張默晗

(西南科技大學(xué) 法學(xué)院，四川 綿陽 621010)

論“白帽黑客”的刑法規(guī)制問題

張默晗

(西南科技大學(xué) 法學(xué)院，四川 綿陽 621010)

近日，一則關(guān)于“白帽黑客”的事件鬧得沸沸揚(yáng)揚(yáng)，讓“白帽黑客”這個(gè)不為人所熟知的群體浮現(xiàn)在眾人面前。“白帽黑客”是對黑客群體正面性的稱呼，他們不以地下交易為目的賺取錢財(cái)，而是為企業(yè)發(fā)現(xiàn)系統(tǒng)漏洞，維護(hù)網(wǎng)絡(luò)安全。

“白帽黑客”；信息安全；網(wǎng)絡(luò)犯罪；法律規(guī)制

一、“白帽黑客”的技術(shù)性分析

(一)“白帽黑客”的內(nèi)涵

所謂黑客，是對擁有極高IT技術(shù)，在未獲得運(yùn)營商或者用戶許可的情況下，攻擊操作系統(tǒng)的漏洞造成用戶數(shù)據(jù)泄漏后果的人的統(tǒng)稱。黑客分為黑帽黑客(cracker / black hat)以及“白帽黑客”(hacker / white hat)。黑帽黑客是對黑客群體有負(fù)面性影響的人的稱呼，這些人往往隨意使用資源，惡意破壞操作系統(tǒng)或者數(shù)據(jù)庫的漏洞、散播蠕蟲病毒或者木馬病毒來盜取平臺(tái)用戶的數(shù)據(jù)，給運(yùn)營商或者用戶造成經(jīng)濟(jì)損失。[1]而“白帽黑客”恰恰相反，他們不以牟利為目的進(jìn)行惡意攻擊，而是通過模擬系統(tǒng)，查找漏洞的方式為運(yùn)營商找出存在的安全隱患，提醒平臺(tái)運(yùn)營商修補(bǔ)漏洞。

(二)“白帽黑客”之運(yùn)作技術(shù)分析

筆者從攻擊模式上將攻擊分為智取和強(qiáng)攻。智取是指先找到弱點(diǎn)下手的方式，強(qiáng)攻則是指暴力破解。如黑客知道對方建城是采用某種圖紙建造的(系統(tǒng)使用的某中技術(shù))，這種城墻哪里比較薄弱(技術(shù)漏洞)都清楚，然后針對這一點(diǎn)去攻擊，這即為智?。槐┝ζ平饩拖翊蜷_密碼鎖，假設(shè)總共四位數(shù)字10000種可能性，攻擊者窮舉所有的可能性，肯定能打開密碼。至于如何攻擊或者查找漏洞，較為常用的方法為sql injection,即sql 注入。SQL注入是指通過把sql命令插入到web表單遞交或者輸入頁面請求或者鍵入域名的查詢字符串，進(jìn)而達(dá)到欺騙服務(wù)器執(zhí)行惡意語句的目的。淺顯地講，它是將惡意的sql命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力，通過在提交的web表單中嵌入惡意語句得到一個(gè)存在安全漏洞網(wǎng)站的數(shù)據(jù)庫。當(dāng)我們對頁面進(jìn)行動(dòng)態(tài)請求，即在靜態(tài)語句中加上查詢變量時(shí)，就可以在該url中嵌套惡意語句。假設(shè)我們設(shè)計(jì)一個(gè)student表單，包括student_id , student_desc , min_lvl , max_lvl。我們要查詢學(xué)生信息時(shí)，就要在web程序中根據(jù)學(xué)生id(student_id)來查詢，首先要設(shè)定一個(gè)大函數(shù)Page_Load(object sender,EventArge e)，這是當(dāng)頁面載入時(shí)觸發(fā)的程序背景函數(shù)。在這個(gè)函數(shù)下判斷是不是從頁面回傳過來的數(shù)據(jù)，如果不是從頁面回傳過來的，就在第一次加載的時(shí)候進(jìn)行數(shù)據(jù)綁定；如果獲取的id數(shù)據(jù)不為空，就從數(shù)據(jù)庫中根據(jù)id獲得數(shù)據(jù)，然后進(jìn)行數(shù)據(jù)綁定。如此，就完成了web程序，接下來就是查詢相應(yīng)的學(xué)生信息。只要編寫簡單的語句如：

