张默晗

(西南科技大学 法学院，四川 绵阳 621010)

论“白帽黑客”的刑法规制问题

张默晗

(西南科技大学 法学院，四川 绵阳 621010)

近日，一则关于“白帽黑客”的事件闹得沸沸扬扬，让“白帽黑客”这个不为人所熟知的群体浮现在众人面前。“白帽黑客”是对黑客群体正面性的称呼，他们不以地下交易为目的赚取钱财，而是为企业发现系统漏洞，维护网络安全。

“白帽黑客”；信息安全；网络犯罪；法律规制

一、“白帽黑客”的技术性分析

(一)“白帽黑客”的内涵

所谓黑客，是对拥有极高IT技术，在未获得运营商或者用户许可的情况下，攻击操作系统的漏洞造成用户数据泄漏后果的人的统称。黑客分为黑帽黑客(cracker / black hat)以及“白帽黑客”(hacker / white hat)。黑帽黑客是对黑客群体有负面性影响的人的称呼，这些人往往随意使用资源，恶意破坏操作系统或者数据库的漏洞、散播蠕虫病毒或者木马病毒来盗取平台用户的数据，给运营商或者用户造成经济损失。[1]而“白帽黑客”恰恰相反，他们不以牟利为目的进行恶意攻击，而是通过模拟系统，查找漏洞的方式为运营商找出存在的安全隐患，提醒平台运营商修补漏洞。

(二)“白帽黑客”之运作技术分析

笔者从攻击模式上将攻击分为智取和强攻。智取是指先找到弱点下手的方式，强攻则是指暴力破解。如黑客知道对方建城是采用某种图纸建造的(系统使用的某中技术)，这种城墙哪里比较薄弱(技术漏洞)都清楚，然后针对这一点去攻击，这即为智取；暴力破解就像打开密码锁，假设总共四位数字10000种可能性，攻击者穷举所有的可能性，肯定能打开密码。至于如何攻击或者查找漏洞，较为常用的方法为sql injection,即sql 注入。SQL注入是指通过把sql命令插入到web表单递交或者输入页面请求或者键入域名的查询字符串，进而达到欺骗服务器执行恶意语句的目的。浅显地讲，它是将恶意的sql命令注入到后台数据库引擎执行的能力，通过在提交的web表单中嵌入恶意语句得到一个存在安全漏洞网站的数据库。当我们对页面进行动态请求，即在静态语句中加上查询变量时，就可以在该url中嵌套恶意语句。假设我们设计一个student表单，包括student_id , student_desc , min_lvl , max_lvl。我们要查询学生信息时，就要在web程序中根据学生id(student_id)来查询，首先要设定一个大函数Page_Load(object sender,EventArge e)，这是当页面载入时触发的程序背景函数。在这个函数下判断是不是从页面回传过来的数据，如果不是从页面回传过来的，就在第一次加载的时候进行数据绑定；如果获取的id数据不为空，就从数据库中根据id获得数据，然后进行数据绑定。如此，就完成了web程序，接下来就是查询相应的学生信息。只要编写简单的语句如：

SELECTstudent_id, student_desc, min_lvl, max_lvl

FROM students

WHERE (student_id=1)

这样我们就可以通过输入学生ID来查询该学生的ID，description，min_lvl和max_lvl等信息。假设现在要求我们获取表中所有学生数据，那我们只要确保where恒真就可以了，即：

WHERE (student_id=1) OR 1=1

这就使得where语句失效，查询结果等同于执行前两句sql语句的结果。所以，我们在url中嵌入恶意表达式1=1，就可以进行一次简单的攻击，将student表中的数据全部查询出来。其实，“白帽黑客”和黑帽黑客在行为方式上面并没有明显的区别，二者不管是查找还是攻击漏洞都是建立在以模拟系统并进行攻击的基础行为方式上，只不过“白帽黑客”将查找出来的漏洞直接告诉平台运营商，并不会进行恶意泄漏或者买卖行为。[2]但黑帽黑客在攻击漏洞后，会将数据出卖给恶意第三方，以此来牟取利益。

