不公开或泄露被盗数据等。另有学者提出，勒索软件包括系统锁定型、数据破坏型、文件加密型、数据窃密型，是指以加密数据、锁定设备、损害文件为主要攻击方式，使计算机无法正常使用或者数据无法正常访问，并以此向受害者勒索钱财的恶意软件。英国内政部在立法咨询文件中给出的定义最具代表性，将其界定为“通过感染受害者的计算机系统防止受害者访问系统或数据，损害系统或数据的使用和/或窃取受害者网络系统或设备上的数据，要求受害者支付赎金（通常是支付加密货币）以重新获得对系统的访问权、恢复数据、或不公开泄露数据的恶意软件”。这一定义既包含了加密、锁定、窃取等核心技术手段，又涵盖了恢复访问、数据恢复、不泄露数据等多元胁迫条件，完整呈现了当前勒索软件的复杂特征。美国加州立法将勒索软件定义为“未经授权的一种病毒，通过计算机病毒或锁定程序放置或感染至计算机、计算机系统或计算机网络中，限制已获授权的用户访问计算机、系统、网络及其所存储的数据，从而要求用户支付赎金或给付对价，以移除或通过其他方式修复该计算机病毒或锁定程序”。国家保密科技测评中心则认为，勒索软件是能够通过锁定设备或加密文件来阻止受害者对系统或数据的正常访问，并以此向用户勒索钱财，主要通过钓鱼邮件、网页挂马、服务器入侵、系统漏洞、网络共享文件和移动存储介质等方式进行传播。

综合各类研究与实践共识，笔者更赞成多元论，认为勒索软件是以非法获利或其他多重目的为导向，由各类行为主体开发、传播并实施，通过加密数据、锁定系统、窃取信息、威胁泄露等技术手段，非法剥夺用户合法访问权并进行胁迫勒索的复合型恶意软件。这一界定既明确了其关键属性与技术特征，又为应对其动态演化预留了空间，能够为技术防御、法律规制与全球治理提供统一的概念基础。

全球范围内，勒索软件已形成规模化攻击产业链，对各国关键基础设施、经济安全与社会稳定构成严重威胁。综合考虑全球各国（地区）受到勒索软件危害程度、治理模式特色和治理措施的实践成效等情况，笔者选取中、美、欧三大主体作为重点比较研究对象，系统梳理其面临的勒索软件威胁态势，深入剖析各自的治理框架、实施路径与具体措施，为全球勒索软件治理体系的完善提供参考。

（一）美国实践：从注重个案惩治转向犯罪生态治理

近年来，美国成为全球勒索软件攻击的重灾区，攻击频次逐年上升，且呈现出攻击目标精准化、攻击手段复杂化、勒索金额巨额化的特征。美国出台了一系列政策并积极推进联邦和地方反勒索立法，建立跨部门工作机制推动信息共享和跨部门联合执法，希望实现对勒索软件犯罪的有效打击。勒索治理策略的重点也由传统的个案抓捕、立案起诉等事后惩治模式，转向对勒索犯罪的事前预防、过程阻断、事后快速响应的全链条生态治理，形成了立法、执法、司法协同联动，跨部门、跨国家合作的治理框架。

一是建立强制性勒索攻击事件报告机制。为实现对勒索软件攻击的精准监测与快速响应，美国通过多部立法确立了强制性报告制度。2021年密集出台了《赎金披露法案》《制裁和阻止勒索软件法案》和《勒索软件和金融稳定法案》等一系列法案，强制要求支付勒索赎金的政府部门、企业等主体，必须主动向指定执法部门提供勒索攻击及赎金等相关信息，包括攻击者身份、勒索金额、加密货币钱包类型以及数据泄露范围等，协助执法部门掌握案件整体情况。2022年颁布的《加强美国网络安全法》和《关键基础设施网络事件报告法》进一步扩大了报告义务主体范围，要求所有私营机构及关键基础设施运营者，在遭受勒索软件等网络攻击后，及时向网络安全与基础设施安全局（CISA）报告，确保相关部门能够快速介入并协助恢复系统运行，最大限度降低损失。

二是明确赎金支付的违法性。为切断勒索软件犯罪的利益链条，美国通过立法明确赎金支付的限制条件与法律风险。《勒索软件和金融稳定法案》规定，当勒索赎金超过10万美元时，金融机构需获得财政部特别授权才可支付赎金，否则构成违法。同时，美国援引《国际紧急经济权限法》（IEEPA）与《禁止与敌国贸易法》（TWEA），明确任何与法律禁止的对象进行交易的行为，均可能会被追究民事责任。2020年10月，美国财政部外国资产控制办公室（OFAC）发布一项咨询建议，警告美国公司向受美国制裁的国家的相关威胁者付款，将可能面临相应的民事处罚。

