雷鋒網(wǎng)按：本文作者北京市京都（深圳）律師事務所 劉華斌，由白帽匯投稿雷鋒網(wǎng)。

（via：tutzone.org）

本案在網(wǎng)絡安全界已經(jīng)是討論地熱火朝天，因本案中已經(jīng)公開的資料中，諸多細節(jié)點未得到司法機關(guān)官方公布。故依據(jù)最近來源原則，只局限于討論袁煒父親《致第四屆網(wǎng)絡安全大會的一封信-白帽子檢測漏洞到底是不是犯罪？》（以下簡稱《公開信》）中描述情況作分析。

| “非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”是個什么罪？

公開信提到，2016年3月8日，北京市公安局朝陽分局以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，將袁煒刑事拘留；4月12日，北京市朝陽區(qū)人民檢察院批準以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪逮捕。

1997年3月14日修訂的《中華人民共和國刑法》第285條規(guī)定“ 違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役?！弊锩麨椤胺欠ㄇ秩胗嬎銠C信息系統(tǒng)罪”。

為適應網(wǎng)絡急劇發(fā)展的現(xiàn)實情況，2009年2月28日，全國人大常委會頒布《刑法修正案(七)》，在刑法第285條中增加兩款作為第二款、第三款，其中第2款規(guī)定：

違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。 

非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪屬于情節(jié)犯，即達到一定情節(jié)后，才予以追究刑事責任。

| 本案中何種情形才構(gòu)罪？

《公開信》提到，在此過程中，上?；ㄇ湫畔⒖萍脊咀孕形斜本┩ㄟ_首誠司法鑒定所對其服務器日志進行鑒定，鑒定認為，根據(jù)服務器日志顯示，世紀佳緣網(wǎng)在2015年12月3日日17時許至4日10時許，陸續(xù)受到“124.160.67.131”等11個IP地址（其中一個是北京的，明顯與袁煒無關(guān)）以SQL注入為手段的訪問請求，注入請求為4400余次。SQL注入成功后，入侵者對網(wǎng)站數(shù)據(jù)庫進行了讀取操作，涉及“讀取”操作的數(shù)據(jù)庫數(shù)據(jù)信息為932條。

最高人民法院、最高人民檢察院《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）中規(guī)定了五種在司法上可以認定為“情節(jié)嚴重”的情形，即，非法獲取計算機信息系統(tǒng)數(shù)據(jù)或者非法控制計算機信息系統(tǒng)，具有下列情形之一的，應當認定為《刑法》第285條第2款規(guī)定的“情節(jié)嚴重”：

（一）獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息十組以上的；

（二）獲取第（一）項以外的身份認證信息五百組以上的；

（三）非法控制計算機信息系統(tǒng)二十臺以上的；

（四）違法所得五千元以上或者造成經(jīng)濟損失一萬元以上的；

（五）其他情節(jié)嚴重的情形。

同時，解釋在尾部又說明：本解釋所稱“身份認證信息”，是指用于確認用戶在計算機信息系統(tǒng)上操作權(quán)限的數(shù)據(jù)，包括賬號、口令、密碼、數(shù)字證書等。本解釋所稱“經(jīng)濟損失”，包括危害計算機信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟損失，以及用戶為恢復數(shù)據(jù)、功能而支出的必要費用。

很顯然，基于袁煒獲得的不屬于金融服務信息，可排除第1種情形；基于未控制計算機，排除第3種情形；基于未獲利，也未造成經(jīng)濟損失，排除第4種情形；第5種是立法技術(shù)上的授權(quán)和自由裁量，暫不討論。

那么最大可能是涉及第2種情形，而第2種情節(jié)情形規(guī)定有二項必要條件——

一是獲取的必須是身份認證信息，即網(wǎng)站用于身份鑒權(quán)的信息；

二是必須達到500組以上。

再回到《公開信》，其未說明是否屬于身份認證信息，如果該信息不是身份認證信息，個人認為不構(gòu)罪。

在細節(jié)上，基于本案中共有11個IP進行了注入式訪問，那么需要細究，具體哪個IP讀取了多少信息，并具體哪個IP由袁煒實際使用。

| 合法與違法的邊界在哪里？

在友好測試中，個人理解，最重要是“允許”，也就是要取得被測試網(wǎng)站的經(jīng)營主體的合法邀請或授權(quán)。

因為根據(jù)該罪的構(gòu)成中的“違反國家規(guī)定”，主要指公安部《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》（2011版）第六條“任何單位和個人不得從事下列危害計算機信息網(wǎng)絡安全的活動：（一）未經(jīng)允許，進入計算機信息網(wǎng)絡或者使用計算機信息網(wǎng)絡資源的；”。

