社會

【律師幫你劃線:白帽子的邊界在哪?】

原標題:律師幫你劃線:白帽子的邊界在哪?

雷鋒網編者按:在 2 月 23 日 360 安全應急響應中心(簡稱 360 SRC)的三週年慶典活動上,360 董事長周鴻禕態度鮮明地表示,對於善意的白帽子,企業應給予支援和理解的態度,呼籲政府出臺政策對白帽子這類安全人才進行保護和鼓勵。360還邀請了資深律師講解“白帽子的行為邊界”,為白帽子保護自身利益提供法律援助。

以下就是金杜律師事務所律師陳聖的發言記錄,雷鋒網編輯略有刪減,文章標題為雷鋒網編者所加。

--

網路安全市場可做的事情很多。但是,大家奮不顧身往前衝時,法律人要在後面給大家收收勁,拽一拽,要注意安全,這條道路並不是那麼安全,有很多可見和不可見的風險等著我們。

首先,可見的是一些法律上的風險。去年,大家可能比較關注一個案件,就是快播案。當時有一個爭論,技術是中立的。所以,去年我參加成都的一個活動時,也有一些白帽子跟我說,技術是中立的、無罪的,出現問題為什麼需要我們承擔?

當技術遭遇法律,法律就必然要進行評價。當技術帶來了法律所不允許的風險時,那麼,技術的運用就不再是中性的。所以,這可能就是作為今天白帽子的行為邊界這個話題的出發點和基點。

白帽子做的是一件利國利民的大事,至少讓每個人的資訊至少不是處在裸奔狀態。有了白帽子,我們才覺得更安全。去年在參加成都的活動時,我和一些白帽子進行了交流,發現大家都比較焦慮和恐懼,空氣中蔓延的都是非常緊張的氣氛。

大家都感覺到自己在從事這一高尚職業的同時也面臨了一些風險,這種風險來自於哪?他們不知道,內心則惶恐不安。在網際網路江湖上,經常聽說今天誰誰消失了,明天誰誰被請去喝咖啡、到看守所刷馬桶。當我問他,你見到這個人了嗎?你見證了這件事情嗎?他說沒有,大家只是聽說的。在大家感受到惶恐時,並不知道這件事情有多大,或者類似的事情在全國有多少。所以,今天通過大資料的方式,把現在已有的、這幾年的司法判例展示出來,讓大家看一下到底有多少。

第二,我還是想把法律上的一些事情跟大家解釋一下。大家說我們能看到一些法律,但有些東西我們理解不了。什麼理解不了?例如,違反國家規定。什麼是違反國家規定?另外,經濟損失,經濟損失怎樣計算?破壞一樣東西造成的直接或間接的損失可能是無法計算的,到這樣一個數是不是就能治罪呢?所以,我們今天從這兩個角度來說一下這件事情。

看數說話

這是我從中國裁判文書網上的大資料,看到的關於非法侵入計算機資訊系統罪的每年發案數。這兩條線,實線用的是“非法侵入計算機資訊系統罪”,以這個案由作為關鍵字進行檢索得出的;虛線就是把罪去掉,用“非法侵入計算機資訊系統”檢索得出的資料。兩條線有比較大的差別,為什麼用這兩種方式進行檢索,這裡有一個小段子。

一位在監獄工作的朋友給我講過一個故事。有一天,有一個小孩因為盜竊罪進監獄服刑。第一天就要拜碼頭(牢頭),牢頭第一句話就說,你打小不學好,出來偷偷摸摸,這種沒有技術含量的事你也做,以後小組的尿盆都歸你倒了。這個小孩就膽戰心驚的說,我和人家有點不一樣,我就是手頭緊就從網上弄了點東西。牢頭一聽,高科技人才,今天晚上你就睡我邊上,馬桶也不用倒了,你就給我好好講一講你是怎麼偷的。

通過這一個小案子,至少從兩個層面發現了問題。第一個層面,只要是人才,到哪兒都受到優待。當然,這也說明瞭在普通人眼裡,通過計算機網路這個媒介從事的這些事情,在大家眼裡看起來是很高階的,即便是你的行為可能是偷竊,在大家眼裡也是與眾不同的,當然我們和孔乙己不一樣,不會去區分偷和竊的區別,總之它是一種犯罪。

