新的经济、社会背景下,云计算、大数据、物联网以及人工智能等新兴信息技术迅速推广普及,并由此引发了一系列前所未见的法律适用与社会治理问题,而“白帽子”刑事责任问题便是其中之一。目前,在互联网安全领域,“白帽子”为维护网络安全作出了很大“贡献”,但由于这一领域中法律规定的相对不确定性,“白帽子”行为的合法性和合理性越来越成为各方争议的热点与焦点。
在事实层面,一般认为所谓“白帽子”是不法黑客也即“黑帽子”的对称。作为相较后者的根本区别,“白帽子”的各种专业技术操作旨在识别计算机系统或网络系统中隐藏的安全漏洞,但并不会去恶意利用,而是通过公开其漏洞信息,以帮助所涉系统在被其他人尤其是“黑帽子”违法利用之前予以修补。
“白帽子”的两条“行为红线”
客观而言,典型情境下“白帽子”的查漏型技术行为对于及时发现和处置网络安全威胁,及时改进和提高网络安全水平具有不可或缺的积极意义。正是在此意义上,目前业内外普遍认为“白帽子”的行为在道德上具有一定的正当性。而现阶段在实在法层面,还不存在有关“白帽子”刑事责任的直接规定,相关联的间接罪刑条文由于前位非刑事规范的缺失或者模糊,往往在适用过程中存在相当的不确定性,给司法实务带来不小的困惑。
鉴于典型“白帽子”行为的相对有益性以及罪刑法定主义的现代刑法精神的要求,目前对于“白帽子”行为的刑事化规制需要付诸更高水平的审慎考量,在司法裁量过程中应当坚持以事实为依据,以法律为准绳,在深入分析特定具体案件的事实——技术特质的基础上,尽力确保非直接刑事规范的精确运用。
对于常常游走在法律边缘的“白帽子”自身的行为准则和风险防范而言,一是需要在主观上始终秉持善意利用的技术精神,坚决摒弃恶意侵害的不良意图;二是应当主动掌握和遵循现行法律规范所划定的行为红线,积极避免先定的法律责任。需要注意的是,不少场合中,“白帽子”活动客观上表现为一种复合的行为存在,概括而言,是“查漏(漏洞)”行为和“获取(数据)”行为的结合。这一特殊性又在一定程度上加大了分析问题的难度。
作为理性的逻辑起点,针对“白帽子”的刑事责任问题,应当始终坚持的分析方法与分析工具是现行刑事实在法的明文规定。从狭义的技术角度来说,“白帽子”的“查漏(漏洞)”行为在客观侵入型样态上与追求恶意利用安全漏洞、盗取他人信息等不法目的的网络黑客并无本质性的区别。对此,除了综合特定案件事实客观分析行为人主观意图的正当善恶与否,还有必要在实在法规范层面准确领会刑事立法者对于特定的法益保护的基本立场。
首先,需要指出的是,我国立法对于某些特定的信息网络系统秉持严格保护的立场,尤其是刑法第285条明文规定应当通过刑罚惩处“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统”的行为。可以认为,立法者主张以上三类计算机信息系统由于其特殊性质必须受到更高等级的保护,对此,行为人侵入系统时主观意图的正当善恶与否并不会在根本上影响其客观行为的刑法评价。
换而言之,在具备犯罪构成其他各项要件要素的情形下,针对上述三类计算机信息系统实施的“白帽子”行为可能依据刑法第285条第1款以“非法侵入计算机信息系统罪”追究刑事责任。由于本罪没有犯罪情节严重的门槛要求,属于典型的行为犯,可以说,这是现阶段“白帽子”们应当严肃对待的“第一条行为红线”。
对于上述三类计算机信息系统以外的其他信息化系统,立法者则明显有意提高刑事处罚门槛、限缩刑事责任范围。作为主要的规范依据,刑法第285条第2款在“侵入”这一基础性要素之外,还明确要求后续必须同时符合“非法获取(数据)”或者“非法控制(系统)”等要件要素,并且“(犯罪)情节严重”,才能以非法获取计算机信息系统数据罪或者非法控制计算机信息系统罪予以刑事处罚。这是现阶段“白帽子”们应当高度注意的“第二条行为红线”。
“白帽子”的刑事风险防控
互联网漏洞检测中,“白帽子”通常会使用和网络黑客相同的软件获取检测对象系统的信息,其获取的信息往往远超出漏洞测试的合理范畴,漏洞平台常会公开发布检测对象的漏洞信息,进而与检测对象发生争议。
鉴于“白帽子”宽泛的业务范围以及一定程度上无可否认的技术有益性,需要在评判其行为的社会危害性时坚持相对更为严格的立场,秉持的应当是风险防控也即底线或者红线思维,而不是传统的管制型价值判断思维。
一方面,这要求“白帽子”们自觉树立风险防控的审慎意识,以严格必要为限最大程度地缩小“查漏(漏洞)”过程中能够获取的各类信息范围;另一方面,需要准确凭借现行刑法有关特殊信息的保护规范有区别地判定其行为具体的社会危害性,尤其是涉及个人信息(第253条之一)、商业秘密(第219条)、国家秘密(第282条)以及军事秘密(第431条)等的罪刑条款,为“白帽子”划定更为具体、更具可操作性的行为红线。
而对于漏洞平台而言,同样需要注意底线思维的运用,对于涉及前述“第一条行为红线”的场景,公开发布检测对象的漏洞信息有着无可争议的社会危害性。而对于涉及前述“第二条行为红线”的场景,可以认为至少具有相当的安全威胁,因此一方面应当要求漏洞平台建立相对封闭的漏洞披露机制,避免非相关第三方获知此类信息,另一方面也亟待为公布、披露漏洞信息的业务寻找并建构现行法律框架下能够接受的正当化依据和业务机制。
(作者为北京师范大学刑事法律科学研究院副教授)
