6月23日，在會(huì)議現(xiàn)場(chǎng)，拿著一封探討“白帽子檢測(cè)漏洞是不是犯罪”的信，袁冠陽(yáng)講述了兒子袁煒的遭遇——身為“白帽子”的袁煒，因檢測(cè)世紀(jì)佳緣網(wǎng)存在的系統(tǒng)漏洞，而被警方以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪逮捕。這一案件的曝出，立刻引發(fā)了網(wǎng)絡(luò)安全界的熱烈討論。

所謂“白帽子”，是指一些正面黑客，他們不以非法入侵他人系統(tǒng)、獲取數(shù)據(jù)信息為目的，而是通過(guò)識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞并提醒相關(guān)企業(yè)注意，從而使系統(tǒng)漏洞可以在被其他人利用之前來(lái)予以修補(bǔ)。

這樣的“白帽子”，被很多人比喻為網(wǎng)絡(luò)世界中的“超級(jí)英雄”——人們?nèi)粘ｋy以察覺(jué)這群人的身影，而他們卻在默默維護(hù)著整個(gè)網(wǎng)絡(luò)世界的安全。

然而，袁煒被捕一事，將一個(gè)嚴(yán)峻的事實(shí)擺在了“白帽子”們的面前——擁有強(qiáng)大信息技術(shù)的“白帽子”，與不法黑客僅僅一線之隔，其行為究竟應(yīng)當(dāng)遵循怎樣的規(guī)范，才能避免遭遇袁煒一樣的后果？

如何在發(fā)現(xiàn)漏洞、維護(hù)網(wǎng)絡(luò)安全時(shí)，不讓自己置身于巨大的法律風(fēng)險(xiǎn)之中——這恐怕將是“白帽子”們未來(lái)需要認(rèn)真思考的問(wèn)題。

提交漏洞卻遭警方逮捕

根據(jù)袁冠陽(yáng)介紹，袁煒被捕前就職于杭州九陽(yáng)小家電有限公司，擔(dān)任信息安全運(yùn)維主管職務(wù)。由于在履行工作職責(zé)期間，接受過(guò)很多“白帽子”的幫助，出于與其他網(wǎng)絡(luò)安全人員和廠家互幫互助、良性交流的心態(tài)，袁煒便于2015年10月19日在烏云網(wǎng)注冊(cè)，成為了一名‘白帽子’，此后一共在烏云網(wǎng)上提交了11個(gè)不同網(wǎng)站的漏洞，其中8個(gè)被修復(fù)。

在袁冠陽(yáng)的信中，法治周末記者看到，2015年12月3日16時(shí)，袁煒通過(guò)SQL軟件對(duì)世紀(jì)佳緣網(wǎng)進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)存在漏洞；經(jīng)多次驗(yàn)證確認(rèn)后，2015年12月4日9時(shí)，袁煒將漏洞提交至烏云網(wǎng)，烏云網(wǎng)隨后通知了世紀(jì)佳緣網(wǎng)，同年12月7日，世紀(jì)佳緣網(wǎng)確認(rèn)并修復(fù)了該漏洞，并致謝烏云網(wǎng)及袁煒。

“本以為這是一次和以往沒(méi)有任何差別的互助交流行為，但隨后事件的發(fā)展，就出乎了我們的意料之外。”袁冠陽(yáng)表示，世紀(jì)佳緣網(wǎng)于2016年1月18日向北京市公安局朝陽(yáng)分局報(bào)案，稱有4000余條實(shí)名注冊(cè)信息被不法分子竊取。

袁冠陽(yáng)告訴法治周末記者，根據(jù)世紀(jì)佳緣網(wǎng)委托北京通達(dá)首誠(chéng)司法鑒定所對(duì)其服務(wù)日志進(jìn)行鑒定后的證據(jù)顯示，世紀(jì)佳緣網(wǎng)在2015年12月3日17時(shí)至2015年12月4日10時(shí)的時(shí)間段內(nèi)，陸續(xù)收到以SQL為注入為手段的訪問(wèn)請(qǐng)求4400余次，并且網(wǎng)站數(shù)據(jù)庫(kù)中有932條數(shù)據(jù)被讀取。