三是采取行动干扰勒索犯罪。美国司法部将勒索软件犯罪列为重点打击对象，明确提出“72小时相应目标”，要求相关案件在72小时内实现立案、并案、处置或采取干预行动的比例提升至65%，以提高打击时效性。2023年10月，国土安全部网络安全与基础设施局（CISA）制定了《阻止勒索软件指南》，开发了专门的网站，分配防范勒索攻击的资源和上报被勒索攻击事件。在具体执法实践中，通过拦截勒索软件支付、跟踪干扰行为者、提供解密密钥等技术手段，加快识别、中断和遏制勒索威胁，并依法追究行为者责任。2024年2月，美国司法部联合英国国家犯罪局（NCA）开展“克罗诺斯”联合执法行动，成功破坏LockBit勒索软件的运营系统并破解其加密密钥，有效遏制了该勒索软件家族的扩散势头，体现了其“以受害者为中心、优先中断犯罪行为”的治理思路。

四是推动跨部门多平台的执法合作。为整合治理资源、形成打击合力，美国建立了多层次的跨部门协作机制。为了优先解决勒索软件威胁，2021年4月，司法部成立了勒索软件和数字勒索工作组，协调联邦调查局（FBI）和刑事司计算机犯罪和知识产权科（CCIPS）等多个部门，实现执法资源的系统化配置。国会通过《2022年关键基础设施网络事件响应法》，授权联邦调查局、网络安全与基础设施局共同领导成立“联合勒索软件特别工作组”（JRTF），负责国内抵御勒索软件攻击和国际合作,强化跨部门的信息共享与行动协同。

需要注意的是，美国在勒索软件治理过程中，存在将问题“国家安全泛化”的倾向，其治理模式并非单纯依赖法治手段，而是采取“全政府、全社会”的综合应对策略，甚至动用军事力量对海外勒索组织发起攻击。此类以“打击海外网络勒索组织”为名的网络军事行动，既缺乏明确的国内法授权，也不符合国际法基本准则,本质上是以“国家安全”的名义推行网络空间强权政治。同时，美国试图通过外交手段确立有利于自身的勒索软件攻击来源国责任规范，缺乏普遍的国际法理支撑，反而可能加剧网络空间的对抗态势，破坏全球网络空间的战略稳定，这也成为其治理实践中备受争议的问题之一。

（二）欧洲实践：探索更积极的网络防御政策

作为数字经济高度发达的地区，欧洲始终面临严峻的网络安全威胁，勒索软件攻击的频次与危害程度持续攀升。欧盟网络安全局（ENISA）在2024年12月发布的《2024年欧盟网络安全状况报告》中明确指出，各类网络威胁活动都呈现出增长趋势。面对这一复杂态势，欧盟及各成员国并未局限于被动应对，而是采取了积极主动的网络防御政策和措施，从多个方面来构筑和发展其网络安全防御框架，用以及时预测、发现、抵御和威慑包括勒索软件攻击在内的网络威胁，形成了兼具统一性与灵活性的治理特色。

首先，在制度保障层面，欧洲持续完善网络安全法律框架，为打击勒索软件犯罪和处理网络安全事件提供制度基础。2019年生效的《欧盟网络安全法》旨在对欧盟内部提供网络韧性和响应能力，创建了一个欧洲网络安全认证框架，增强各成员国网络信息安全风险防控能力，被认为是欧盟网络安全治理的“新规划”，为跨区域打击勒索软件犯罪扫清了制度障碍。针对原有法律框架对非嵌入式软件监管空白的问题，欧盟委员会于2022年9月通过了《网络弹性法案》提案，为包含数字元素的产品引入了强制性网络安全要求，从源头减少由于产品安全漏洞而引起的勒索攻击风险，实现了从“事后追责”向“事前防范”的治理转向。2023年1月正式实施的《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS2指令）则进一步扩大了监管覆盖范围，将11个对经济社会至关重要的关键领域纳入重点监管，通过规定更为严格的监管要求以减小关键设施遭受勒索攻击的可能性。此外，针对金融部门对软件和数字流程的高度依赖，欧洲议会专门出台了《数字运营弹性法案》，聚焦金融领域网络攻击引发的运营中断风险，为金融机构应对勒索软件等恶意攻击提供了专项制度保障。

其次，在治理机制层面，欧洲坚持推动联合防护与独立应对相结合，在维护欧盟统一治理框架的同时，充分尊重各成员国的自由裁量权。勒索软件攻击的跨境性特征与网络安全执法的国家主权属性之间的内在张力，决定了欧盟必须构建协同化的治理机制。《欧盟网络安全法》明确要求各成员国制定符合区域标准的网络安全国家战略，加强成员国间的信息共享与协作，加大网络安全技术研发投入与支持力度，并建立跨境网络事件的联合处理机制。例如，将欧盟网络和信息安全署（ENISA）指定为永久性的欧盟网络安全职能机构，负责统筹欧盟层面的网络安全防护工作，推动各成员国保持一致的防护水平，针对重大勒索危机和跨境攻击事件作出相应的应对。这种“欧盟统筹、成员国落实”的治理模式，既有效规避了成员国各自为战导致的治理碎片化问题，又充分调动了各国的积极性与主动性，实现了治理效率与主权尊重的有机平衡。