二、“白帽黑客”触及的法律问题分析

(一)“白帽黑客”行为之犯罪分类分析

既然“白帽黑客”的行为可以构成犯罪，其行为应该被定义为结果犯、行为犯、危险犯还是侵害犯？

所谓结果犯是指“不仅要实施具体犯罪构成客观要件的行为，而且必须发生法定的犯罪结果才构成既遂的犯罪，即以法定的犯罪结果的发生与否作为犯罪既遂与未遂区别标志的犯罪”；而行为犯，是指“既遂的成立不以发生危害结果为条件，而是以犯罪实行行为的完成为标志的犯罪”；至于危险犯，则是指“以行为人实施的危害行为造成法律规定的发生某种危害结果的危险状态作为既遂标志的犯罪”[3]；侵害犯并未被正式引入我国刑法教材，仅作为一种概念被学者引用讨论，它是指行为人实施的犯罪行为造成法律所保护的某种法益受到实际损害的犯罪。“白帽黑客”在查找漏洞检测网络安全的过程中，可能会因使用的检测工具的原因自动缓存相关数据，但“白帽黑客”并无缓存的主观故意，在当前情况下，可能仍会被认为已经获得数据，因此不管是“白帽黑客”还是黑帽黑客，无论是检测漏洞还是攻击漏洞，都必然会涉及到数据的泄漏。若仅以是否造成数据泄露的危险状态作为判断是否构成犯罪标准的话，则所有的黑客行为都会构成犯罪，也就没有区分“白帽黑客”与黑帽黑客的必要了。这就使得“是否造成法定的危害结果”成为区分“白帽黑客”和黑帽黑客的唯一价值标准。换言之，按照我国刑法的犯罪分类，“白帽黑客”应当被列为结果犯。

(二)“白帽黑客”行为之犯罪构成分析

通过上文对黑客行为的技术分析及笔者对黑客行为简单的解析，可以知道“白帽黑客”和黑帽黑客在犯罪行为方面并无明显区别，那么如何判断“白帽黑客”的行为是否构成犯罪呢？

我国刑法第二百八十五条、二百八十六条以及刑法修正案九及其司法解释对于“非法侵入”行为构成犯罪仅规定了非常狭窄的范围，侵入“国家事务、国防建设、尖端科学技术领域的计算机信息系统”等特定信息系统的才会成立犯罪，对于普通的运营商计算机信息系统，仅仅实施了侵入行为，没有采取破坏、控制、窃取数据等行为造成严重后果行为，可以根据我国《计算机信息网络国际联网安全保护管理办法》第六条第一款、第三款和第二十条规定,“未经允许进入计算机信息网络或者使用计算机信息网络资源的”和“未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的”可以由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下的罚款，对单位可以并处1.5万元以下的罚款；情节严重的，并可以给予6个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。[4]这意味着，“白帽黑客”在检测漏洞时，只要不触碰系统数据，在发现漏洞后立即提交报告给厂商，就不涉及犯罪。但并不是说只要不破坏，控制、窃取数据就一定不会构成犯罪，如前文所述，“白帽黑客”在检测漏洞时也会用到黑客网络工具，如sqlmap，它就会自动将某些信息缓存到本地的隐藏文件夹中，而根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，获取网络金融服务的身份认证信息10组以上，或其它身份认证信息500组以上的，认定为非法获取计算机信息系统数据。即便获取的网络金融服务的身份认证信息在10组以下或者其他身份认证信息在500组以下，当事人仍可能因其后果受到治安管理处罚法第二十九条的规制，处10日以下拘留。

有些黑客在找到漏洞后，通过漏洞越入系统内部查看到数据，然后将漏洞提交给第三方平台或者运营商通知修复，并声称自己为“白帽黑客”。然而，这种行为实属掩耳盗铃并无法律依据，实质上是在犯罪行为后实施补救措施，但这并不影响犯罪性质，只不过是否追究其法律责任的自由裁量权转移到了运营商手中。