SELECTstudent_id, student_desc, min_lvl, max_lvl

FROM students

WHERE (student_id=1)

這樣我們就可以通過輸入學(xué)生ID來查詢該學(xué)生的ID，description，min_lvl和max_lvl等信息。假設(shè)現(xiàn)在要求我們獲取表中所有學(xué)生數(shù)據(jù)，那我們只要確保where恒真就可以了，即：

WHERE (student_id=1) OR 1=1

這就使得where語句失效，查詢結(jié)果等同于執(zhí)行前兩句sql語句的結(jié)果。所以，我們在url中嵌入惡意表達(dá)式1=1，就可以進(jìn)行一次簡單的攻擊，將student表中的數(shù)據(jù)全部查詢出來。其實(shí)，“白帽黑客”和黑帽黑客在行為方式上面并沒有明顯的區(qū)別，二者不管是查找還是攻擊漏洞都是建立在以模擬系統(tǒng)并進(jìn)行攻擊的基礎(chǔ)行為方式上，只不過“白帽黑客”將查找出來的漏洞直接告訴平臺(tái)運(yùn)營商，并不會(huì)進(jìn)行惡意泄漏或者買賣行為。[2]但黑帽黑客在攻擊漏洞后，會(huì)將數(shù)據(jù)出賣給惡意第三方，以此來牟取利益。

二、“白帽黑客”觸及的法律問題分析

(一)“白帽黑客”行為之犯罪分類分析

既然“白帽黑客”的行為可以構(gòu)成犯罪，其行為應(yīng)該被定義為結(jié)果犯、行為犯、危險(xiǎn)犯還是侵害犯？

所謂結(jié)果犯是指“不僅要實(shí)施具體犯罪構(gòu)成客觀要件的行為，而且必須發(fā)生法定的犯罪結(jié)果才構(gòu)成既遂的犯罪，即以法定的犯罪結(jié)果的發(fā)生與否作為犯罪既遂與未遂區(qū)別標(biāo)志的犯罪”；而行為犯，是指“既遂的成立不以發(fā)生危害結(jié)果為條件，而是以犯罪實(shí)行行為的完成為標(biāo)志的犯罪”；至于危險(xiǎn)犯，則是指“以行為人實(shí)施的危害行為造成法律規(guī)定的發(fā)生某種危害結(jié)果的危險(xiǎn)狀態(tài)作為既遂標(biāo)志的犯罪”[3]；侵害犯并未被正式引入我國刑法教材，僅作為一種概念被學(xué)者引用討論，它是指行為人實(shí)施的犯罪行為造成法律所保護(hù)的某種法益受到實(shí)際損害的犯罪?！鞍酌焙诳汀痹诓檎衣┒礄z測網(wǎng)絡(luò)安全的過程中，可能會(huì)因使用的檢測工具的原因自動(dòng)緩存相關(guān)數(shù)據(jù)，但“白帽黑客”并無緩存的主觀故意，在當(dāng)前情況下，可能仍會(huì)被認(rèn)為已經(jīng)獲得數(shù)據(jù)，因此不管是“白帽黑客”還是黑帽黑客，無論是檢測漏洞還是攻擊漏洞，都必然會(huì)涉及到數(shù)據(jù)的泄漏。若僅以是否造成數(shù)據(jù)泄露的危險(xiǎn)狀態(tài)作為判斷是否構(gòu)成犯罪標(biāo)準(zhǔn)的話，則所有的黑客行為都會(huì)構(gòu)成犯罪，也就沒有區(qū)分“白帽黑客”與黑帽黑客的必要了。這就使得“是否造成法定的危害結(jié)果”成為區(qū)分“白帽黑客”和黑帽黑客的唯一價(jià)值標(biāo)準(zhǔn)。換言之，按照我國刑法的犯罪分類，“白帽黑客”應(yīng)當(dāng)被列為結(jié)果犯。

(二)“白帽黑客”行為之犯罪構(gòu)成分析

通過上文對黑客行為的技術(shù)分析及筆者對黑客行為簡單的解析，可以知道“白帽黑客”和黑帽黑客在犯罪行為方面并無明顯區(qū)別，那么如何判斷“白帽黑客”的行為是否構(gòu)成犯罪呢？