再者，在国际合作层面，欧洲广泛开展网络安全领域外交互动，加强应对恶意网络活动方面的国际合作。欧盟认识到，勒索软件作为全球性网络威胁，其有效治理离不开国际社会的协同响应。为此，欧盟积极引入“网络外交工具箱”，以国际法为基础推动制定负责任的国家网络行为规范，通过建立信任措施、支持伙伴国家的网络能力建设等方式，扩大网络安全治理的国际共识与合作基础。2022年10月，欧盟参加了包括36个国家在内的国际反勒索软件倡议（CRI）峰会，与会各方推动组建国际工作组来打击勒索软件犯罪活动，打击支撑勒索软件生态系统的非法资金，并与私营部门合作抵御勒索软件攻击，合作打击勒索软件攻击行为并追究犯罪行为主体的责任。与此同时，欧盟也与多国展开了多项国际联合执法行动，在国际刑警组织、欧洲刑警组织以及欧洲网络犯罪中心、联合网络犯罪行动工作组支持下，对使用勒索软件的个人和团伙开展联合打击，有效提升了对跨境勒索软件犯罪的威慑力与处置效率。

总体来看，欧洲的勒索软件治理实践呈现出“制度先行、协同为要、合作共赢”的鲜明特征，通过法律框架的持续完善、治理机制的协同创新与国际合作的深度拓展，构建起全方位、多层次的积极防御体系。这一实践既契合欧洲一体化的治理传统，又充分适应了勒索软件攻击的跨境性、复杂性特征，为区域乃至全球勒索软件治理提供了重要参考。

（三）中国实践：致力于推动网络安全治理的法治化进程

随着数字经济的快速发展，我国已成为勒索软件攻击的重点目标区域之一，此类攻击不仅导致大量数据损失与经济损失，更对关键信息基础设施安全、企业经营秩序乃至个人信息权益构成严重威胁。当前，我国针对制作、传播计算机病毒、实施敲诈勒索以及为危害网络安全活动提供技术支持和帮助等行为已形成较为完备的法律规制体系，虽然现行立法尚未针对勒索软件攻击设立专门的罪名，但通过上位法原则性规定、专门性法律法规配套以及司法解释细化，实现了对勒索软件相关行为的全面规制。

2000年12月通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》明确，故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络致使计算机系统及通信网络遭受损害的，以及利用互联网进行盗窃、诈骗、敲诈勒索，依刑法有关规定追究刑事责任，为勒索软件相关行为的入罪提供了基础依据。《中华人民共和国网络安全法》作为网络安全领域的基本法，其第二十七条、第四十四条对包括勒索软件攻击在内的网络攻击行为作出原则性规制，第七十五条进一步明确了攻击关键信息基础设施的法律责任与制裁措施；《关键信息基础设施安全保护条例》第十八条规定的特定情形下运营者和保护工作部门的报告义务和机制，同样适用于勒索软件攻击等网络安全威胁情形，为事件处置与溯源追责提供了程序保障。

此外，司法解释在一定程度上补偿了缺乏直接立法的不足。最高人民法院、最高人民检察院出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》等文件，明确了“非法获取计算机信息系统数据”“非法控制计算机信息系统”等行为的构成要件与入罪量刑标准，为司法机关认定勒索软件相关犯罪提供了具体依据。2024年8月发布的《关于办理洗钱刑事案件适用法律若干问题的解释》，首次将“虚拟资产”交易纳入洗钱罪规制范围，针对性解决了勒索软件犯罪中常见的加密货币赎金洗钱问题，切断了犯罪利益链条。

在虚拟资产监管方面，中国人民银行等部门先后发布《关于防范比特币风险的通知》《关于进一步防范和处置虚拟货币交易炒作风险的通知》，首次将比特币界定为“虚拟商品”并强调存在洗钱风险，明确虚拟货币不具有法定货币地位，相关业务活动为非法活动,从源头遏制了勒索软件赎金支付的主要渠道。2026年2月，中国人民银行等八部门联合发布《关于进一步防范和处置虚拟货币等相关风险的通知》，延续了我国近年来对比特币等虚拟货币的政策立场，再次重申虚拟货币不具有与法定货币等同的法律地位，明确在我国境内开展虚拟货币相关业务活动属于非法金融活动,进一步加大对勒索软件在内的违法犯罪活动的打击力度。

在技术防范与应急处置层面，相关主管部门通过发布专项指南、规范防护标准，构建起预防性治理体系。2021年7月，国家计算机网络应急技术处理协调中心出台了《勒索软件防范指南》，提出“九要”“四不要”防范原则和应急处置方法，为政府部门、企业及个人提供了系统化的防护指引。

在执法层面，我国采取“全链条生态打击”模式，强化对勒索软件犯罪的震慑与遏制。公安机关主导开展专项行动，重点针对勒索软件的技术研发、传播链条、资金流转等核心环节实施靶向打击。在2024年公安部“打击网络黑客犯罪”专项行动中，共侦破包含勒索病毒类案件在内的网络黑客及关联犯罪案件1600余起，抓获犯罪嫌疑人4900余名，其中以祁某为首的黑客团伙开发勒索病毒程序，对杭州某医药公司等实施渗透入侵、植入病毒、敲诈勒索的案件成功告破，彰显了执法机关的打击决心与能力。