可以看到，世紀(jì)佳緣網(wǎng)報(bào)警所聲稱被攻擊的時(shí)間和方式，與袁煒檢測(cè)世紀(jì)佳緣網(wǎng)漏洞的時(shí)間和方式，正好重合。今年3月8日，北京市公安局朝陽(yáng)分局以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，將袁煒刑事拘留；4月12日，北京市朝陽(yáng)區(qū)人民檢察院正式批準(zhǔn)逮捕袁煒。

“上述鑒定，是警方和檢方逮捕袁煒的主要證據(jù)。”袁冠陽(yáng)說(shuō)，如果說(shuō)袁煒主動(dòng)下載了世紀(jì)佳緣的數(shù)據(jù)，家屬也沒(méi)有任何異議，但是截至目前，警方?jīng)]有從袁煒使用的筆記本電腦中檢測(cè)出世紀(jì)佳緣網(wǎng)的數(shù)據(jù)。事實(shí)是，袁煒沒(méi)有意圖下載或者主動(dòng)下載世紀(jì)佳緣網(wǎng)的任何數(shù)據(jù)。

“這種行為能夠算作犯罪嗎？如果此種行為也構(gòu)成犯罪，那么試問(wèn)誰(shuí)還愿意維護(hù)網(wǎng)絡(luò)安全？”袁冠陽(yáng)的信中寫(xiě)到。

是否獲取數(shù)據(jù)成定罪關(guān)鍵

袁冠陽(yáng)的奔走呼號(hào)，引來(lái)眾多網(wǎng)絡(luò)安全行業(yè)人士的熱議與討論。為何世紀(jì)佳緣網(wǎng)要對(duì)已經(jīng)發(fā)現(xiàn)的漏洞進(jìn)行報(bào)警、進(jìn)而導(dǎo)致本是“功臣”的袁煒被抓？袁煒的行為究竟是否構(gòu)成犯罪？“白帽子”應(yīng)當(dāng)如何處理與企業(yè)之間的關(guān)系，在提交漏洞的同時(shí)保障自身安全？

圍繞著這些話題，知乎平臺(tái)上目前已經(jīng)聚集了340份回答。其中，作為當(dāng)事一方，世紀(jì)佳緣網(wǎng)CEO吳琳光也說(shuō)出了自己的想法。

吳琳光表示，2015年12月3日當(dāng)晚，世紀(jì)佳緣網(wǎng)負(fù)責(zé)網(wǎng)絡(luò)安全的同事就發(fā)現(xiàn)了攻擊，在烏云網(wǎng)依照行業(yè)慣例通知網(wǎng)站存在漏洞后，世紀(jì)佳緣網(wǎng)進(jìn)行了確認(rèn)，并在烏云網(wǎng)上向“白帽子”致謝。

“事后統(tǒng)計(jì)發(fā)現(xiàn)，攻擊總次數(shù)累計(jì)達(dá)到4000余次，共有900多條有效數(shù)據(jù)被攻擊者獲取。攻擊者會(huì)如何使用這些信息數(shù)據(jù)我們不得而知，出于對(duì)用戶數(shù)據(jù)和信息安全的擔(dān)憂，我們還是選擇了報(bào)警。”吳琳光強(qiáng)調(diào)，此前并不知道提交漏洞的“白帽子”和攻擊者是同一個(gè)人，報(bào)警并不針對(duì)任何個(gè)人或群體。

而對(duì)于袁煒被捕一事，吳琳光表示，由于本案目前已經(jīng)進(jìn)入司法公訴程序，世紀(jì)佳緣網(wǎng)能做的有限，“在這個(gè)事件中，世紀(jì)佳緣的數(shù)據(jù)被非法獲取，我們也是受害者”。