第二個層面,他通過計算機這個媒介實施了盜竊行為,最終在法律上的評價是盜竊罪,為什麼會這樣?我們看到的事情和最終拿到的司法判例完全沒辦法接受,這麼高大上的事情讓你說成了三腳貓的小偷,這可能涉及到刑法上的概念,同一行為觸犯不同的法律從重,同一行為觸犯不同法條特殊流於一般。

從2013年開始,我檢索到的“非法侵入計算機系統罪”的案發量是零,但以它為關鍵詞再檢索得到的是6左右,通過這個曲線可以看到它是往上走的,這也證明瞭和我們當前所處的網路安全環境有關,這兩年的安全形勢確實不太好。我們的刑法也在不斷地修訂。

這是非法獲取計算機資訊系統資料、非法控製計算機資訊系統罪,這兩條曲線在 2012 年都是零,2016 年曲線陡線上升;到2015年是一個轉折點,實線往上,虛線往下,破壞計算機資訊系統罪整個趨勢都在往上走。

這說明一個問題,這幾年的案件都處在一種高發狀態。

整體而言,這幾種案件要比一年兩三萬件的盜竊等形式的犯罪要少很多,這種案件沒有超過百件,在司法實務中,平均一天不到兩件。所以,這不像我們之前感覺到那麼恐懼,形勢沒有那麼恐懼。

一是發現難,確實是高智商才能做出來,普通的百姓想幹幹不了。這種案件發現比較難。有時候自己被侵害了,但他意識不到自己被害了,所以連報案的意識都沒有。故意炫技,在網上寫上“到此一遊”的除外。

第二,即便報案了,公安機關想要查清楚也是比較難的。因為網路的很多東西,通過匿蹤等各種方式,導致這個案子根本沒有辦法辦下去了。

第三,定罪比較難。網路犯罪的最大的特點就是資料容易被篡改和滅失,辦理刑事案件,包括法院定罪量刑最重要落實到證據上,證實你在那個時間點確實幹了這個事,而且數量加起來確實夠罪,這樣才能進行定罪量刑。但因為技術原因的限制,現在很多是達不到的。

第四,根據刑事責任的年齡規定,很多白帽子是90後,甚至有很多是00後,這一類青少年在沒有分辨是非能力的情況下,盲目地技術崇拜,搞一些破壞和小惡作劇,他自己覺得很 happy,但造成了很大損害。刑事責任的年齡是18周歲,16周歲是相對刑事責任年齡。所以,導致瞭如果沒有達到刑事責任年齡時,是不負責任的。也有一種是需要承擔刑事責任,但判刑在一年以下,這時檢察院就會做出一個決定,通過調查決定做附條件的不起訴。如果判刑在五年以下,可能會做犯罪記錄封存。這些都導致了我們現在看到的案件不是案件的全貌。

資料從 2012 年到 2014 年陡然拉昇,到 2014 年後慢慢變得平緩,這裡是不是有在座的各位的功勞?因為我剛才看到了我們的平臺(編輯注:指360)成立了三年,從事這樣的網路安全服務有三年的時間,也有可能是在你們每個人的努力下把漏洞補上了,沒有給更多人有機可乘的機會,所以案件的數量已經掉下來了。

但是,通過這兩張圖表可以很清晰的看到,網路、計算機、資訊系統現在已經更多的成為了一種犯罪工具。在對這個罪名最後的檢索中能夠看到,實際上按這個罪名來定罪的不少,其他都是按照其他的罪名來定罪,這已經變成了一種手段,所以這就是為什麼我們看到的是這樣的情況。

這裡不僅是刑事責任,有可能涉及到治安責任,《治安管理處罰法》第29條也對這些行為做了一定的規製,但沒有找到這樣的案例的原因是,這些案例是不公開的,所以在公開渠道上無法檢索到類似的案例。