| 白帽子的行為是否可視為已經(jīng)征得世紀佳緣的允許？

據(jù)袁煒家人的公開信提到，并經(jīng)查詢?yōu)踉凭W(wǎng)的廠商紀錄，2012年1月21日，世紀佳緣注冊成為烏云網(wǎng)的企業(yè)用戶。烏云網(wǎng)的注冊白帽子先后向世紀佳緣提交了42個漏洞信息，世紀佳緣核實后修復了相關(guān)漏洞并向烏云網(wǎng)的多名白帽子致謝。

具體到本案中，世紀佳緣網(wǎng)在烏云網(wǎng)上注冊為廠商。

烏云網(wǎng)在廠商頁的介紹中描述為“你可以在WooYun注冊為廠商來關(guān)注和修復自己企業(yè)的安全問題”。世紀佳緣網(wǎng)注冊為廠商用戶，其也深知烏云網(wǎng)是一個位于廠商和安全研究者之間的安全問題反饋平臺，換句話說，廠商用戶是希望在第一時間了解到自身經(jīng)營網(wǎng)站是否存在漏洞，并進而與白帽子們展開良性互助，公開信中“烏云網(wǎng)的注冊白帽子先后向世紀佳緣提交了42個漏洞信息，世紀佳緣核實后修復了相關(guān)漏洞并向烏云網(wǎng)的多名白帽子致謝。”此點在烏云網(wǎng)是可以找到相應的紀錄的。

如果按普羅大眾對于“允許”的通行或表象認定來看，或許袁煒并未征得世紀佳緣的允許，但至少在袁煒事件發(fā)生前，世紀佳緣網(wǎng)對于烏云網(wǎng)的此種溝通方式并未提出明示的反對。而顯然，袁煒也是烏云網(wǎng)的注冊實習白帽子，其與世紀佳緣的關(guān)系，應當可適用此前的雙方行為慣例。

正如普羅大眾對于合同的理解一樣，只有正式的書面合同才可稱為合同，而在司法實踐中，口頭合同、甚至于行為合同也是一份合同。例如我們在書報亭買一份報紙，并不需要言語甚至于眼神的溝通，只需要放下一元錢，則可以取走一份報紙。

正如本事件發(fā)生后的7月1日，烏云網(wǎng)上白帽子“路人甲”在提交關(guān)于世紀佳緣的另一高危漏洞“某接口可以遍歷任意用戶信息”后所發(fā)表的一段十分有趣的免責聲明——

“如果廠商不愿意接受來自互聯(lián)網(wǎng)的貿(mào)然測試，可在修復本漏洞后（或下線服務器），點擊忽略該漏洞，并在廠商回復處留下：‘請不要測試本公司，本公司將采取法律手段約束你們的測試行為，后果自負?！笞邍H黑名單慣例，不會再有人關(guān)注貴公司信息系統(tǒng)的安全風險?！?/p>

世紀佳緣網(wǎng)在收到此前的42次漏洞信息后，完全可以作出相反的書面聲明，拒絕烏云網(wǎng)的白帽子們再度檢測其漏洞。

根據(jù)大陸法系國家的民法，采用表示主義，指當行為人的效果意思與其表示行為不—致時，法律按行為人表示出來的意思賦予此行為以法律上的效果。其目的在于側(cè)重保護相對人的信賴和交易安全。而意思表示也分為有具體的相對人和無具體的相對人。

最后借用《神探狄仁杰》的一句臺詞作為結(jié)束。元芳每遇疑案，屢問狄仁杰，“大人的意思是……”狄大人標準回答“我沒有什么意思”，此處玄機，只有狄大人才深知了……

 雷鋒網(wǎng)注：轉(zhuǎn)載請聯(lián)系我們授權(quán)，標注出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。