二、案例评析
本案发生争议的本质在于“白帽子”漏洞挖掘行为的性质和行为边界认定问题。
(一)漏洞和漏洞挖掘
漏洞(Vulnerability),属于信息系统内部的脆弱性。在我国2012年6月发布的国家标准《信息安全技术 安全漏洞标识与描述规范》(GB/T 28458—2012)[3]中,将安全漏洞定义为“计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行”。
实践中,习惯将软件的“错误”(Error)、“缺陷”(Fault)、“弱点”(Weakness)都称为漏洞,这些都属于可以给计算机系统造成威胁的安全风险,但严格来讲仍存在一定区别。“错误”是技术人员犯下的会产生不良后果的过失;“缺陷”是技术使用方法不正确、步骤错误或者数据定义偏差等原因造成的;“弱点”是软硬件或协议自身固有属性造成的无法克服的不足。漏洞是全局性概念,包括可能导致攻击的所有“错误”“缺陷”“弱点”。与漏洞相似的概念还有“后门”,“后门”是访问程序、在线服务的一种秘密方式。“后门”与漏洞有本质上的区别:漏洞是非故意行为,而后门是人为的故意行为。
可见,漏洞有三个重要特征:(1)系统中存在缺陷或者错误;(2)能够获取缺陷的潜在威胁;(3)能够利用缺陷并可能导致信息安全危害的结果。
因此,为了防止系统漏洞演变为现实危险,需要通过漏洞挖掘发现漏洞并及时进行弥补。漏洞挖掘的概念目前国内立法中尚未明确,但实践中其与漏洞检测、漏洞识别、漏洞发现等概念意义相近或有交叉关系。我国国家标准《信息安全技术 信息安全漏洞管理规范》(GB/T 30276—2013)[4]将“漏洞发现”定义为“通过人工或者自动的方法分析、挖掘漏洞的过程,并且该漏洞可以被验证和重现”。随着漏洞的破坏性和价值兼备性凸显,漏洞挖掘的主体和目的日益多样化。挖掘主体已经扩大到安全公司、政府、黑客、恐怖组织、“白帽子”等,目的包括安全研究、安全服务、售卖、攻击等,不同主体通常具有不同的目的。
然而,鉴于人员储备和技术能力不足等原因,企业或信息系统运营者通常无法仅靠自身进行全面有效的漏洞挖掘,需要借助第三方或社会力量共同参与漏洞挖掘过程,由此催生“白帽子”和众测平台行业的出现和发展。
(二)“白帽子”与众测平台
根据维基百科的定义,“白帽子”是互联网中的俚语,是指有道德的电脑黑客或计算机安全专家。他们擅长用渗透测试和其他测试方法来确保信息系统安全性。与传统意义上的黑客最大不同在于,“白帽子”挖掘漏洞的目的在于向企业报告并督促其及时修复,这有助于帮助企业及时解决系统漏洞。本案中的袁炜就是乌云网的一名注册“白帽子”。
众测平台,又称“漏洞经纪人”或“漏洞共享圈”,为民间自发组织的第三方漏洞平台,如美国著名的HackerOne、MITRE以及本案中涉及的乌云网、漏洞盒子等。众测平台主要有以下作用:(1)作为企业和“白帽子”的中间人,扮演信息交换所的角色,以便两者之间的以经济价值获取的信息共享;(2)对挖掘者的漏洞进行独立评估并提供无偏见的判断,及时提交企业修复并向挖掘者提供报酬;(3)适度适时公开漏洞和奖励计划,引起公众对漏洞问题的关注;(4)研究系统漏洞发展趋势。
(三)“白帽子”漏洞挖掘的法律风险
本案中袁炜与世纪佳缘网站产生纠纷的原因在于“白帽子”客观上对目标信息系统的侵入行为。一方面,信息系统运营者出于安全考虑,需要调动社会力量,如“白帽子”群体,共同参与到自身安全维护的过程中。出于此目的,信息系统运营者允许众测平台及经注册授权的“白帽子”对自身信息系统进行扫描检测等漏洞挖掘行为。另一方面,信息系统运营者对网络安全重视程度的不断加深,未经授权的访问或其他异常活动使得运营者动用技术和法律武器保护自身及用户安全利益。加之运营者与众测平台、“白帽子”之间的信息不对称,以及我国目前对漏洞挖掘的法律规定尚不明确,使得各主体之间易出现纠纷。
