1
雷鋒網按:本文作者北京市京都(深圳)律師事務所 劉華斌,由白帽匯投稿雷鋒網。
(via:tutzone.org)
本案在網絡安全界已經是討論地熱火朝天,因本案中已經公開的資料中,諸多細節點未得到司法機關官方公布。故依據最近來源原則,只局限于討論袁煒父親《致第四屆網絡安全大會的一封信-白帽子檢測漏洞到底是不是犯罪?》(以下簡稱《公開信》)中描述情況作分析。
公開信提到,2016年3月8日,北京市公安局朝陽分局以涉嫌非法獲取計算機信息系統數據罪,將袁煒刑事拘留;4月12日,北京市朝陽區人民檢察院批準以涉嫌非法獲取計算機信息系統數據罪逮捕。
1997年3月14日修訂的《中華人民共和國刑法》第285條規定“ 違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。”罪名為“非法侵入計算機信息系統罪”。
為適應網絡急劇發展的現實情況,2009年2月28日,全國人大常委會頒布《刑法修正案(七)》,在刑法第285條中增加兩款作為第二款、第三款,其中第2款規定:
違反國家規定,侵入前款規定以外的計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
非法獲取計算機信息系統數據罪屬于情節犯,即達到一定情節后,才予以追究刑事責任。
《公開信》提到,在此過程中,上海花千樹信息科技公司自行委托北京通達首誠司法鑒定所對其服務器日志進行鑒定,鑒定認為,根據服務器日志顯示,世紀佳緣網在2015年12月3日日17時許至4日10時許,陸續受到“124.160.67.131”等11個IP地址(其中一個是北京的,明顯與袁煒無關)以SQL注入為手段的訪問請求,注入請求為4400余次。SQL注入成功后,入侵者對網站數據庫進行了讀取操作,涉及“讀取”操作的數據庫數據信息為932條。
最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)中規定了五種在司法上可以認定為“情節嚴重”的情形,即,非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為《刑法》第285條第2款規定的“情節嚴重”:
(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的;
(二)獲取第(一)項以外的身份認證信息五百組以上的;
(三)非法控制計算機信息系統二十臺以上的;
(四)違法所得五千元以上或者造成經濟損失一萬元以上的;
(五)其他情節嚴重的情形。
同時,解釋在尾部又說明:本解釋所稱“身份認證信息”,是指用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。本解釋所稱“經濟損失”,包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失,以及用戶為恢復數據、功能而支出的必要費用。
很顯然,基于袁煒獲得的不屬于金融服務信息,可排除第1種情形;基于未控制計算機,排除第3種情形;基于未獲利,也未造成經濟損失,排除第4種情形;第5種是立法技術上的授權和自由裁量,暫不討論。
那么最大可能是涉及第2種情形,而第2種情節情形規定有二項必要條件——
一是獲取的必須是身份認證信息,即網站用于身份鑒權的信息;
二是必須達到500組以上。
再回到《公開信》,其未說明是否屬于身份認證信息,如果該信息不是身份認證信息,個人認為不構罪。
在細節上,基于本案中共有11個IP進行了注入式訪問,那么需要細究,具體哪個IP讀取了多少信息,并具體哪個IP由袁煒實際使用。
在友好測試中,個人理解,最重要是“允許”,也就是要取得被測試網站的經營主體的合法邀請或授權。
因為根據該罪的構成中的“違反國家規定”,主要指公安部《計算機信息網絡國際聯網安全保護管理辦法》(2011版)第六條“任何單位和個人不得從事下列危害計算機信息網絡安全的活動:(一)未經允許,進入計算機信息網絡或者使用計算機信息網絡資源的;”。
據袁煒家人的公開信提到,并經查詢烏云網的廠商紀錄,2012年1月21日,世紀佳緣注冊成為烏云網的企業用戶。烏云網的注冊白帽子先后向世紀佳緣提交了42個漏洞信息,世紀佳緣核實后修復了相關漏洞并向烏云網的多名白帽子致謝。
具體到本案中,世紀佳緣網在烏云網上注冊為廠商。
烏云網在廠商頁的介紹中描述為“你可以在WooYun注冊為廠商來關注和修復自己企業的安全問題”。世紀佳緣網注冊為廠商用戶,其也深知烏云網是一個位于廠商和安全研究者之間的安全問題反饋平臺,換句話說,廠商用戶是希望在第一時間了解到自身經營網站是否存在漏洞,并進而與白帽子們展開良性互助,公開信中“烏云網的注冊白帽子先后向世紀佳緣提交了42個漏洞信息,世紀佳緣核實后修復了相關漏洞并向烏云網的多名白帽子致謝。”此點在烏云網是可以找到相應的紀錄的。
如果按普羅大眾對于“允許”的通行或表象認定來看,或許袁煒并未征得世紀佳緣的允許,但至少在袁煒事件發生前,世紀佳緣網對于烏云網的此種溝通方式并未提出明示的反對。而顯然,袁煒也是烏云網的注冊實習白帽子,其與世紀佳緣的關系,應當可適用此前的雙方行為慣例。
正如普羅大眾對于合同的理解一樣,只有正式的書面合同才可稱為合同,而在司法實踐中,口頭合同、甚至于行為合同也是一份合同。例如我們在書報亭買一份報紙,并不需要言語甚至于眼神的溝通,只需要放下一元錢,則可以取走一份報紙。
正如本事件發生后的7月1日,烏云網上白帽子“路人甲”在提交關于世紀佳緣的另一高危漏洞“某接口可以遍歷任意用戶信息”后所發表的一段十分有趣的免責聲明——
“如果廠商不愿意接受來自互聯網的貿然測試,可在修復本漏洞后(或下線服務器),點擊忽略該漏洞,并在廠商回復處留下:‘請不要測試本公司,本公司將采取法律手段約束你們的測試行為,后果自負。’,之后走國際黑名單慣例,不會再有人關注貴公司信息系統的安全風險。”
世紀佳緣網在收到此前的42次漏洞信息后,完全可以作出相反的書面聲明,拒絕烏云網的白帽子們再度檢測其漏洞。
根據大陸法系國家的民法,采用表示主義,指當行為人的效果意思與其表示行為不—致時,法律按行為人表示出來的意思賦予此行為以法律上的效果。其目的在于側重保護相對人的信賴和交易安全。而意思表示也分為有具體的相對人和無具體的相對人。
最后借用《神探狄仁杰》的一句臺詞作為結束。元芳每遇疑案,屢問狄仁杰,“大人的意思是……”狄大人標準回答“我沒有什么意思”,此處玄機,只有狄大人才深知了……
雷鋒網注:轉載請聯系我們授權,標注出處和作者,不得刪減內容。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
