当前,飞速发展的互联网信息技术全面融入社会生产生活,深刻改变着全球经济格局、利益格局、安全格局,但同时也带来了纷繁复杂的社会治理和法律问题。实践中,“白帽子”(也称“道德黑客”)通过向一些互联网平台或者软件制造商反馈、发布安全漏洞,以敦促其修复完善相关漏洞的行为时有发生。如何在法律层面界定“白帽子”,对于“白帽子”挖掘漏洞过程中获取的个人信息及商业数据如何加强保护等问题引起了普遍关注,司法实务中对相关问题的处理方式也不尽一致。鉴于此,《人民检察》杂志遴选典型案例,邀请法学专家和实务界人士就“白帽子”行为的司法认定问题进行深入研讨。
1“白帽子”的法律定性
“肯定‘白帽子’行为的观点实际上反映了一种目的论的定性思路,但这并不符合现行立法精神。”北京大学法学院教授杨明认为,我国关于网络安全管理的一系列法律法规,包括网络安全法、全国人大常委会《关于维护互联网安全的决定》、国务院《计算机信息系统安全保护条例》等,对非法侵入计算机信息系统行为采取的都是“客观行为”的规制思路。遵循规范法学的解释方法,“白帽子”行为显然已非法侵入计算机信息系统、违反了前述之诸多法律法规。武汉大学法学院教授、博士生导师皮勇赞同这一观点。他提出,在刑事法层面,“白帽子”所实施的行为,符合刑法第285条第2款规定的非法获取计算机信息系统数据罪的构成要件,属于非法获取计算机信息系统数据的行为,可根据具体案情作出是否构罪处理。
在“白帽子”行为的犯罪认定原则上,北京师范大学刑事法律科学研究院暨法学院副教授吴沈括认为,鉴于典型“白帽子”行为的相对有益性以及罪刑法定之精神,目前对于“白帽子”行为的犯罪化处理需要付诸更高水平的审慎考量,在司法裁量过程中坚持以事实为依据,以法律为准绳,在深入分析具体案件的事实和技术特质的基础上,尽力确保非直接刑事规范的精确运用。而对于“白帽子”自身的行为准则和风险防范而言,一是需要在主观上始终秉持善意利用的技术精神,坚决摒弃恶意侵害的不良意图;二是应当主动掌握和遵循现行法律规范所划定的行为红线。
2“挖掘”漏洞的性质界定
与出售安全漏洞、盗取他人信息的网络黑客不同,“白帽子”只是挖掘漏洞,并不恶意去利用,但其行为往往并未得到相关企业的授权。这种情况下,应将“白帽子”挖掘漏洞的行为认定为“善意侵入”,还是刑法意义上的“非法侵入”,尚需要理论和实务层面统一界定标准。杨明认为,对“白帽子”挖掘漏洞的性质界定,关键在于如何认定“非法侵入”。而对刑法意义上的“非法侵入”界定,吴沈括主张有必要在实在法规范层面准确领会刑事立法者对于特定法益保护的基本立场。具体而言,一方面,立法对于某些特定的信息网络系统秉持着严格保护的立场,尤其是刑法第285条明文规定应当通过刑罚惩处“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统”的行为。对此,行为人侵入系统时主观意图的正当善恶与否,并不会在根本上影响其客观行为的刑法评价,这是“白帽子”应当严肃对待的“第一条行为红线”。另一方面,对于侵入上述三类信息系统以外的其他信息系统,立法则提高了刑事处罚门槛、限缩了刑事责任范围。作为主要的规范依据,刑法第285条第2款在“侵入”这一基础性要素之外,还明确要求行为应同时符合“非法获取(数据)”或者“非法控制(系统)”等要素并且“情节严重”,才能以非法获取计算机信息系统数据罪或者非法控制计算机信息系统罪予以刑事处罚,这是“白帽子”应当高度注意的“第二条行为红线”。
除了坚持立法解释原则外,北京市朝阳区检察院检察官王爱强认为,判断“挖掘”漏洞的性质还需要判断行为人的主观心理。如果“白帽子”是单纯进行漏洞检测,根据刑法谦抑性原则,无须刑事司法进行调节;如果“白帽子”在发现漏洞后,超过了检测漏洞的必要,就不再具有善意,应认定为刑法意义上的“非法侵入”。
3“获取”、“发布”漏洞的危险性分析
互联网漏洞检测中,“白帽子”通常会使用和网络黑客相同的软件获取被检测企业的信息,其获取的信息往往远超漏洞测试的合理范畴,漏洞平台一般会公开发布被检测企业的漏洞信息,进而与被检测企业产生争议。“白帽子”和漏洞平台的上述行为是否具有社会危害性?漏洞平台是否有权公布被检测企业的安全漏洞?
皮勇认为,“白帽子”获取漏洞信息和漏洞平台公布漏洞信息的行为具有社会危害性,漏洞平台无权公布漏洞信息,特别是不能以营利或者出于商业目的进行公布。吴沈括则主张,在评判其行为的社会危害性时应坚持相对严格的立场,秉持风险防控也即底线或者红线思维,而不是传统的管制型价值判断思维。一方面,“白帽子”应自觉树立防控风险的审慎意识,以严格必要为限,最大限度地缩小“查漏(漏洞)”过程中获取的各类信息范围;另一方面,应按照刑法有关特殊信息的保护规范,有区别地判定其行为的社会危害性,为“白帽子”划定更为具体、更具可操作性的行为红线。
皮勇建议,先从行政立法入手,规范信息网络系统的安全检测和通知行为,待理论研究和实践总结成熟后,将其中无法适用现有刑法规定的严重危害社会的行为予以犯罪化处置,设立新的罪名或者完善相关司法解释规定。
来源:《检察日报》2017年3月17日,第3版“实务”篇;