白帽子被抓事件:获取计算机系统数据罪与非罪的界限
雷锋网按:本文作者北京市京都(深圳)律师事务所 刘华斌,由白帽汇投稿雷锋网。
(via:tutzone.org)
本案在网络安全界已经是讨论地热火朝天,因本案中已经公开的资料中,诸多细节点未得到司法机关官方公布。故依据最近来源原则,只局限于讨论袁炜父亲《致第四届网络安全大会的一封信-白帽子检测漏洞到底是不是犯罪?》(以下简称《公开信》)中描述情况作分析。
|“非法获取计算机信息系统数据罪”是个什么罪?
公开信提到,2016年3月8日,北京市公安局朝阳分局以涉嫌非法获取计算机信息系统数据罪,将袁炜刑事拘留;4月12日,北京市朝阳区人民检察院批准以涉嫌非法获取计算机信息系统数据罪逮捕。
1997年3月14日修订的《中华人民共和国刑法》第285条规定“ 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”罪名为“非法侵入计算机信息系统罪”。
为适应网络急剧发展的现实情况,2009年2月28日,全国人大常委会颁布《刑法修正案(七)》,在刑法第285条中增加两款作为第二款、第三款,其中第2款规定:
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
非法获取计算机信息系统数据罪属于情节犯,即达到一定情节后,才予以追究刑事责任。
|本案中何种情形才构罪?
《公开信》提到,在此过程中,上海花千树信息科技公司自行委托北京通达首诚司法鉴定所对其服务器日志进行鉴定,鉴定认为,根据服务器日志显示,世纪佳缘网在2015年12月3日日17时许至4日10时许,陆续受到“124.160.67.131”等11个IP地址(其中一个是北京的,明显与袁炜无关)以SQL注入为手段的访问请求,注入请求为4400余次。SQL注入成功后,入侵者对网站数据库进行了读取操作,涉及“读取”操作的数据库数据信息为932条。
最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)中规定了五种在司法上可以认定为“情节严重”的情形,即,非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为《刑法》第285条第2款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
同时,解释在尾部又说明:本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。
很显然,基于袁炜获得的不属于金融服务信息,可排除第1种情形;基于未控制计算机,排除第3种情形;基于未获利,也未造成经济损失,排除第4种情形;第5种是立法技术上的授权和自由裁量,暂不讨论。
那么最大可能是涉及第2种情形,而第2种情节情形规定有二项必要条件——
一是获取的必须是身份认证信息,即网站用于身份鉴权的信息;
二是必须达到500组以上。
再回到《公开信》,其未说明是否属于身份认证信息,如果该信息不是身份认证信息,个人认为不构罪。
在细节上,基于本案中共有11个IP进行了注入式访问,那么需要细究,具体哪个IP读取了多少信息,并具体哪个IP由袁炜实际使用。
|合法与违法的边界在哪里?
在友好测试中,个人理解,最重要是“允许”,也就是要取得被测试网站的经营主体的合法邀请或授权。
因为根据该罪的构成中的“违反国家规定”,主要指公安部《计算机信息网络国际联网安全保护管理办法》(2011版)第六条“任何单位和个人不得从事下列危害计算机信息网络安全的活动:(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;”。
|白帽子的行为是否可视为已经征得世纪佳缘的允许?
据袁炜家人的公开信提到,并经查询乌云网的厂商纪录,2012年1月21日,世纪佳缘注册成为乌云网的企业用户。乌云网的注册白帽子先后向世纪佳缘提交了42个漏洞信息,世纪佳缘核实后修复了相关漏洞并向乌云网的多名白帽子致谢。
具体到本案中,世纪佳缘网在乌云网上注册为厂商。
乌云网在厂商页的介绍中描述为“你可以在WooYun注册为厂商来关注和修复自己企业的安全问题”。世纪佳缘网注册为厂商用户,其也深知乌云网是一个位于厂商和安全研究者之间的安全问题反馈平台,换句话说,厂商用户是希望在第一时间了解到自身经营网站是否存在漏洞,并进而与白帽子们展开良性互助,公开信中“乌云网的注册白帽子先后向世纪佳缘提交了42个漏洞信息,世纪佳缘核实后修复了相关漏洞并向乌云网的多名白帽子致谢。”此点在乌云网是可以找到相应的纪录的。
如果按普罗大众对于“允许”的通行或表象认定来看,或许袁炜并未征得世纪佳缘的允许,但至少在袁炜事件发生前,世纪佳缘网对于乌云网的此种沟通方式并未提出明示的反对。而显然,袁炜也是乌云网的注册实习白帽子,其与世纪佳缘的关系,应当可适用此前的双方行为惯例。
正如普罗大众对于合同的理解一样,只有正式的书面合同才可称为合同,而在司法实践中,口头合同、甚至于行为合同也是一份合同。例如我们在书报亭买一份报纸,并不需要言语甚至于眼神的沟通,只需要放下一元钱,则可以取走一份报纸。
正如本事件发生后的7月1日,乌云网上白帽子“路人甲”在提交关于世纪佳缘的另一高危漏洞“某接口可以遍历任意用户信息”后所发表的一段十分有趣的免责声明——
“如果厂商不愿意接受来自互联网的贸然测试,可在修复本漏洞后(或下线服务器),点击忽略该漏洞,并在厂商回复处留下:‘请不要测试本公司,本公司将采取法律手段约束你们的测试行为,后果自负。’,之后走国际黑名单惯例,不会再有人关注贵公司信息系统的安全风险。”
世纪佳缘网在收到此前的42次漏洞信息后,完全可以作出相反的书面声明,拒绝乌云网的白帽子们再度检测其漏洞。
根据大陆法系国家的民法,采用表示主义,指当行为人的效果意思与其表示行为不—致时,法律按行为人表示出来的意思赋予此行为以法律上的效果。其目的在于侧重保护相对人的信赖和交易安全。而意思表示也分为有具体的相对人和无具体的相对人。
最后借用《神探狄仁杰》的一句台词作为结束。元芳每遇疑案,屡问狄仁杰,“大人的意思是……”狄大人标准回答“我没有什么意思”,此处玄机,只有狄大人才深知了……
雷锋网注:转载请联系我们授权,标注出处和作者,不得删减内容。