檢測漏洞的法律邊界在哪

在袁煒案中,，獲取網(wǎng)站信息成為其被捕的重要原因,?！笆兰o(jì)佳緣”一方委托了一家司法鑒定所對其服務(wù)器日志進(jìn)行鑒定，鑒定意見顯示,，“世紀(jì)佳緣”網(wǎng)在2015年12月3日17時(shí)許至2015年12月4日10時(shí)許,，被“124.160.67.131”等11個(gè)IP地址非法訪問，入侵者對網(wǎng)站數(shù)據(jù)庫進(jìn)行了讀取操作,，涉及讀取操作的數(shù)據(jù)庫數(shù)據(jù)信息為932條,。

在袁煒案引發(fā)的討論中，很多程序員認(rèn)為“白帽子”挖掘漏洞涉及讀取信息,，善意獲取不違法,。對此，黃道麗表示,，“我國刑法規(guī)范的是所有未經(jīng)授權(quán)訪問計(jì)算機(jī)信息系統(tǒng)的行為,，這些并非直接針對漏洞挖掘行為的規(guī)定。任何主體若利用系統(tǒng)安全漏洞實(shí)施了入侵行為,，均可能觸犯刑法規(guī)定,，都可能被追責(zé)。未經(jīng)授權(quán)侵入計(jì)算機(jī)信息系統(tǒng)也是各國刑事立法共同打擊的行為,?！痹谡J(rèn)定標(biāo)準(zhǔn)上，黃道麗解釋道,，根據(jù)兩高司法解釋,，獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息以外的其他身份認(rèn)證信息500組以上就構(gòu)成刑法所規(guī)定的“情節(jié)嚴(yán)重”，入侵者將面臨三年以下有期徒刑或者拘役,，并處或者單處罰金,。“這一量化標(biāo)準(zhǔn)在制定過程中經(jīng)過了大量的實(shí)證檢驗(yàn)和研討論證,，規(guī)定本身沒有問題,。有人認(rèn)為袁煒作為‘白帽子’當(dāng)中的‘新人’多獲取了一些數(shù)據(jù)無可厚非,，但這不是定罪應(yīng)當(dāng)考慮的因素?！?/p>

實(shí)踐中,，還存在“白帽子”使用和黑客相同的軟件進(jìn)行漏洞測試的情況,，比如袁煒就使用了一款名為SQLmap的安全測試軟件,，這個(gè)軟件自帶緩存功能，會自動(dòng)將測試信息存儲到本地的一個(gè)隱藏文件夾,。

“如果‘白帽子’在挖掘漏洞過程中使用的自動(dòng)化工具導(dǎo)致獲取的數(shù)據(jù)量觸犯刑法,，他們應(yīng)考慮調(diào)整功能或使用其他規(guī)范化工具?！秉S道麗告訴記者,，實(shí)踐中，“白帽子”作為技術(shù)人員,，對法律知識知之甚少,，當(dāng)前較為迫切的問題是立法規(guī)范、引導(dǎo)“白帽子”,，為其創(chuàng)造合適的法律環(huán)境,。

“當(dāng)前，并沒有法律對挖掘漏洞行為進(jìn)行具體規(guī)范,，刑法主要從行為的角度進(jìn)行規(guī)制,。在認(rèn)定‘白帽子’是否善意破解、測試漏洞時(shí),，主要強(qiáng)調(diào)結(jié)果,。因?yàn)楫?dāng)事人當(dāng)時(shí)的主觀意志無法客觀鑒定，既有可能是測試的疏忽,，也可能是一念之差,，故意留存了數(shù)據(jù)?！敝x永江表示,，在法律不明確的情況下，“白帽子”挖掘漏洞行為本身帶有風(fēng)險(xiǎn),，而現(xiàn)有的法律規(guī)范傾向于保護(hù)企業(yè)利益,。如果袁煒的行為確實(shí)構(gòu)成了法律規(guī)定的獲取信息的定罪標(biāo)準(zhǔn)，仍然需要承擔(dān)相應(yīng)的法律責(zé)任,。

目前我國對“白帽子”善意挖掘漏洞的法律規(guī)范并沒有形成系統(tǒng)的法律體系,，比較零散地體現(xiàn)在一些法律法規(guī)以及部門規(guī)章里，例如保守國家秘密法,、治安管理處罰法,、刑法等,，這些法律并沒有明確劃定“白帽子”的行為邊界。黃道麗強(qiáng)調(diào),，在新的法律和配套規(guī)定出臺前,，現(xiàn)有法律和司法解釋的規(guī)定，應(yīng)成為“白帽子”實(shí)施挖掘行為必須接受和前置考慮的一個(gè)客觀要求,。