在上海段和段律師事務(wù)所合伙人劉春泉看來(lái)，世紀(jì)佳緣網(wǎng)在遭遇網(wǎng)絡(luò)攻擊、用戶數(shù)據(jù)被竊取的情況下選擇報(bào)警，是無(wú)可厚非的；袁煒被捕一事的關(guān)鍵，在于其行為是否滿足了非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的構(gòu)成要件。

西南科技大學(xué)法學(xué)院副教授廖天虎告訴法治周末記者，我國(guó)刑法第285條規(guī)定了非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，是指違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，且情節(jié)嚴(yán)重的行為，構(gòu)成犯罪。

而所謂“情節(jié)嚴(yán)重的行為”，廖天虎指出，根據(jù)2011年8月1日頒布的《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》第1條的規(guī)定，主要包括以下幾種情況：獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上；獲取其他身份認(rèn)證信息五百組以上；非法控制計(jì)算機(jī)信息系統(tǒng)二十臺(tái)以上；違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬(wàn)元以上。

“按照法律規(guī)定，如果世紀(jì)佳緣網(wǎng)確實(shí)遭遇900余條用戶實(shí)名注冊(cè)信息被竊取，且警方查明該行為由袁煒實(shí)施的話，那么袁煒的行為就符合非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的構(gòu)成要件。”廖天虎說(shuō)。

“白帽子”應(yīng)注意行為規(guī)范

事實(shí)上，一直以來(lái)，“白帽子”的行為時(shí)常被質(zhì)疑“走在法律的邊緣。”

劉春泉指出，除了刑法對(duì)侵入計(jì)算機(jī)系統(tǒng)的犯罪行為進(jìn)行了規(guī)定外，我國(guó)治安管理處罰法中，對(duì)相關(guān)行為也有專(zhuān)門(mén)的規(guī)定。

治安管理處罰法第29條規(guī)定，違反國(guó)家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)、造成危害，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加，以及故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行等行為，都將面臨行政拘留的處罰后果。

"白帽子’的行為是否構(gòu)成違法、犯罪，并不在于其是否以‘白帽子’的名義開(kāi)展活動(dòng)，而是要依據(jù)我國(guó)法律的具體規(guī)定來(lái)認(rèn)定。”劉春泉表示，袁煒的案子引發(fā)網(wǎng)絡(luò)安全行業(yè)人士的廣泛關(guān)注，很大程度上在于，“白帽子”們目前沒(méi)有明確的行為邊界。

烏云網(wǎng)創(chuàng)始人方小頓坦言，從技術(shù)角度講，“白帽子”測(cè)試企業(yè)系統(tǒng)是否存在漏洞的方法，與黑客攻擊之間的區(qū)別并不明顯；如果“白帽子”在測(cè)試企業(yè)漏洞的過(guò)程中，對(duì)自己的行為邊界區(qū)分不夠明顯，的確有觸碰法律的風(fēng)險(xiǎn)。

但是，方小頓強(qiáng)調(diào)，與黑客不同，“白帽子”會(huì)向企業(yè)報(bào)告漏洞的存在，而不是利用漏洞去從事?tīng)I(yíng)利等非法目的。

"白帽子’相當(dāng)于網(wǎng)絡(luò)世界里的白細(xì)胞，能夠幫助企業(yè)抵抗外界的攻擊風(fēng)險(xiǎn)。”方小頓向法治周末記者表示，“白帽子”的初衷是希望在法律的框架之內(nèi)，能夠幫助企業(yè)和網(wǎng)絡(luò)空間提升安全，不存在威脅一說(shuō)。

“袁煒的案件還處在司法調(diào)查階段，目前不好評(píng)價(jià)，但我們會(huì)呼吁廣大的‘白帽子’社區(qū)不忘初心，持續(xù)在法律的框架之內(nèi)為互聯(lián)網(wǎng)和企業(yè)安全提升作出貢獻(xiàn)和實(shí)現(xiàn)自己的價(jià)值。”方小頓說(shuō)。

