論“白帽黑客”的刑法規制問題

張默晗

(西南科技大學 法學院，四川 綿陽 621010)

論“白帽黑客”的刑法規制問題

張默晗

(西南科技大學 法學院，四川 綿陽 621010)

近日，一則關于“白帽黑客”的事件鬧得沸沸揚揚，讓“白帽黑客”這個不為人所熟知的群體浮現在眾人面前。“白帽黑客”是對黑客群體正面性的稱呼，他們不以地下交易為目的賺取錢財，而是為企業發現系統漏洞，維護網絡安全。

“白帽黑客”；信息安全；網絡犯罪；法律規制

一、“白帽黑客”的技術性分析

(一)“白帽黑客”的內涵

所謂黑客，是對擁有極高IT技術，在未獲得運營商或者用戶許可的情況下，攻擊操作系統的漏洞造成用戶數據泄漏后果的人的統稱。黑客分為黑帽黑客(cracker / black hat)以及“白帽黑客”(hacker / white hat)。黑帽黑客是對黑客群體有負面性影響的人的稱呼，這些人往往隨意使用資源，惡意破壞操作系統或者數據庫的漏洞、散播蠕蟲病毒或者木馬病毒來盜取平臺用戶的數據，給運營商或者用戶造成經濟損失。[1]而“白帽黑客”恰恰相反，他們不以牟利為目的進行惡意攻擊，而是通過模擬系統，查找漏洞的方式為運營商找出存在的安全隱患，提醒平臺運營商修補漏洞。

(二)“白帽黑客”之運作技術分析

筆者從攻擊模式上將攻擊分為智取和強攻。智取是指先找到弱點下手的方式，強攻則是指暴力破解。如黑客知道對方建城是采用某種圖紙建造的(系統使用的某中技術)，這種城墻哪里比較薄弱(技術漏洞)都清楚，然后針對這一點去攻擊，這即為智取；暴力破解就像打開密碼鎖，假設總共四位數字10000種可能性，攻擊者窮舉所有的可能性，肯定能打開密碼。至于如何攻擊或者查找漏洞，較為常用的方法為sql injection,即sql 注入。SQL注入是指通過把sql命令插入到web表單遞交或者輸入頁面請求或者鍵入域名的查詢字符串，進而達到欺騙服務器執行惡意語句的目的。淺顯地講，它是將惡意的sql命令注入到后臺數據庫引擎執行的能力，通過在提交的web表單中嵌入惡意語句得到一個存在安全漏洞網站的數據庫。當我們對頁面進行動態請求，即在靜態語句中加上查詢變量時，就可以在該url中嵌套惡意語句。假設我們設計一個student表單，包括student_id , student_desc , min_lvl , max_lvl。我們要查詢學生信息時，就要在web程序中根據學生id(student_id)來查詢，首先要設定一個大函數Page_Load(object sender,EventArge e)，這是當頁面載入時觸發的程序背景函數。在這個函數下判斷是不是從頁面回傳過來的數據，如果不是從頁面回傳過來的，就在第一次加載的時候進行數據綁定；如果獲取的id數據不為空，就從數據庫中根據id獲得數據，然后進行數據綁定。如此，就完成了web程序，接下來就是查詢相應的學生信息。只要編寫簡單的語句如：

SELECTstudent_id, student_desc, min_lvl, max_lvl

FROM students

WHERE (student_id=1)

這樣我們就可以通過輸入學生ID來查詢該學生的ID，description，min_lvl和max_lvl等信息。假設現在要求我們獲取表中所有學生數據，那我們只要確保where恒真就可以了，即：

WHERE (student_id=1) OR 1=1

這就使得where語句失效，查詢結果等同于執行前兩句sql語句的結果。所以，我們在url中嵌入惡意表達式1=1，就可以進行一次簡單的攻擊，將student表中的數據全部查詢出來。其實，“白帽黑客”和黑帽黑客在行為方式上面并沒有明顯的區別，二者不管是查找還是攻擊漏洞都是建立在以模擬系統并進行攻擊的基礎行為方式上，只不過“白帽黑客”將查找出來的漏洞直接告訴平臺運營商，并不會進行惡意泄漏或者買賣行為。[2]但黑帽黑客在攻擊漏洞后，會將數據出賣給惡意第三方，以此來牟取利益。

