雷鋒網(wǎng)按：本文作者北京市京都（深圳）律師事務(wù)所 劉華斌，由白帽匯投稿雷鋒網(wǎng)。

（via：tutzone.org）

本案在網(wǎng)絡(luò)安全界已經(jīng)是討論地?zé)峄鸪欤虮景钢幸呀?jīng)公開(kāi)的資料中，諸多細(xì)節(jié)點(diǎn)未得到司法機(jī)關(guān)官方公布。故依據(jù)最近來(lái)源原則，只局限于討論袁煒父親《致第四屆網(wǎng)絡(luò)安全大會(huì)的一封信-白帽子檢測(cè)漏洞到底是不是犯罪？》（以下簡(jiǎn)稱《公開(kāi)信》）中描述情況作分析。

| “非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”是個(gè)什么罪？

公開(kāi)信提到，2016年3月8日，北京市公安局朝陽(yáng)分局以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，將袁煒刑事拘留；4月12日，北京市朝陽(yáng)區(qū)人民檢察院批準(zhǔn)以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪逮捕。

1997年3月14日修訂的《中華人民共和國(guó)刑法》第285條規(guī)定“ 違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役?！弊锩麨椤胺欠ㄇ秩胗?jì)算機(jī)信息系統(tǒng)罪”。

為適應(yīng)網(wǎng)絡(luò)急劇發(fā)展的現(xiàn)實(shí)情況，2009年2月28日，全國(guó)人大常委會(huì)頒布《刑法修正案(七)》，在刑法第285條中增加兩款作為第二款、第三款，其中第2款規(guī)定：

違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。 

非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪屬于情節(jié)犯，即達(dá)到一定情節(jié)后，才予以追究刑事責(zé)任。

| 本案中何種情形才構(gòu)罪？

《公開(kāi)信》提到，在此過(guò)程中，上?；ㄇ?shù)信息科技公司自行委托北京通達(dá)首誠(chéng)司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定，鑒定認(rèn)為，根據(jù)服務(wù)器日志顯示，世紀(jì)佳緣網(wǎng)在2015年12月3日日17時(shí)許至4日10時(shí)許，陸續(xù)受到“124.160.67.131”等11個(gè)IP地址（其中一個(gè)是北京的，明顯與袁煒無(wú)關(guān)）以SQL注入為手段的訪問(wèn)請(qǐng)求，注入請(qǐng)求為4400余次。SQL注入成功后，入侵者對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行了讀取操作，涉及“讀取”操作的數(shù)據(jù)庫(kù)數(shù)據(jù)信息為932條。

最高人民法院、最高人民檢察院《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱《解釋》）中規(guī)定了五種在司法上可以認(rèn)定為“情節(jié)嚴(yán)重”的情形，即，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng)，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為《刑法》第285條第2款規(guī)定的“情節(jié)嚴(yán)重”：

（一）獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上的；

（二）獲取第（一）項(xiàng)以外的身份認(rèn)證信息五百組以上的；

（三）非法控制計(jì)算機(jī)信息系統(tǒng)二十臺(tái)以上的；

（四）違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬(wàn)元以上的；

（五）其他情節(jié)嚴(yán)重的情形。

同時(shí)，解釋在尾部又說(shuō)明：本解釋所稱“身份認(rèn)證信息”，是指用于確認(rèn)用戶在計(jì)算機(jī)信息系統(tǒng)上操作權(quán)限的數(shù)據(jù)，包括賬號(hào)、口令、密碼、數(shù)字證書(shū)等。本解釋所稱“經(jīng)濟(jì)損失”，包括危害計(jì)算機(jī)信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟(jì)損失，以及用戶為恢復(fù)數(shù)據(jù)、功能而支出的必要費(fèi)用。

很顯然，基于袁煒獲得的不屬于金融服務(wù)信息，可排除第1種情形；基于未控制計(jì)算機(jī)，排除第3種情形；基于未獲利，也未造成經(jīng)濟(jì)損失，排除第4種情形；第5種是立法技術(shù)上的授權(quán)和自由裁量，暫不討論。

那么最大可能是涉及第2種情形，而第2種情節(jié)情形規(guī)定有二項(xiàng)必要條件——

一是獲取的必須是身份認(rèn)證信息，即網(wǎng)站用于身份鑒權(quán)的信息；

二是必須達(dá)到500組以上。

再回到《公開(kāi)信》，其未說(shuō)明是否屬于身份認(rèn)證信息，如果該信息不是身份認(rèn)證信息，個(gè)人認(rèn)為不構(gòu)罪。

在細(xì)節(jié)上，基于本案中共有11個(gè)IP進(jìn)行了注入式訪問(wèn)，那么需要細(xì)究，具體哪個(gè)IP讀取了多少信息，并具體哪個(gè)IP由袁煒實(shí)際使用。

| 合法與違法的邊界在哪里？

在友好測(cè)試中，個(gè)人理解，最重要是“允許”，也就是要取得被測(cè)試網(wǎng)站的經(jīng)營(yíng)主體的合法邀請(qǐng)或授權(quán)。