北京志霖律師事務(wù)所副主任趙占領(lǐng)律師也認(rèn)為，“白帽子”利用自己的專(zhuān)業(yè)技術(shù)特長(zhǎng)、結(jié)合興趣愛(ài)好，主動(dòng)尋找網(wǎng)站存在的安全漏洞，其行為對(duì)于網(wǎng)站而言沒(méi)有破壞性；相反，“白帽子”幫助網(wǎng)站及時(shí)發(fā)現(xiàn)漏洞、修復(fù)漏洞、以防給企業(yè)或用戶造成嚴(yán)重?fù)p失，對(duì)網(wǎng)站具有積極的建設(shè)性作用。

而從實(shí)踐中可以看到，“白帽子”與互聯(lián)網(wǎng)企業(yè)之間，長(zhǎng)期以來(lái)存在著良性互動(dòng)。法治周末記者了解到，諸如微軟、騰訊、小米等互聯(lián)網(wǎng)企業(yè)中，都特別設(shè)立了安全應(yīng)急響應(yīng)中心，鼓勵(lì)“白帽子”幫助尋找自己網(wǎng)站的漏洞。

“如果‘白帽子’處于對(duì)自身安全的顧慮，不敢去給網(wǎng)站尋找、發(fā)現(xiàn)漏洞，這對(duì)于企業(yè)的商業(yè)利益以及用戶的信息安全都是非常不利的。”趙占領(lǐng)表示。

對(duì)此，趙占領(lǐng)建議，“白帽子”在驗(yàn)證網(wǎng)站漏洞的過(guò)程中，不能修改、刪除或者增加系統(tǒng)的功能，更不能試圖控制、破壞系統(tǒng)，利用進(jìn)入系統(tǒng)驗(yàn)證漏洞的機(jī)會(huì)獲取相關(guān)數(shù)據(jù)，這些都是“白帽子”的行為禁區(qū)。

另外，趙占領(lǐng)還提醒，不排除“白帽子”使用的個(gè)別技術(shù)工具存在自動(dòng)緩存功能，將系統(tǒng)中的數(shù)據(jù)自動(dòng)存儲(chǔ)在本地電腦中，這種情況是否涉嫌犯罪可能存在爭(zhēng)議。

而劉春泉指出，“白帽子”除了在技術(shù)上需要注意可能觸犯法律之外，還應(yīng)當(dāng)注意，不能將發(fā)現(xiàn)企業(yè)漏洞作為向企業(yè)要求報(bào)酬、尋求合作的籌碼：“盡管一些企業(yè)會(huì)對(duì)發(fā)現(xiàn)漏洞的‘白帽子’進(jìn)行獎(jiǎng)勵(lì)，但這并非是企業(yè)的義務(wù)。如果‘白帽子’開(kāi)展這樣的行為，還有可能涉嫌構(gòu)成敲詐勒索罪。”

“烏云網(wǎng)應(yīng)承擔(dān)更多社會(huì)責(zé)任”

法治周末記者 李含

在“白帽子”袁煒被捕一事中，作為袁煒提交漏洞的平臺(tái)，烏云網(wǎng)也一直處于輿論場(chǎng)的中心。烏云網(wǎng)扮演著怎樣的角色？這在“白帽子”被抓一事中能起到怎樣的作用？這也是行業(yè)人士討論的話題。

根據(jù)烏云網(wǎng)官網(wǎng)的描述，烏云網(wǎng)是一個(gè)位于廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)，在對(duì)安全問(wèn)題進(jìn)行反饋處理跟進(jìn)的同時(shí)，為互聯(lián)網(wǎng)安全研究者提供一個(gè)公益、學(xué)習(xí)、交流和研究的平臺(tái)。