司法实践中，对于勒索软件攻击相关刑事案件，通常依据《刑法》第二百八十五条规定的非法控制计算机信息系统罪、第二百八十六条破坏计算机信息系统罪以及第二百七十四条敲诈勒索罪论处。例如，欧阳俊曦敲诈勒索案、祁某非法控制计算机信息系统案等典型案例中，司法机关通常认定勒索软件攻击的手段行为符合“破坏计算机信息系统罪”构成要件。通过网络攻击、加密数据、威胁泄露秘密等方式索要赎金的行为构成“敲诈勒索罪”，因手段行为与目的行为之间存在牵连关系，构成牵连犯，实践中多按“从一重处断”原则以破坏计算机信息系统罪论处。值得注意的是，勒索软件攻击兼具“财产勒索+数据窃密”的双重危害特性，其行为特征与其它传统网络犯罪、敲诈勒索罪存在本质差异，其行为特征与现有罪名体系难以完全适配，导致法律适用中存在适配性争议，这也成为我国勒索软件治理法治化进程中需要进一步解决的问题。

如前所述，勒索软件已超越传统刑事犯罪的范畴，日益演变为融合经济勒索、数据窃取、地缘政治博弈于一体的复合型安全威胁。攻击者不仅通过加密资产索取赎金，更可能以泄露敏感数据为要挟，实施政治施压或战略威慑。在此背景下，治理框架必须回应其“犯罪－安全”双重属性，而非简单套用既有网络犯罪规制逻辑。

（一）法理探究：赎金的法律性质与支付行为的合法性存在争议

赎金问题既是经济问题，也是道德问题，更暗涵法理问题。赎金的法律性质和支付行为的合法性认定，已成为当前争议的重大问题。技术勒索在给被害人造成了巨大经济、数据、名誉损失的同时，也迫使其在支付赎金降低损失与抵制勒索维护秩序之间做出艰难选择。在部分勒索软件攻击事件中，部分受害者出于“反抗即损失”和“必要性的邪恶”等心理，认为恢复设备与数据访问权、防止失窃数据被公开或变卖、消除不利社会影响等后果的成本高于赎金本身，选择支付勒索赎金成为其基于成本收益分析的理性决策。据网络安全公司统计，2022年全球有62.9%的勒索软件受害者支付了赎金，其中49%的受害者是为防范营收损失，另有41%的受害者是为了加快恢复运营，凸显了支付赎金背后的利己主义心理逻辑与利益诱因。

然而，从国家执法司法层面来看，支付赎金本质上构成对勒索软件攻击犯罪的帮助、纵容与资助。此类犯罪不仅危及国家网络管理秩序，还侵害了组织和个人的有形及无形财产权益，而赎金支付会形成“支付—获利—再攻击”的恶性循环，助长犯罪气焰。流向犯罪网络的资金还会产生次级与三级经济效应，可能被用于资助恐怖主义、人口贩卖或大规模杀伤性武器的扩散等非法活动。作为超越商业、政府与地理界限的跨境犯罪，勒索软件的蔓延与受害者的支付意愿密切相关。因此，国家层面必须摒弃“纵容”反社会、反道德的心理，斩断对勒索软件犯罪的“资助”渠道，避免为攻击者变相提供物质帮助与经济支持，秉持“零容忍”的态度遏制此类违法犯罪的滋生蔓延。

当前，全球各国尚未针对勒索软件行为及赎金性质等制定专门立法，多通过解释现有法律、出台执法意见等方式界定相关行为的法律责任。2023年第三届国际反勒索软件倡议峰会上，近50个国家签署首个联合反勒索软件倡议政策声明，呼吁各国政府停止向勒索软件团伙支付赎金。但网络空间的独特性使得诸多问题无法在现有法律框架内找到现成答案，亟需通过专门立法予以回应。同时，多数国家已制定国内立法规制严重危害本国利益的网络不法行为，但如何划分国内法与国际法的调整范围、实现二者的协调互补，仍需进一步研究。

美国在规制赎金支付方面采取了较为严格的措施。其执法和司法部门试图通过援引《国际紧急经济权限法》（IEEPA）与《禁止与敌国贸易法》（TWEA）等法律，明确金融机构或虚拟货币平台帮助勒索软件受害者向勒索软件支付赎金的行为构成违法违规。2019年7月，面对黑客提出的上百万勒索赎金的要求，在第87届美国年度市长会议上，227名市长联名投票拒绝支付，并通过了《反对向勒索犯罪者支付赎金》的决议。2020年10月，美国财政部海外资产控制办公室（OFAC）出台部门意见，明确禁止向制裁名单上的个人、组织、政权及国家支付赎金，否则将以资助犯罪论处，面临民事处罚、罚款或刑事指控。2021年2月，美国比特币支付服务商BitPay因接受来自特定“受制裁”国家和地区网络地址的用户订单，并提供相应的比特币交易结算服务，被处以50多万美元的罚款。该案例的突破表明，美国执法部门不仅已将虚拟货币等相关领域纳入单边制裁执法活动的新重点，还明确了赎金支付帮助行为的违法性和可罚性，对后续执法司法活动具有重要指导意义。