因?yàn)楦鶕?jù)該罪的構(gòu)成中的“違反國(guó)家規(guī)定”，主要指公安部《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》（2011版）第六條“任何單位和個(gè)人不得從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)：（一）未經(jīng)允許，進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源的；”。

| 白帽子的行為是否可視為已經(jīng)征得世紀(jì)佳緣的允許？

據(jù)袁煒家人的公開(kāi)信提到，并經(jīng)查詢?yōu)踉凭W(wǎng)的廠商紀(jì)錄，2012年1月21日，世紀(jì)佳緣注冊(cè)成為烏云網(wǎng)的企業(yè)用戶。烏云網(wǎng)的注冊(cè)白帽子先后向世紀(jì)佳緣提交了42個(gè)漏洞信息，世紀(jì)佳緣核實(shí)后修復(fù)了相關(guān)漏洞并向?yàn)踉凭W(wǎng)的多名白帽子致謝。

具體到本案中，世紀(jì)佳緣網(wǎng)在烏云網(wǎng)上注冊(cè)為廠商。

烏云網(wǎng)在廠商頁(yè)的介紹中描述為“你可以在WooYun注冊(cè)為廠商來(lái)關(guān)注和修復(fù)自己企業(yè)的安全問(wèn)題”。世紀(jì)佳緣網(wǎng)注冊(cè)為廠商用戶，其也深知烏云網(wǎng)是一個(gè)位于廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)，換句話說(shuō)，廠商用戶是希望在第一時(shí)間了解到自身經(jīng)營(yíng)網(wǎng)站是否存在漏洞，并進(jìn)而與白帽子們展開(kāi)良性互助，公開(kāi)信中“烏云網(wǎng)的注冊(cè)白帽子先后向世紀(jì)佳緣提交了42個(gè)漏洞信息，世紀(jì)佳緣核實(shí)后修復(fù)了相關(guān)漏洞并向?yàn)踉凭W(wǎng)的多名白帽子致謝?！贝它c(diǎn)在烏云網(wǎng)是可以找到相應(yīng)的紀(jì)錄的。

如果按普羅大眾對(duì)于“允許”的通行或表象認(rèn)定來(lái)看，或許袁煒并未征得世紀(jì)佳緣的允許，但至少在袁煒事件發(fā)生前，世紀(jì)佳緣網(wǎng)對(duì)于烏云網(wǎng)的此種溝通方式并未提出明示的反對(duì)。而顯然，袁煒也是烏云網(wǎng)的注冊(cè)實(shí)習(xí)白帽子，其與世紀(jì)佳緣的關(guān)系，應(yīng)當(dāng)可適用此前的雙方行為慣例。

正如普羅大眾對(duì)于合同的理解一樣，只有正式的書(shū)面合同才可稱為合同，而在司法實(shí)踐中，口頭合同、甚至于行為合同也是一份合同。例如我們?cè)跁?shū)報(bào)亭買(mǎi)一份報(bào)紙，并不需要言語(yǔ)甚至于眼神的溝通，只需要放下一元錢(qián)，則可以取走一份報(bào)紙。

正如本事件發(fā)生后的7月1日，烏云網(wǎng)上白帽子“路人甲”在提交關(guān)于世紀(jì)佳緣的另一高危漏洞“某接口可以遍歷任意用戶信息”后所發(fā)表的一段十分有趣的免責(zé)聲明——

“如果廠商不愿意接受來(lái)自互聯(lián)網(wǎng)的貿(mào)然測(cè)試，可在修復(fù)本漏洞后（或下線服務(wù)器），點(diǎn)擊忽略該漏洞，并在廠商回復(fù)處留下：‘請(qǐng)不要測(cè)試本公司，本公司將采取法律手段約束你們的測(cè)試行為，后果自負(fù)。’，之后走國(guó)際黑名單慣例，不會(huì)再有人關(guān)注貴公司信息系統(tǒng)的安全風(fēng)險(xiǎn)?！?/p>

世紀(jì)佳緣網(wǎng)在收到此前的42次漏洞信息后，完全可以作出相反的書(shū)面聲明，拒絕烏云網(wǎng)的白帽子們?cè)俣葯z測(cè)其漏洞。

根據(jù)大陸法系國(guó)家的民法，采用表示主義，指當(dāng)行為人的效果意思與其表示行為不—致時(shí)，法律按行為人表示出來(lái)的意思賦予此行為以法律上的效果。其目的在于側(cè)重保護(hù)相對(duì)人的信賴和交易安全。而意思表示也分為有具體的相對(duì)人和無(wú)具體的相對(duì)人。

最后借用《神探狄仁杰》的一句臺(tái)詞作為結(jié)束。元芳每遇疑案，屢問(wèn)狄仁杰，“大人的意思是……”狄大人標(biāo)準(zhǔn)回答“我沒(méi)有什么意思”，此處玄機(jī)，只有狄大人才深知了……

 雷鋒網(wǎng)注：轉(zhuǎn)載請(qǐng)聯(lián)系我們授權(quán)，標(biāo)注出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。