白帽子日常從事的漏洞檢索或者漏洞查詢行為,通常會在這兩個方面體現:一是治安管理責任,一是刑事責任。治安是治安管理處罰法第29條,另一個是刑法第285、286條。

治安管理處罰法第29條一共四款,我都列出了,它和刑法的第285、286條相對應。它的很多表述基本一致,所以我沒有做具體的摘錄。

“違反國家規定,侵入計算機資訊系統造成危害,只要造成危害,就可以按照治安管理處罰法第29條進行處理。第二條是違反國家規定,對計算機資訊系統進行刪除、修改、增加、幹擾,造成計算機資訊系統不能正常執行的。後三條對應的是286條,破壞計算機資訊系統罪,上面的分成兩個枝杈,一個是非法侵入計算機資訊系統罪和非法獲取計算機資訊系統資料、非法控製計算機資訊系統罪。情節較輕是除5日以下拘留,較重的是5日以上10日以下。

這裡沒有把情節等等都規定出來,怎樣才能知道是觸犯了刑法還是違反了治安管理處罰法?這就是立法技術上處置不清。

刑法裡有很詳細的規定,只要不達到這個條件就不歸刑法規製,轉而由治安管理處罰法規製。

大家在圖形上可以看到,同樣一種行為,如果情節到了,有可能會處三年以上有期徒刑或者拘役,或者是五年以上到十年以下並處罰金。這三個罪名,大家注意一點,第一種罪和第二種罪是沒有罰金的,只有第二種罪有罰金,我覺得這和資料系統有關。

大家都很明白,資料是可以賣錢的,所含的經濟價值超過我們的想象。所以,它有這種規製,前面是三年以下拘役或者單純的並處罰金,這個就是五年以上十年以下並處罰金。

同時,今年6月1號馬上要生效的《網路安全法》也在行業禁止上做出了一定的規定。例如,只要違反了《治安管理處罰法》被處以拘留措施,在五年內就不能從事網路安全管理崗位和網路運營關鍵崗位,如果受到了刑事處罰,終身禁業。

《刑法》第285、286條,項下的四個罪名中的三個:非法侵入計算機資訊系統罪、破壞計算機資訊系統罪、非法獲取計算機資訊系統資料,非法控製計算機資訊系統罪。大家可以關注幾個詞,侵入、獲取和控製、破壞,我理解是漸進的,侵入了才能獲取和控製,最終才是破壞,一下子把這三個罪名都串起來了。

非法侵入計算機資訊系統罪:違反國家規定侵入在國家事務、國防建設、尖端科學技術領域,在這種情況下,如果侵入就構成犯罪,它是一種行為,只要你從事這種行為就構成犯罪。

有人可能會問,怎麼鑒別它是國家事務、國防建設、尖端科學技術領域呢?有沒有標準?當然如果你侵入這個網站上面寫得很清楚,寫的是司法部和公安部肯定就不會碰,但有很多網站是沒有這個東西,我們怎麼鑒別呢?法律做出了規定,怎麼規定呢?在鑒別時可以委託省級的網路部門,由他們來認定是否屬於這三類,所以大家在平時挖洞的過程中,一定要注意在未經授權的情況下絕對不能碰這個,如果碰了將會處三年以下有期徒刑或者拘役。另外,主觀表現是故意,如果完全不知道的情況下侵入了不構成犯罪的,所以這個必須有主觀故意才能進行處罰。

《刑法》第285條第二款,非法獲取計算機資訊系統資料,非法控製計算機資訊系統罪,在這個罪名下做了這樣的規定,進入上款規定的其他的系統或者其他手段獲取該計算機資訊系統中儲存、處理貨傳輸的資料就構成了該罪,對該計算機資訊系統實施非法控製就構成了非法控製計算機資訊系統罪。

這種罪叫做結果犯罪,有這個行為,但沒有造成危害結果就不構成犯罪,如果造成了危害結果就必須要達到一定的情節或者條件才構成犯罪。

通常大家要這樣來看這個問題,不要說從事了,我心裡就慌,或者我無意中做了哪些事情就慌,第一,要看有沒有結果,第二,要看一看情節。

我把情節嚴重和情節特別嚴重放在這裡了,情節嚴重:獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證資訊10組以上的;在第一項之外的身份認證資訊500組以上的;非法控製計算機資訊系統20臺以上的;非法所得5000元以上或造成經濟損失10000元以上的,其他情節嚴重的情形。