当前,我国对漏洞挖掘的法律规定包括两个方面:一方面是对漏洞挖掘行为进行合法性规定;另一方面是以禁止性规定为主,侧重于对未经授权的计算机侵入或数据、应用程序的获取、删除等行为加以追责。
正面规定主要体现在网络安全法第26条,要求开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。“白帽子”进行的漏洞挖掘行为和众测平台的漏洞披露行为,都属于该法条的适用范围。但网络安全法作为网络空间基础性法律,仅停留在原则层面,法条要求遵守的“有关规定”缺失,在后续的配套制度中须加以落实。
反面规定在刑法、网络安全法、治安管理处罚法中均有体现。网络安全法的禁止性规定仍然是原则层面,第27条要求任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
与网络安全法不同,刑法和治安管理处罚法的规定较为具体。其中,刑法体现在第285条和第286条。第285条规定了三项罪名,分别为第1款非法侵入计算机信息系统罪,即违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。该条将侵入行为即定义为犯罪,不区分是否具有主观恶意,体现出国家对涉及国家事务、国防建设等关键领域信息系统安全的重视程度。
第2款为非法获取计算机信息系统数据、非法控制计算机信息系统罪。该条款旨在保护关键领域外的信息系统安全,因此规定了较为严格的犯罪构成要件。构成犯罪要求获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,并且满足严重或特别严重情节的。
第3款是将帮助行为定罪入刑,即提供侵入、非法控制计算机信息系统程序、工具罪,将提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为也规定为犯罪。
第286条破坏计算机信息系统罪规定的是对计算机信息系统功能,以及存储、处理或者传输的数据和应用程序等进行破坏的行为。
在实践中,黑客利用安全漏洞侵入计算机信息系统多是为了破坏计算机信息系统功能、程序,或者为了窃取其存储、处理或传输的数据,因此多适用刑法第286条。但本案中所涉及的“白帽子”,在其出于善意目的,遵循平台规则的前提下进行的漏洞挖掘行为,目的在于发现信息系统存在的漏洞并及时反馈给信息系统运营者,并不意图破坏计算机信息系统安全,因此难以适用第286条。因此,对于“白帽子”漏洞挖掘行为的法律纠纷主要集中于第285条前两款,本案中的袁炜也是因为该条罪名被批准逮捕。可见,“白帽子”群体的合法地位和有效权益难以得到保证。
此外,作为与刑法相衔接的法律,治安管理处罚法第29条规定:“有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。”对尚未达到严重或特别严重情节的违法行为加以处罚,与刑法形成完整的处罚制度。
总而言之,“袁炜与世纪佳缘网站”事件反映出“白帽子”面临的法律困境。一方面,维护网络安全需要“白帽子”发挥作用。另一方面,漏洞挖掘很容易违反现行法律关于侵入计算机系统的规定。突破这一困境需要政府立法、行业规范、平台管控和自我约束等多方面共同努力。首先,平台规则和自我约束行为能否在法律纠纷中为“白帽子”带来抗辩仍然存疑,因此依然需要在我国后续立法中对“白帽子”应遵守的权利义务内容和规范体系加以明确。其次,鉴于网络安全领域的特殊性,行业协会发挥着难以替代的作用。作为连接信息系统运营者和政府部门的桥梁,行业协会通过形成行业标准、最佳实践,为信息系统运营者、众测平台提供指引,也可为国家政策立法提供参考。最后,通过与信息系统运营者达成漏洞挖掘协议,提供风险监测、评估服务,也是规避风险的必要途径。