英国政府为应对日益增长的勒索软件威胁，正推动对现有网络安全框架的重大调整。2024年5月，英国政府发布公众征询文件，要求民众强制报告勒索软件攻击，在获得许可后才能支付赎金，禁止关键基础设施相关机构支付赎金。2025年1月至4月，英国内政部发布《勒索软件立法提案：减少对网络罪犯的支付和增加事件报告》公开咨询文件，指出支付赎金会强化犯罪团伙的商业模式，加剧勒索软件的蔓延；进而提出72小时内初步报告、28天内完整报告的制度设计，旨在切断支付赎金渠道，解决不报、漏报、迟报等问题，为执法和恢复等工作提供更全面的受害情况支撑。

我国现行法律尚未对勒索软件赎金作出具体规定，司法实践中将其界定为犯罪所得，对其合法性持否定性评价。2007年欧阳俊曦敲诈勒索案是我国首例涉及勒索软件的司法审判案件，被告人制作并传播勒索软件，以修复丢失资料、获得正版软件序列号为名，向被感染的计算机用户索取财物2758元。检察机关以破坏计算机信息系统罪和敲诈勒索罪提请两罪并罚，一审法院以破坏计算机信息系统罪判处其有期徒刑四年，二审法院改判有期徒刑一年六个月。该案虽已审结，但仍存争议。由于比特币是当前赎金支付的主流形式，赎金性质的界定主要涉及支付比特币行为的定性。当前亟需对以虚拟货币为主的赎金性质作出合理法律解释，明确其与罪名确立、受害者支付行为法律后果的关联，并从操作层面解决罪名适用与数额计算的问题。有学者认为，比特币作为虚拟产品，其法律本质为电子数据而非财产，不应纳入刑法保护的“财物”范畴，因此，索要比特币不符合“敲诈勒索罪”的犯罪构成。这类观点不无道理，当前关于比特币的法律规定也印证了这种担忧。

（二）溯源执法：难以明确勒索软件攻击的法律认定与责任归属

勒索软件引发的网络威胁已突破传统刑事犯罪领域，延伸至政治、经济、网络等多个领域，模糊了传统刑事犯罪和国家战争行为之间的界限。这不仅对各国国家安全构成深远影响，更成为威胁国际安全的全球性挑战，使原本技术性的局部安全问题上升为牵涉国际政治与战略的复杂议题。从攻击对象看，勒索软件攻击的目标已从个体、企业扩展至政府机构乃至国家层面，其危害不仅表现为企业和组织的直接经济损失、商业秘密和知识产权窃取、社会信誉受损、监管合规压力增大等，更会威胁国家关键信息基础设施安全，转化为国家安全风险，给数字经济的安全发展带来巨大不确定性。

从不法行为发起者来看，当前全球勒索攻击面临国家行为体与非国家行为体并行的“双主变量”。相较于勒索行为本身，对攻击者身份和真实意图的确定、行为溯源及定性均存在较大困难。尤其是随着“勒索软件即服务”商业模式的普及与勒索犯罪生态的演化，定制化雇佣攻击日益增多，进一步掩盖了发起者的身份与真实意图，增加了溯源调查的复杂性。数字勒索市场的流动性、去中心化和动态性,使得个别勒索软件行为者的识别过程变得复杂，攻击者认定和责任归属的难度持续攀升。

不同攻击主体的攻击意图、目标与方式存在明显差异，在生命周期、实施成本、影响范围上也有着显著差别。以勒索钱财、窃取数据为首要目标的组织和个人，因其体量较小、涉案人员较少、技术层别较低，较易被追踪抓捕和定罪量刑。但针对关键基础设施的大型勒索攻击案件，因缺少证据证明其是否由国家授权或资助，难以明确勒索实施者与国家的关联。国际法上对国家责任的认定本就存有争议，尽管“受国家指挥或控制的行为”通常被视为国家行为，但《国家对其国际不法行为的责任条款草案》及相关国际法判例，尚未对国家对行为、个人或机构的“许可”“控制”或“有效控制”形成统一认定标准。勒索攻击构成国际不法行为的前提是“可归因于国家”，但勒索团伙与国家之间的利益联系往往模糊不清，难以通过“指导和控制”或“认可和承认”的严格测试实现有效归因。此外，从技术溯源到法律追责，缺乏统一、公认的标准、程序及证据支撑，即便完成溯源证明，还需面临国家豁免等国际规则的制约，导致国际性大规模勒索攻击的国家实体责任难以追究。

