檢測漏洞的法律邊界在哪

在袁煒案中，獲取網站信息成為其被捕的重要原因。“世紀佳緣”一方委托了一家司法鑒定所對其服務器日志進行鑒定，鑒定意見顯示，“世紀佳緣”網在2015年12月3日17時許至2015年12月4日10時許，被“124.160.67.131”等11個IP地址非法訪問，入侵者對網站數據庫進行了讀取操作，涉及讀取操作的數據庫數據信息為932條。

在袁煒案引發的討論中，很多程序員認為“白帽子”挖掘漏洞涉及讀取信息，善意獲取不違法。對此，黃道麗表示，“我國刑法規范的是所有未經授權訪問計算機信息系統的行為，這些并非直接針對漏洞挖掘行為的規定。任何主體若利用系統安全漏洞實施了入侵行為，均可能觸犯刑法規定，都可能被追責。未經授權侵入計算機信息系統也是各國刑事立法共同打擊的行為。”在認定標準上，黃道麗解釋道，根據兩高司法解釋，獲取網絡金融服務的身份認證信息以外的其他身份認證信息500組以上就構成刑法所規定的“情節嚴重”，入侵者將面臨三年以下有期徒刑或者拘役，并處或者單處罰金。“這一量化標準在制定過程中經過了大量的實證檢驗和研討論證，規定本身沒有問題。有人認為袁煒作為‘白帽子’當中的‘新人’多獲取了一些數據無可厚非，但這不是定罪應當考慮的因素。”

實踐中，還存在“白帽子”使用和黑客相同的軟件進行漏洞測試的情況，比如袁煒就使用了一款名為SQLmap的安全測試軟件，這個軟件自帶緩存功能，會自動將測試信息存儲到本地的一個隱藏文件夾。

“如果‘白帽子’在挖掘漏洞過程中使用的自動化工具導致獲取的數據量觸犯刑法，他們應考慮調整功能或使用其他規范化工具。”黃道麗告訴記者，實踐中，“白帽子”作為技術人員，對法律知識知之甚少，當前較為迫切的問題是立法規范、引導“白帽子”，為其創造合適的法律環境。

“當前，并沒有法律對挖掘漏洞行為進行具體規范，刑法主要從行為的角度進行規制。在認定‘白帽子’是否善意破解、測試漏洞時，主要強調結果。因為當事人當時的主觀意志無法客觀鑒定，既有可能是測試的疏忽，也可能是一念之差，故意留存了數據。”謝永江表示，在法律不明確的情況下，“白帽子”挖掘漏洞行為本身帶有風險，而現有的法律規范傾向于保護企業利益。如果袁煒的行為確實構成了法律規定的獲取信息的定罪標準，仍然需要承擔相應的法律責任。

目前我國對“白帽子”善意挖掘漏洞的法律規范并沒有形成系統的法律體系，比較零散地體現在一些法律法規以及部門規章里，例如保守國家秘密法、治安管理處罰法、刑法等，這些法律并沒有明確劃定“白帽子”的行為邊界。黃道麗強調，在新的法律和配套規定出臺前，現有法律和司法解釋的規定，應成為“白帽子”實施挖掘行為必須接受和前置考慮的一個客觀要求。