“白帽子”测试漏洞是否构成犯罪的法律分析
——基于袁炜案公开信中的法律争议焦点解析
本案源于网络安全界广泛关注的“白帽子”测试事件。根据《致第四届网络安全大会的一封信》中描述的情况,本文重点围绕“非法获取计算机信息系统数据罪”的构成要件、合法与违法的界限展开分析。
2016年3月8日,北京市公安局朝阳分局以涉嫌非法获取计算机信息系统数据罪对袁炜立案侦查,并于4月12日由朝阳区人民检察院批准逮捕。根据《刑法》第285条第二款规定,构成该罪需达到“情节严重”程度,即非法获取数据或控制计算机系统符合特定标准。
司法解释明确了五种“情节严重”的情形:
- 获取支付结算、证券交易等金融身份认证信息十组以上;
- 获取上述以外的身份认证信息五百组以上;
- 非法控制计算机信息系统二十台以上;
- 违法所得五千元以上或造成经济损失一万元以上;
- 其他情节严重的情形。
依据《公开信》披露的信息,涉案网站遭受SQL注入攻击共计4400余次,涉及读取数据库信息932条。然而,在判断是否构罪时应满足两个核心条件:一是获取的数据必须是身份认证信息,二是数量达500组以上。若所获信息并非用于身份鉴权,则不构成该罪。
此外,该案中共有11个IP地址参与访问行为,其中仅部分可能与袁炜有关。因此,必须查明具体哪些IP操作由其实际实施,才能进一步界定法律责任。
关于合法性的认定关键在于“允许”。乌云网作为安全漏洞反馈平台,世纪佳缘此前已注册为企业用户并接受过42项漏洞报告且予以修复,同时向提交者表达感谢。这说明该公司并未对通过该平台进行的安全测试表示明确反对。
司法实践中,合同并不局限于书面形式,也可以体现为默示行为。在乌云网模式下,“厂商—白帽子”的互动关系构成了事实上的授权行为。世纪佳缘如欲终止此类测试,完全可在接收漏洞报告后作出明确书面声明,否则可视为默认许可。