二、“白帽黑客”觸及的法律問題分析

(一)“白帽黑客”行為之犯罪分類分析

既然“白帽黑客”的行為可以構成犯罪，其行為應該被定義為結果犯、行為犯、危險犯還是侵害犯？

所謂結果犯是指“不僅要實施具體犯罪構成客觀要件的行為，而且必須發生法定的犯罪結果才構成既遂的犯罪，即以法定的犯罪結果的發生與否作為犯罪既遂與未遂區別標志的犯罪”；而行為犯，是指“既遂的成立不以發生危害結果為條件，而是以犯罪實行行為的完成為標志的犯罪”；至于危險犯，則是指“以行為人實施的危害行為造成法律規定的發生某種危害結果的危險狀態作為既遂標志的犯罪”[3]；侵害犯并未被正式引入我國刑法教材，僅作為一種概念被學者引用討論，它是指行為人實施的犯罪行為造成法律所保護的某種法益受到實際損害的犯罪。“白帽黑客”在查找漏洞檢測網絡安全的過程中，可能會因使用的檢測工具的原因自動緩存相關數據，但“白帽黑客”并無緩存的主觀故意，在當前情況下，可能仍會被認為已經獲得數據，因此不管是“白帽黑客”還是黑帽黑客，無論是檢測漏洞還是攻擊漏洞，都必然會涉及到數據的泄漏。若僅以是否造成數據泄露的危險狀態作為判斷是否構成犯罪標準的話，則所有的黑客行為都會構成犯罪，也就沒有區分“白帽黑客”與黑帽黑客的必要了。這就使得“是否造成法定的危害結果”成為區分“白帽黑客”和黑帽黑客的唯一價值標準。換言之，按照我國刑法的犯罪分類，“白帽黑客”應當被列為結果犯。

(二)“白帽黑客”行為之犯罪構成分析

通過上文對黑客行為的技術分析及筆者對黑客行為簡單的解析，可以知道“白帽黑客”和黑帽黑客在犯罪行為方面并無明顯區別，那么如何判斷“白帽黑客”的行為是否構成犯罪呢？

我國刑法第二百八十五條、二百八十六條以及刑法修正案九及其司法解釋對于“非法侵入”行為構成犯罪僅規定了非常狹窄的范圍，侵入“國家事務、國防建設、尖端科學技術領域的計算機信息系統”等特定信息系統的才會成立犯罪，對于普通的運營商計算機信息系統，僅僅實施了侵入行為，沒有采取破壞、控制、竊取數據等行為造成嚴重后果行為，可以根據我國《計算機信息網絡國際聯網安全保護管理辦法》第六條第一款、第三款和第二十條規定,“未經允許進入計算機信息網絡或者使用計算機信息網絡資源的”和“未經允許，對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的”可以由公安機關給予警告，有違法所得的，沒收違法所得，對個人可以并處5000元以下的罰款，對單位可以并處1.5萬元以下的罰款；情節嚴重的，并可以給予6個月以內停止聯網、停機整頓的處罰，必要時可以建議原發證、審批機構吊銷經營許可證或者取消聯網資格。[4]這意味著，“白帽黑客”在檢測漏洞時，只要不觸碰系統數據，在發現漏洞后立即提交報告給廠商，就不涉及犯罪。但并不是說只要不破壞，控制、竊取數據就一定不會構成犯罪，如前文所述，“白帽黑客”在檢測漏洞時也會用到黑客網絡工具，如sqlmap，它就會自動將某些信息緩存到本地的隱藏文件夾中，而根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，獲取網絡金融服務的身份認證信息10組以上，或其它身份認證信息500組以上的，認定為非法獲取計算機信息系統數據。即便獲取的網絡金融服務的身份認證信息在10組以下或者其他身份認證信息在500組以下，當事人仍可能因其后果受到治安管理處罰法第二十九條的規制，處10日以下拘留。

有些黑客在找到漏洞后，通過漏洞越入系統內部查看到數據，然后將漏洞提交給第三方平臺或者運營商通知修復，并聲稱自己為“白帽黑客”。然而，這種行為實屬掩耳盜鈴并無法律依據，實質上是在犯罪行為后實施補救措施，但這并不影響犯罪性質，只不過是否追究其法律責任的自由裁量權轉移到了運營商手中。