烏云網(wǎng)創(chuàng)始人方小頓介紹，烏云網(wǎng)鏈接起企業(yè)和“白帽子”，漏洞會(huì)在“白帽子”提交給烏云網(wǎng)后，通過(guò)烏云先報(bào)告給企業(yè)，然后由企業(yè)修復(fù)，最后讓公眾知曉。

“烏云網(wǎng)的漏洞披露流程是很?chē)?yán)格的，所有安全信息在按照流程處理完成之前不會(huì)對(duì)外公開(kāi)。”方小頓表示。

法治周末記者在烏云網(wǎng)上看到，烏云網(wǎng)要求白帽子保證研究漏洞的方法、方式、工具及手段的合法性，烏云網(wǎng)對(duì)此不承擔(dān)任何法律責(zé)任；而為了保證信息的高可靠性和價(jià)值，對(duì)于提交虛假漏洞信息的“白帽子”，烏云網(wǎng)會(huì)進(jìn)行一定的處罰措施。

“烏云網(wǎng)作為信息發(fā)布平臺(tái)，需要對(duì)‘白帽子’發(fā)布的漏洞信息，盡到一定的合理注意義務(wù)，保證漏洞信息發(fā)布的準(zhǔn)確性。在滿足這個(gè)條件的基礎(chǔ)上，烏云網(wǎng)不需承擔(dān)額外的責(zé)任。”北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示。

然而在上海段和段律師事務(wù)所合伙人劉春泉看來(lái)，盡管烏云網(wǎng)自身不太可能因?yàn)?ldquo;白帽子”檢驗(yàn)漏洞的行為承擔(dān)法律責(zé)任，但是作為全國(guó)最大的“白帽子”社區(qū)，以烏云網(wǎng)在網(wǎng)絡(luò)安全生態(tài)中的重要地位，烏云網(wǎng)應(yīng)當(dāng)在推動(dòng)行業(yè)規(guī)范上發(fā)揮更加重要的作用，承擔(dān)更多的社會(huì)責(zé)任。

“袁煒這個(gè)事件發(fā)生，反映出目前對(duì)于‘白帽子’群體而言，缺乏規(guī)范的行為準(zhǔn)則。在這一點(diǎn)上，烏云網(wǎng)應(yīng)該利用其影響力，起到一定的倡導(dǎo)、提醒作用，幫助‘白帽子’群體建立在技術(shù)上、實(shí)踐中可行的行為準(zhǔn)則。”劉春泉表示。

安在創(chuàng)始人張耀疆也在媒體上發(fā)文呼吁：“能力越大責(zé)任越大，烏云網(wǎng)作為眾測(cè)平臺(tái)代表，為整個(gè)產(chǎn)業(yè)發(fā)展作出的貢獻(xiàn)大家都看在眼里，也得到了公認(rèn)。但事情發(fā)展到現(xiàn)在這個(gè)階段，是不是該更勇敢地站出來(lái)，去努力營(yíng)造一種新的局面呢？商業(yè)化很重要，但如果好不容易打造起來(lái)的‘白帽子’社群文化被否定甚至顛覆了，等于根基就沒(méi)了，其他發(fā)展恐怕也會(huì)受到影響的。”

方小頓告訴法治周末記者，烏云網(wǎng)會(huì)在即將到來(lái)的烏云“白帽子”大會(huì)上，對(duì)“白帽子”在測(cè)試企業(yè)系統(tǒng)漏洞的過(guò)程中可能涉及的法律風(fēng)險(xiǎn)做詳細(xì)討論，并且會(huì)更加具體化地明確測(cè)試邊界，幫助“白帽子”規(guī)避法律風(fēng)險(xiǎn)。

趙占領(lǐng)建議，烏云網(wǎng)可以參考淘寶網(wǎng)制定“淘規(guī)則”的做法和經(jīng)驗(yàn)，致力于建立一套適應(yīng)于“白帽子”社群的規(guī)范，推動(dòng)行業(yè)自律的發(fā)展。