檢測(cè)漏洞的法律邊界在哪

在袁煒案中，獲取網(wǎng)站信息成為其被捕的重要原因。“世紀(jì)佳緣”一方委托了一家司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定，鑒定意見(jiàn)顯示，“世紀(jì)佳緣”網(wǎng)在2015年12月3日17時(shí)許至2015年12月4日10時(shí)許，被“124.160.67.131”等11個(gè)IP地址非法訪問(wèn)，入侵者對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行了讀取操作，涉及讀取操作的數(shù)據(jù)庫(kù)數(shù)據(jù)信息為932條。

在袁煒案引發(fā)的討論中，很多程序員認(rèn)為“白帽子”挖掘漏洞涉及讀取信息，善意獲取不違法。對(duì)此，黃道麗表示，“我國(guó)刑法規(guī)范的是所有未經(jīng)授權(quán)訪問(wèn)計(jì)算機(jī)信息系統(tǒng)的行為，這些并非直接針對(duì)漏洞挖掘行為的規(guī)定。任何主體若利用系統(tǒng)安全漏洞實(shí)施了入侵行為，均可能觸犯刑法規(guī)定，都可能被追責(zé)。未經(jīng)授權(quán)侵入計(jì)算機(jī)信息系統(tǒng)也是各國(guó)刑事立法共同打擊的行為。”在認(rèn)定標(biāo)準(zhǔn)上，黃道麗解釋道，根據(jù)兩高司法解釋，獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息以外的其他身份認(rèn)證信息500組以上就構(gòu)成刑法所規(guī)定的“情節(jié)嚴(yán)重”，入侵者將面臨三年以下有期徒刑或者拘役，并處或者單處罰金。“這一量化標(biāo)準(zhǔn)在制定過(guò)程中經(jīng)過(guò)了大量的實(shí)證檢驗(yàn)和研討論證，規(guī)定本身沒(méi)有問(wèn)題。有人認(rèn)為袁煒作為‘白帽子’當(dāng)中的‘新人’多獲取了一些數(shù)據(jù)無(wú)可厚非，但這不是定罪應(yīng)當(dāng)考慮的因素。”

實(shí)踐中，還存在“白帽子”使用和黑客相同的軟件進(jìn)行漏洞測(cè)試的情況，比如袁煒就使用了一款名為SQLmap的安全測(cè)試軟件，這個(gè)軟件自帶緩存功能，會(huì)自動(dòng)將測(cè)試信息存儲(chǔ)到本地的一個(gè)隱藏文件夾。

“如果‘白帽子’在挖掘漏洞過(guò)程中使用的自動(dòng)化工具導(dǎo)致獲取的數(shù)據(jù)量觸犯刑法，他們應(yīng)考慮調(diào)整功能或使用其他規(guī)范化工具。”黃道麗告訴記者，實(shí)踐中，“白帽子”作為技術(shù)人員，對(duì)法律知識(shí)知之甚少，當(dāng)前較為迫切的問(wèn)題是立法規(guī)范、引導(dǎo)“白帽子”，為其創(chuàng)造合適的法律環(huán)境。

“當(dāng)前，并沒(méi)有法律對(duì)挖掘漏洞行為進(jìn)行具體規(guī)范，刑法主要從行為的角度進(jìn)行規(guī)制。在認(rèn)定‘白帽子’是否善意破解、測(cè)試漏洞時(shí)，主要強(qiáng)調(diào)結(jié)果。因?yàn)楫?dāng)事人當(dāng)時(shí)的主觀意志無(wú)法客觀鑒定，既有可能是測(cè)試的疏忽，也可能是一念之差，故意留存了數(shù)據(jù)。”謝永江表示，在法律不明確的情況下，“白帽子”挖掘漏洞行為本身帶有風(fēng)險(xiǎn)，而現(xiàn)有的法律規(guī)范傾向于保護(hù)企業(yè)利益。如果袁煒的行為確實(shí)構(gòu)成了法律規(guī)定的獲取信息的定罪標(biāo)準(zhǔn)，仍然需要承擔(dān)相應(yīng)的法律責(zé)任。

目前我國(guó)對(duì)“白帽子”善意挖掘漏洞的法律規(guī)范并沒(méi)有形成系統(tǒng)的法律體系，比較零散地體現(xiàn)在一些法律法規(guī)以及部門規(guī)章里，例如保守國(guó)家秘密法、治安管理處罰法、刑法等，這些法律并沒(méi)有明確劃定“白帽子”的行為邊界。黃道麗強(qiáng)調(diào)，在新的法律和配套規(guī)定出臺(tái)前，現(xiàn)有法律和司法解釋的規(guī)定，應(yīng)成為“白帽子”實(shí)施挖掘行為必須接受和前置考慮的一個(gè)客觀要求。