計算機犯罪除了刑法第二百八十五條、二百八十六條規定的非法侵入計算機系統罪、破壞計算機信息系統功能罪、破壞計算機信息系統數據或應用程序罪、制作或傳播計算機病毒等破壞性程序罪這些純正的計算機犯罪外，還有刑法第二百八十七條規定的不純正的計算機犯罪，這類犯罪通常把信息技術當作不唯一的犯罪手段，如利用計算機實施侵犯財產的犯罪、利用計算機實施破環市場經濟秩序的犯罪等。例如臺灣第一銀行ATM機自動吐錢事件，就是犯罪集團利用惡意程序，攻擊銀行內網獲得ATM權限，從而達到令無需物理接觸就使ATM機在指定時間突破上限連續吐鈔的效果，這表明犯罪份子不再只將犯罪手段限定于竊取用戶信用卡或者復制信用卡信息竊取賬戶、密碼等傳統方式，而是直接攻擊金融機構本身，這是典型的網絡經濟犯罪的表現形式。

結合我國刑法規定和黑帽黑客的犯罪構成要件可以得出“白帽黑客”的犯罪構成要件為：(1) 犯罪主體為年滿16周歲的具有刑事責任能力的自然人。(2) 犯罪主觀方面為故意。(3) 犯罪客體為刑法所保護的法益或者網絡安全秩序。(4) 犯罪客觀方面為利用計算機網絡科技技術破環計算機信息系統，情節嚴重并造成嚴重后果。其實，“白帽黑客”與黑帽黑客之間的角色轉換就在一念之間，即在故意侵入計算機系統的情況下，一旦造成了數據泄漏的嚴重后果，白帽的安全行為就會轉變為黑帽的惡意行為，由此可見，世紀佳緣的白帽是非案中，一旦有足夠的證據能夠認定其數據的大量泄漏與“白帽黑客”袁煒的行為有因果關系，即使袁煒并非出于惡意攻擊系統，袁煒也難逃罪責。

三、結語

互聯網的飛速發展在給人們帶來便捷生活的同時，也帶來了各種各樣的負面影響，尤其是在如今互聯網金融制霸全球的情形下，如何防控網絡經濟犯罪成為法律完善的一個重要方向，完善對“白帽黑客”行為的法律規制就成了當務之急。對于“白帽黑客”存在的意義，在全球安全領域作出重要貢獻的阿爾法團隊首領龔廣看來就在于，“能夠發現一些系統的，或是應用的漏洞，能夠使這些廠商第一時間修復這個漏洞，以避免因漏洞的存在而遭受損失”“即使在發現漏洞后，廠商并沒有及時進行修復，通過對漏洞的研究，依然能夠發現那些利用漏洞進行攻擊的病毒或木馬，并據此提供相應的防護對策，同時，在第一時間對這些惡意程序進行查殺，將用戶面臨的風險或損失降到最低”。

[1] 高銘暄,馬克昌.刑法學[M].北京:北京大學出版社,2000.

[2] 趙秉志,吳振興.刑法學通論[M].北京:高等教育出版社,1993.

[3] 董健.論計算機犯罪中電子證據的界定及取證規則[J].科技與法律,2008(6)：85-88.

[4] 張衡.網絡安全漏洞法律問題研究[J].信息安全與通信保密,2015(4)：23-24.

責任編輯：九 林

On the Criminal Law Regulation of White Hat Hackers

ZHANG Mohan

Recently, a “white-hat hacker” incident caused uproar, and the crowd not known to the vast majority of people “white hat hackers” appeared in front of the public. On June 26, 2016, in a Beijing network security conference a white-hat hacker’s father claimed that his son had been reported by Woo Yun website because he had provided website flaws of Jiayuancom in the website, and was detained by the Beijing police. “White hat hackers” is a positive salutation to the hacker group. They do not earn money for the purpose of underground transactions, and they find system vulnerabilities for enterprises and maintain network security.

white hat hacker; information security; cyber crime; legal regulation

2017-03-06

張默晗(1992—)，女，河北衡水人，刑法學專業2015級碩士研究生，研究方向：刑法學。

D924

A

1671-8275(2017)03-0022-03