赎金支付方式的演变进一步加剧了溯源执法难度。早期电汇、银行转账、网络订阅等支付方式容易暴露攻击者的物理地址与电子账号等信息，便于执法追踪；而随着加密货币的出现，其去中心化、匿名性和隐私性强等特性深得攻击者们的青睐，大量黑客开始采用加密货币进行勒索交易。勒索软件大多使用比特币等高匿名、易变现、难追踪的全球化支付方式，现有的网络攻击追踪和溯源技术手段难以有效应对。

数字化赎金支付手段的优势主要体现在两个方面：其一，现有政策和技术难以对加密货币进行追踪、堵截和溯源。加密数字货币的发行不依赖各国法定金融机构，凭借数字化、有效匿名性及脱离监管金融网络的可转移性优势，成为监管套利的重要工具，而各司法管辖区监管标准的不一致，进一步削弱了风险防控的效果。近年来，专门的混币、洗币等服务日益普及，通过庞大的资金流动掩盖款项真实来源，大幅提升了追踪溯源的难度。二是非法收益经洗钱后易于实现合法化变现。比特币为网络勒索提供了低风险、易操作、便捷性强的交易与变现渠道，消除了跨国资金转移和收益变现的障碍。由于各国执法、反洗钱、金融、法律监管制度存在差异，勒索软件运营商得以利用监管鸿沟寻求避风港,例如在监管宽松的国家交易所进行比特币大额交换以掩盖资金来源，再在监管良好的交易所出售，借此实现赎金形式上的合法化。加密货币的广泛应用，不仅实现了勒索犯罪的闭环，更有效隐匿了包括支付环节在内的犯罪行为，很大程度上助推了勒索软件犯罪的产业化发展。

此外，数字执法取证中还面临跨境数据流动规则冲突与技术障碍的双重挑战。一方面，各国数据主权原则与跨国电子取证需求存在矛盾，数据本地化立法与跨境流动管制的制度性冲突持续加剧，在云服务领域尤为突出，暴露出国际社会在技术治理规则协同上的结构性缺陷。②另一方面，数字证据的国际认证缺乏统一标准，各国在取证程序、完整性校验及证据能力认定上存在显著差异，削弱了跨境取证的司法效力。同时，勒索软件攻击的匿名性、加密性、跨国性特征，以及加密网络、端到端通信加密等技术的应用，给电子取证工作带来极大困难，传统电子证据规则体系面临重构。而量子计算技术的发展可能会颠覆现行加密体系的安全性，这也将进一步刺激勒索软件犯罪主体加快部署量子对抗方案，从而加剧取证难度。

（三）司法协作：跨境司法面临管辖权竞合与犯罪行为跨国性之间的结构性矛盾

网络勒索软件攻击犯罪具有行为匿名化、分工高度组织化、产业链化、资金流转全球化等特征，彻底突破了传统犯罪治理的物理边界与法律逻辑。在现有国际法框架下，勒索软件国际治理的困境，很大程度上源于全球网络犯罪治理机制失灵，尤其是刑事管辖权的刚性需求与跨国网络行为溯源困难之间的矛盾，对跨境司法执法提出了严峻的挑战。

一是网络主权博弈引发网络刑事管辖权竞合。传统刑事管辖权以属地管辖为主，属人管辖、保护管辖、普遍管辖为辅的原则，其中属地管辖以犯罪行为发生地或结果地为管辖权行使依据，但勒索软件的分布式攻击及相关产业链支撑，使得犯罪链条可能涉及上百个对应不同物理地址的网络节点。

当攻击的行为主体、数据存储节点、服务器所在国、犯罪后果分布分处不同法域时，主权原则的排他性与网络空间的超域性形成结构性张力,进而引发网络刑事管辖权冲突。从国际法视角看，该冲突本质是现实空间的国家主权在网络空间的映射错位，根源在于传统管辖规则难以适应网络空间特性。数据的跨境流动促使部分国家扩张管辖权，加剧了“域外管辖”与“属地管辖”之间的冲突；而网络犯罪领域国际条约的缺失，也使普遍管辖原则的适用缺乏充分的法律依据。例如，勒索团伙往往利用不同国家的服务器、网络设施与受害者实施犯罪，其技术策略导致单一国家的管辖与国际刑事司法协助机制难以有效落地。尽管《布达佩斯网络犯罪公约》等国际法文件倡导跨境合作，但各国在网络主权、数据主权主张上的立场分歧，常使跨境取证、司法引渡等实践陷入僵局。电子数据的流动性、分散性及其存储、访问与用户所在地的分离，持续冲击着以领土为基础的属地管辖原则，造成电子证据跨境获取的困难。当前，国际社会尚未就网络空间行为准则形成共识，既有法律体系在应对勒索软件犯罪时存在明显的制度滞后，客观上导致了刑事管辖的积极冲突与消极实现。