在非法侵入時,我平時挖洞的過程中要注意自己的工具問題,有些是拿別人的工具直接用,用完後目的實現了,但這個工具有沒有在背地裡下載這些資料的功能?或者會不會有這種情形?如果有這種情形,我們不可控製的情形下,你可能在不經意之間就達到了情節嚴重。

在司法認定上會這樣認為,說你是專業人員,你有專業技術理應認識到或意識到你的這個工具是有問題的,那麼它在背後悄悄下載了這些東西,然後把這些資料又傳出去了,所以你在不經意之間就觸犯了法律。所以我們在工具選擇上要做一個甄別,至少用時大家要做到心中有數,不要給自己帶來無妄之災。

我現在瞭解到,監獄盡管是少數有公費醫療的地方,但畢竟不是好地方,所以大家在工具選擇上一定要進行甄別和注意。

情節特別嚴重和情節嚴重他們的區別就在於乘以 5 以上。這裡面涉及到一個詞“經濟損失”,經濟損失包含哪些?是否包含間接經濟損失?去年在成都時一個小孩跟我講:

精神損失肯定不包含在經濟損失。經濟損失分兩部分,直接經濟損失,你把這個東西弄壞了,或者讓它不能工作了,它造成的直接的經濟損失;第二部分是要把你弄壞的東西恢複到最初的原創,在這種情景下要支付的必要費用,這兩者加起來才能看是不是構成經濟損失。

所以,公安或司法機關來找你,他們要誇大這些事情,要拿來看一看,這個事情是不是到了一定的數,大家心裡一定不要慌,一定要看清楚,經濟損失不包含間接損失,也不包含精神損失賠償。

這是《刑法》第286條:破壞計算機資訊系統罪。

同一行為在沒有達到一定的條件和要求的情況下,或者沒有達到我們設定的這些數額的基礎上,有可能就要按照《治安管理處罰法》來處罰,在此之上的就會構成刑事犯罪。

行為邊界,這可以從兩個維度說。什麼是行為邊界?邊界就是底線,就是不能逾越的紅線。以前我們是靠道德、宗教和信仰來約束,在現在社會我們更多要靠法律約束,所以這種行為邊界最終等於法律邊界,任何情況下都不能觸碰法律邊界。比如,你現在腳底下踩的這塊地就是《治安管理處罰法》第29條,大氣層就是《刑法》第285、286條,只要你沿著地面走就沒有事,不管多高你都會摔下來。當你跳得更高,跳到大氣層之外了,你就再回不來了,你就會進入監獄,出來後也從事不了這個工作了。這樣的比喻比較貼切,我們的行為邊界的底線在哪裡?可以嚴格限定一下《治安管理處罰法》第29條,這就是我們行為禁止的邊界。

最後行業的操作規程,循規不逾矩,這是我們的底線,嚴格按照這個來做就沒有事情。

第二,堅守法律底線,循規不逾矩,矩這是我們的法律,絕對不能突破,突破就是無妄之災。

第三,要關注網路安全立法趨勢和變化。從97刑法只有兩個罪名開始,到刑法7修正案、刑法9修正案關於網路犯罪的條目不斷的增加,而且越來越嚴厲,以前在網際網路上可以不遵守的一些道德約束,可以做一些出格的事情,但現在離法網越來越近,本身現在的網和網際網路結合得更加緊密了。

在我們可以預見的未來,網路安全立法的趨勢會趨嚴,變化會越來越多,所以我想請大家更關注立法的變化,通過立法調整自己在平時挖漏洞的過程中應該注意一些什麼,一定要規避這些。

360 給我們提供了非常好的平臺,更多都是在授權的情況下做這些工作,在授權的情況下大家是允許的,沒有超越授權。我們看到,刑法285的非法侵入和非法獲取資訊、控製系統,如果你簽約授權你對某些系統進行網路測試,但是你越界了,做了什麼?我不僅進去了,我還拿了東西,也就是說獲取資料,在這種情況下是絕對不允許的。

所以,我們在任何情況下腳踩大地,一定要把法律放在心中,它既是你的守護神,也是能夠讓你這條路越走越順的唯一的一條路。

Reference:大中國

看更多!請加入我們的粉絲團

轉載請附文章網址

不可錯過的話題