我國刑法第二百八十五條、二百八十六條以及刑法修正案九及其司法解釋對于“非法侵入”行為構(gòu)成犯罪僅規(guī)定了非常狹窄的范圍，侵入“國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)”等特定信息系統(tǒng)的才會(huì)成立犯罪，對于普通的運(yùn)營商計(jì)算機(jī)信息系統(tǒng)，僅僅實(shí)施了侵入行為，沒有采取破壞、控制、竊取數(shù)據(jù)等行為造成嚴(yán)重后果行為，可以根據(jù)我國《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》第六條第一款、第三款和第二十條規(guī)定,“未經(jīng)允許進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源的”和“未經(jīng)允許，對計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的”可以由公安機(jī)關(guān)給予警告，有違法所得的，沒收違法所得，對個(gè)人可以并處5000元以下的罰款，對單位可以并處1.5萬元以下的罰款；情節(jié)嚴(yán)重的，并可以給予6個(gè)月以內(nèi)停止聯(lián)網(wǎng)、停機(jī)整頓的處罰，必要時(shí)可以建議原發(fā)證、審批機(jī)構(gòu)吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格。[4]這意味著，“白帽黑客”在檢測漏洞時(shí)，只要不觸碰系統(tǒng)數(shù)據(jù)，在發(fā)現(xiàn)漏洞后立即提交報(bào)告給廠商，就不涉及犯罪。但并不是說只要不破壞，控制、竊取數(shù)據(jù)就一定不會(huì)構(gòu)成犯罪，如前文所述，“白帽黑客”在檢測漏洞時(shí)也會(huì)用到黑客網(wǎng)絡(luò)工具，如sqlmap，它就會(huì)自動(dòng)將某些信息緩存到本地的隱藏文件夾中，而根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息10組以上，或其它身份認(rèn)證信息500組以上的，認(rèn)定為非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。即便獲取的網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息在10組以下或者其他身份認(rèn)證信息在500組以下，當(dāng)事人仍可能因其后果受到治安管理處罰法第二十九條的規(guī)制，處10日以下拘留。

有些黑客在找到漏洞后，通過漏洞越入系統(tǒng)內(nèi)部查看到數(shù)據(jù)，然后將漏洞提交給第三方平臺(tái)或者運(yùn)營商通知修復(fù)，并聲稱自己為“白帽黑客”。然而，這種行為實(shí)屬掩耳盜鈴并無法律依據(jù)，實(shí)質(zhì)上是在犯罪行為后實(shí)施補(bǔ)救措施，但這并不影響犯罪性質(zhì)，只不過是否追究其法律責(zé)任的自由裁量權(quán)轉(zhuǎn)移到了運(yùn)營商手中。

計(jì)算機(jī)犯罪除了刑法第二百八十五條、二百八十六條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪、破壞計(jì)算機(jī)信息系統(tǒng)功能罪、破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪、制作或傳播計(jì)算機(jī)病毒等破壞性程序罪這些純正的計(jì)算機(jī)犯罪外，還有刑法第二百八十七條規(guī)定的不純正的計(jì)算機(jī)犯罪，這類犯罪通常把信息技術(shù)當(dāng)作不唯一的犯罪手段，如利用計(jì)算機(jī)實(shí)施侵犯財(cái)產(chǎn)的犯罪、利用計(jì)算機(jī)實(shí)施破環(huán)市場經(jīng)濟(jì)秩序的犯罪等。例如臺(tái)灣第一銀行ATM機(jī)自動(dòng)吐錢事件，就是犯罪集團(tuán)利用惡意程序，攻擊銀行內(nèi)網(wǎng)獲得ATM權(quán)限，從而達(dá)到令無需物理接觸就使ATM機(jī)在指定時(shí)間突破上限連續(xù)吐鈔的效果，這表明犯罪份子不再只將犯罪手段限定于竊取用戶信用卡或者復(fù)制信用卡信息竊取賬戶、密碼等傳統(tǒng)方式，而是直接攻擊金融機(jī)構(gòu)本身，這是典型的網(wǎng)絡(luò)經(jīng)濟(jì)犯罪的表現(xiàn)形式。