二是国际司法协助的滞后化与碎片化。以《联合国打击跨国有组织犯罪公约》和《布达佩斯公约》为核心的现有框架，其规则设计仍主要基于物理空间的犯罪形态，难以适应勒索软件攻击中数据流、资金流与犯罪行为高度融合的跨境特征。区域性机制如欧盟刑警组织的“反勒索特别小组”虽建立了情报共享平台，但因各国数据分类标准与密级划分不一，实际信息交换效率受限。例如，在2023年针对Hive勒索软件的国际联合行动中，参与国对情报密级的不同认定导致40%的关键数据未能实时共享。这一缺陷在引渡实践中同样突出。传统引渡所依赖的双重犯罪原则，因各国对网络犯罪构成要件的立法差异而常遭遇障碍。例如，2021年法国向新加坡提出对相关勒索软件犯罪分子的引渡请求，因后者立法中缺乏“虚拟货币洗钱”对应罪名而被驳回。此外，政治与安全因素的介入进一步削弱了协作实效，部分国家常以“数据主权”或“公共秩序保留”为由，变相阻挠司法协助请求的执行。在2023年“克罗诺斯”联合行动中，乌克兰方面曾以“反恐情报敏感性”为由，拒绝向联合调查组提供关键通信元数据，最终导致针对勒索支付链的司法阻断措施未能实施。

五、加强勒索软件国际治理的中国方案

面对当前国际治理体系存在的规范碎片化困境，中国应坚持共商共建共享的全球治理观，积极推动形成具有广泛共识的国际规则体系。具体而言，可从以下三个层面构建系统性应对路径：

（一）规则塑造：完善法律框架以更好衔接国内和国际两套规则

规范的多样化或缺乏统一规范会导致规范竞争，使其由静态的“事物”转变为动态的社会“进程”。当前，针对勒索软件攻击的法律规制仍存争议，究竟应由各国国内法调整还是依托国际法，抑或是共同调整和规范尚无定论。在此背景下，以《联合国打击网络犯罪公约》为契机，推动形成全球性统一的治理规范，已成为国际社会亟待完成的重要环节。面对全球“灰色地带”网络行动增多、各国对国际法选择性解读和利用的现实，当务之急是最大限度减少这些因素对网络空间国际规则进程的影响。

为此，我国应在战略层面积极倡导形成全球治理共识，坚持网络空间命运共同体理念，反对网络空间军事化与安全化倾向，抵制对抗性思维，积极推进全球合作，开拓网络安全治理新格局。在落实《联合国打击网络犯罪公约》的基础上，继续在联合国框架下推动各国普遍接受的勒索软件治理规范，明确国家及相关行为体在跨国勒索犯罪治理中的基本行为准则。其次，通过双边、多边对话，推动制定符合共同利益的国际勒索治理软法，明确管辖权、准据法、举证方式与证明标准等内容，逐步协调和平衡监管框架和治理协议的治理实效。此外，应正视国家法体系与网络软法体系之间的矛盾冲突,探索前者在尊重软法自治基础上的适度介入路径，厘清二者互动关系，推动网络空间治理的法治化进程。

在跨国合作层面，我国应支持并参与联合国打击网络犯罪的相关机制建设，共同攻克勒索攻击防范的技术难题，搭建国际法律协调机构，以技术支撑和治理规则健全完善为依托，构建规则健全、资源整合、务实有效的国际治理合作体系。

从国内法视角看，各国对虚拟货币的监管缺乏统一规则，为勒索软件的跨境变现提供了机会，也凸显出各国立法差异与国际合作不足的困境。明确虚拟货币的法律地位是监管的前提，各国应立足国情对其进行科学定性，为后续监管提供法律依据。我国可重点加强反洗钱与反恐怖融资法制建设，推动各国深化执法司法协作，督促全球主要虚拟货币交易平台严格落实客户身份识别、交易记录保存和可疑交易报告等义务，加大打击力度，提高违法成本，从而有效遏制利用虚拟货币进行的非法金融活动。

（二）防治一体：构建防范和惩治并重的运行机制

从经济学视角来看，受害者基于成本收益分析选择支付赎金，本质上是一种经济理性行为。从刑法学角度分析，受害者被迫支付赎金的主观目的是减少持续损失、保护隐私数据，难以认定其具有主观罪过，因此将赎金支付直接定性为违法行为存在法理瑕疵。立法层面直接禁止赎金支付虽能降低勒索软件的非法获利空间，但可能衍生出新的治理问题。在严厉规制下，部分受害者可能通过中介服务解决问题，催生出庞大的非法市场。而在“一案双查”制度下，涉案企业若因担心被追责而不报告被勒索的情况，将阻碍司法机关和主管部门掌握真实情况并采取针对性措施。

基于对赎金支付的法理分析和法律实施后果的预判，我国不宜对赎金问题采取“一刀切”式规制，而应建立公平的赎金支付裁决机制。设立专门工作组有助于形成统一、明确的裁决标准，鼓励被勒索企业主动上报情况，消解“一案双查”制度的弊端。与此同时，需要理性界定受害者的法律责任。网络信息业者在刑事诉讼中的数据提供义务在近年来呈现出不断扩张的趋势,作为勒索软件攻击的被害者，企业和个人已遭受了财产损失和精神压力，不宜一味地加重其责任负担，而应综合考量勒索软件行为的风险和危害、受害者是否存在明显过错以及事前、事中和事后采取的应对措施等因素，合理确定责任的有无及大小。

