渗透行为的法律定性【T00ls法律讲堂第二十期】

对于黑客来说，正如许多论坛里蠢蠢欲动追求积分的白帽子们，渗透应该是最能展示其能力的武功之一了。这里对该行为向大伙做个简单的法律分析，本文只针对未经授权的行为。为了方便了解，就拿圈内经常传的日卫星来做例子吧。



案例（纯属虚构）：小道15岁，热衷于网络黑客技术，经常在谷歌搜索目标练习武艺，希望小有所成后能够报效祖国，某日小道正常googlehack，无意又找到了一个好下手的目标，于是施展了一套广播体操，注入、种马、提权、漫游内网一气呵成，但进去后小道懵逼了，首先全英文不说，反正都看不懂，但是小道玩过红警，里面有许多类似红警的卫星图片，此时小道才知道他进入了A国军事服务器，当时出于害怕，观摩了一会便离开下线了。

行为法律解析：通过googlehack这样的查询语句，可以简单发现网站存在的漏洞，这样的行为，可以定性为犯罪预备，即为犯罪准备工具、制造条件的行为。依照我国刑法规定，对于预备犯，可以比照既遂犯从轻、减轻处罚或者免除处罚。在实务中，如果不是案发后对本机做取证工作，单纯googlehack行为很难被发现，如果没有后续的违法动作，仅针对此行为一般也不予处罚。

关于SQL注入和上传ASP这样的行为，可以认定为非法侵入计算机信息系统的手段，对于主观上是出于好奇、逞能、报复等都不影响对该罪的法律定性。但是本罪侵犯的客体是国家重要领域和要害部门的计算机信息系统安全，本案中，小道入侵的可能是军事，是否属于犯罪客体应当由省级以上负责计算机信息系统安全保护管理工作的部门检验确认（对此很多办案机关也存在主观臆断，不做检验确认说明），如果是则可以被认定为非法侵入计算机信息系统罪，依照刑法第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

对于侵入后在内网浏览服务器的数据库或源码等内容，这样的行为在法律上可以证实小道非法侵入行为的既遂，可以依照计算机信息系统内容的重要程度和小道浏览的具体情况来判断最终的量刑。

很多时候，行为人使用各种武艺，都不能渗透成功，这样的行为如何定性呢，首先法律规定本罪为行为犯，即只要实施这样的行为即可构成犯罪，但是因为武艺不够或者其它客观因素，不能侵入成功，则应当构成未遂，对于未遂犯，可以比照既遂犯从轻或者减轻处罚。这里要提醒大家的是，没有可以免除处罚这么一法律规定（所以NO ZUO NO DIE）。

最后，小道案发时只有15周岁，只对刑法规定的强奸、故意杀人等八类案件负刑事责任，所以小道未达到本案中应负刑事责任的年龄，因此小道完全不用担心被查水表。

延生一下，如果小道入侵的是其它计算机信息系统，比如某公司，且仅有入侵行为，则不能构成本罪。是否构成犯罪或者构成其它犯罪，应当分析小道入侵后的行为或结果，具体下文再释。