結(jié)合我國刑法規(guī)定和黑帽黑客的犯罪構(gòu)成要件可以得出“白帽黑客”的犯罪構(gòu)成要件為：(1) 犯罪主體為年滿16周歲的具有刑事責(zé)任能力的自然人。(2) 犯罪主觀方面為故意。(3) 犯罪客體為刑法所保護(hù)的法益或者網(wǎng)絡(luò)安全秩序。(4) 犯罪客觀方面為利用計(jì)算機(jī)網(wǎng)絡(luò)科技技術(shù)破環(huán)計(jì)算機(jī)信息系統(tǒng)，情節(jié)嚴(yán)重并造成嚴(yán)重后果。其實(shí)，“白帽黑客”與黑帽黑客之間的角色轉(zhuǎn)換就在一念之間，即在故意侵入計(jì)算機(jī)系統(tǒng)的情況下，一旦造成了數(shù)據(jù)泄漏的嚴(yán)重后果，白帽的安全行為就會(huì)轉(zhuǎn)變?yōu)楹诿钡膼阂庑袨?，由此可見，世紀(jì)佳緣的白帽是非案中，一旦有足夠的證據(jù)能夠認(rèn)定其數(shù)據(jù)的大量泄漏與“白帽黑客”袁煒的行為有因果關(guān)系，即使袁煒并非出于惡意攻擊系統(tǒng)，袁煒也難逃罪責(zé)。

三、結(jié)語

互聯(lián)網(wǎng)的飛速發(fā)展在給人們帶來便捷生活的同時(shí)，也帶來了各種各樣的負(fù)面影響，尤其是在如今互聯(lián)網(wǎng)金融制霸全球的情形下，如何防控網(wǎng)絡(luò)經(jīng)濟(jì)犯罪成為法律完善的一個(gè)重要方向，完善對“白帽黑客”行為的法律規(guī)制就成了當(dāng)務(wù)之急。對于“白帽黑客”存在的意義，在全球安全領(lǐng)域作出重要貢獻(xiàn)的阿爾法團(tuán)隊(duì)首領(lǐng)龔廣看來就在于，“能夠發(fā)現(xiàn)一些系統(tǒng)的，或是應(yīng)用的漏洞，能夠使這些廠商第一時(shí)間修復(fù)這個(gè)漏洞，以避免因漏洞的存在而遭受損失”“即使在發(fā)現(xiàn)漏洞后，廠商并沒有及時(shí)進(jìn)行修復(fù)，通過對漏洞的研究，依然能夠發(fā)現(xiàn)那些利用漏洞進(jìn)行攻擊的病毒或木馬，并據(jù)此提供相應(yīng)的防護(hù)對策，同時(shí)，在第一時(shí)間對這些惡意程序進(jìn)行查殺，將用戶面臨的風(fēng)險(xiǎn)或損失降到最低”。

[1] 高銘暄,馬克昌.刑法學(xué)[M].北京:北京大學(xué)出版社,2000.

[2] 趙秉志,吳振興.刑法學(xué)通論[M].北京:高等教育出版社,1993.

[3] 董健.論計(jì)算機(jī)犯罪中電子證據(jù)的界定及取證規(guī)則[J].科技與法律,2008(6)：85-88.

[4] 張衡.網(wǎng)絡(luò)安全漏洞法律問題研究[J].信息安全與通信保密,2015(4)：23-24.

責(zé)任編輯：九 林

On the Criminal Law Regulation of White Hat Hackers

ZHANG Mohan

Recently, a “white-hat hacker” incident caused uproar, and the crowd not known to the vast majority of people “white hat hackers” appeared in front of the public. On June 26, 2016, in a Beijing network security conference a white-hat hacker’s father claimed that his son had been reported by Woo Yun website because he had provided website flaws of Jiayuancom in the website, and was detained by the Beijing police. “White hat hackers” is a positive salutation to the hacker group. They do not earn money for the purpose of underground transactions, and they find system vulnerabilities for enterprises and maintain network security.

white hat hacker; information security; cyber crime; legal regulation

2017-03-06

張默晗(1992—)，女，河北衡水人，刑法學(xué)專業(yè)2015級碩士研究生，研究方向：刑法學(xué)。

D924

A

1671-8275(2017)03-0022-03