这一责任认定逻辑的合理性主要基于两方面的考量：其一，面对产业链化的勒索软件攻击威胁，尤其是国家行为体主导的体系性网络攻击，组织和个人通常处于弱势地位，缺乏应对专业性网络勒索的足够能力和资源。在此情形下，国家应统筹施策，在指导组织和个人强化反勒索防护能力的基础上，通过制度设计降低赎金支付的吸引力和便利性，从根源上削弱勒索软件攻击的盈利空间。其二，通过完善赎金支付报告框架、加强网络尽职调查，鼓励被勒索者及时全面披露信息并积极报告，在政企合作的基础上把控勒索态势、遏制攻击蔓延。可以参照效益主义理论，设立防勒索软件防护“安全港”机制，对于已最大化落实事前防勒索措施、事中事后及时发现攻击并第一时间主动报告、全力配合调查且将实际损失降至最低的受害者，可对相关责任单位和个人予以免责保护。这一机制能激励潜在受害者成为防范和打击勒索软件攻击的重要协作力量，促使其主动采取积极防范措施，大幅降低其因担心承担法律责任而选择沉默、隐瞒、欺骗甚至私下支付赎金的可能性。

此外，还需加强赎金识别和跟踪平台建设。面对混币服务、跨链转移等复杂规避手法，必须研发针对性反制技术，构建高性能的区块链分析平台，打破数据壁垒，整合多部门数据资源，通过智能算法主动识别异常交易模式和高风险地址,为精准打击勒索软件犯罪提供技术支撑。

（三）国合智治：推动反勒索软件攻击技术情报共享与国际执法司法协同

网络安全是全球性挑战，没有哪个国家能置身事外，维护网络安全亦是国际社会的共同责任。当前国际网络安全态势大体呈现不安全感和不信任感加剧、丛林法则与冷战思维重燃、西方强势主导议题三个趋势,这在勒索软件攻击治理领域尤为突出。我国应倡导各国摒弃地缘政治博弈思维，强化全球互信合作，在立法协同的基础上，推动构建威胁情报共享、应急响应、司法协作等机制，共同守护清朗有序的网络空间。

一是突破传统国际合作的机制性难题，重点破解管辖权竞合与执法权分散的治理困境。针对勒索软件的协同治理机制实现范式升级，构建融合外交协调与执法协作的复合型治理框架，以动态平衡的激励约束机制为核心，通过制度设计与资源整合的双向驱动，推动主权国家形成治理共识。一方面，通过技术援助、能力建设等措施提升各国的治理参与度；另一方面，依托定向制裁、司法追诉等刚性手段压缩跨国犯罪活动空间，以“制度激励+责任绑定”的双轨路径，避免部分国家和地区成为勒索软件犯罪的避风港，消解因立法滞后或执法缺位形成的“监管套利”现象。

二是建立统一的追诉和司法协助机制，解决传统引渡机制在数字时代的不适应问题。传统引渡机制所依赖的“双重犯罪原则”在数字时代已难以适配网络犯罪特征，我国应推动国际社会探索建立“特定犯罪类型司法协助快速通道”，对勒索软件等公认恶性网络犯罪简化双重犯罪审查，并引入“最小关联原则”，即只要攻击行为链任一环节在请求国构成犯罪，即可启动司法协助程序。同时，通过多边谈判制定统一的虚拟货币监管标准，协调各国监管政策，减少监管套利空间。针对虚拟货币跨境犯罪的追诉和资产追回，建立高效的司法协助机制，简化司法程序，提高执法效率，实现对勒索攻击被害者财产的有效保护。此外，推动各国将虚拟货币交易平台、钱包服务商等纳入强制监管范畴，通过与虚拟货币交易活跃国家地区签订双边司法协助协议，联合研发链上资金追踪通用工具，促进各国监管机构突破虚拟货币匿名技术的障碍，形成技术层面的监管合力。

三是要加快构建技术情报共享机制，突破数据主权与跨境取证的法理冲突。实现勒索软件治理效能的最大化，既需将其纳入国际安全议程的核心优先级，更需通过常态化情报共享、联合执法行动及跨境电子取证机制的技术性突破，形成对全链条的打击能力。《联合国打击网络犯罪公约》《布达佩斯公约》等确立的电子证据调取规则，其执行效力受制于各国数据本地化立法的刚性约束。对此，可推动《联合国打击网络犯罪公约》创设“技术中性”的数据分类流通机制。对犯罪侦查所需元数据建立快速调取通道，豁免常规跨境审查；对涉及公民隐私的通信内容数据，通过区块链存证与零知识证明技术实现“可用不可见”的安全共享。在跨境取证领域，则需重构电子证据认证标准体系，推动国际刑事法院制定《网络犯罪电子证据采信指南》，将量子安全哈希算法、时间戳链式存证等新型技术纳入证据完整性验证标准，并通过互认协议消除各国程序性差异，提升跨境取证的司法效力。