计算机犯罪除了刑法第二百八十五条、二百八十六条规定的非法侵入计算机系统罪、破坏计算机信息系统功能罪、破坏计算机信息系统数据或应用程序罪、制作或传播计算机病毒等破坏性程序罪这些纯正的计算机犯罪外，还有刑法第二百八十七条规定的不纯正的计算机犯罪，这类犯罪通常把信息技术当作不唯一的犯罪手段，如利用计算机实施侵犯财产的犯罪、利用计算机实施破环市场经济秩序的犯罪等。例如台湾第一银行ATM机自动吐钱事件，就是犯罪集团利用恶意程序，攻击银行内网获得ATM权限，从而达到令无需物理接触就使ATM机在指定时间突破上限连续吐钞的效果，这表明犯罪份子不再只将犯罪手段限定于窃取用户信用卡或者复制信用卡信息窃取账户、密码等传统方式，而是直接攻击金融机构本身，这是典型的网络经济犯罪的表现形式。

结合我国刑法规定和黑帽黑客的犯罪构成要件可以得出“白帽黑客”的犯罪构成要件为：(1) 犯罪主体为年满16周岁的具有刑事责任能力的自然人。(2) 犯罪主观方面为故意。(3) 犯罪客体为刑法所保护的法益或者网络安全秩序。(4) 犯罪客观方面为利用计算机网络科技技术破环计算机信息系统，情节严重并造成严重后果。其实，“白帽黑客”与黑帽黑客之间的角色转换就在一念之间，即在故意侵入计算机系统的情况下，一旦造成了数据泄漏的严重后果，白帽的安全行为就会转变为黑帽的恶意行为，由此可见，世纪佳缘的白帽是非案中，一旦有足够的证据能够认定其数据的大量泄漏与“白帽黑客”袁炜的行为有因果关系，即使袁炜并非出于恶意攻击系统，袁炜也难逃罪责。

三、结语

互联网的飞速发展在给人们带来便捷生活的同时，也带来了各种各样的负面影响，尤其是在如今互联网金融制霸全球的情形下，如何防控网络经济犯罪成为法律完善的一个重要方向，完善对“白帽黑客”行为的法律规制就成了当务之急。对于“白帽黑客”存在的意义，在全球安全领域作出重要贡献的阿尔法团队首领龚广看来就在于，“能够发现一些系统的，或是应用的漏洞，能够使这些厂商第一时间修复这个漏洞，以避免因漏洞的存在而遭受损失”“即使在发现漏洞后，厂商并没有及时进行修复，通过对漏洞的研究，依然能够发现那些利用漏洞进行攻击的病毒或木马，并据此提供相应的防护对策，同时，在第一时间对这些恶意程序进行查杀，将用户面临的风险或损失降到最低”。

[1] 高铭暄,马克昌.刑法学[M].北京:北京大学出版社,2000.

[2] 赵秉志,吴振兴.刑法学通论[M].北京:高等教育出版社,1993.

[3] 董健.论计算机犯罪中电子证据的界定及取证规则[J].科技与法律,2008(6)：85-88.

[4] 张衡.网络安全漏洞法律问题研究[J].信息安全与通信保密,2015(4)：23-24.

责任编辑：九 林

On the Criminal Law Regulation of White Hat Hackers

ZHANG Mohan

Recently, a “white-hat hacker” incident caused uproar, and the crowd not known to the vast majority of people “white hat hackers” appeared in front of the public. On June 26, 2016, in a Beijing network security conference a white-hat hacker’s father claimed that his son had been reported by Woo Yun website because he had provided website flaws of Jiayuancom in the website, and was detained by the Beijing police. “White hat hackers” is a positive salutation to the hacker group. They do not earn money for the purpose of underground transactions, and they find system vulnerabilities for enterprises and maintain network security.

white hat hacker; information security; cyber crime; legal regulation

2017-03-06

张默晗(1992—)，女，河北衡水人，刑法学专业2015级硕士研究生，研究方向：刑法学。

D924

A

1671-8275(2017)03-0022-03