白帽子的行为合法性!!!【T00ls法律讲堂第三十五期】
如今很多技术团队,像江湖侠客一样心怀梦想,都想尽一己之力打击网络犯罪,也就是大家理解的白帽子。
前几天,有人问我针对违法网站采取非法侵入、破坏以及非法获取数据的行为,该如何定性?今天给大家简单聊一聊。
如今很多技术团队,像江湖侠客一样心怀梦想,都想尽一己之力打击网络犯罪,也就是大家理解的白帽子,对此我觉得我们应当持积极肯定的态度,应当鼓励更多的白帽子加入到净化网络环境的队伍中来,他们大多数是新人,但也有很多杰出的黑客。但是在现实中,还存在一些人,通过技术手段,针对违法网站,做一下牟取私利的事情,比如改博彩网站的支付接口、棋牌赌博网站后台修改金币并提现等等。
对第二种行为直接一句话概述:黑吃黑一样违法!(别人不敢报案,不等于你不违法)。
今天主要针对第一种行为做简单释明:
关键词:违法性识别、手段合法性、管辖权、见义勇为
首先,从主观要素来看,他们都是以打击或者遏制网络犯罪为目的,利用自身的技术手段,对违法网站予以一定程度的打击,如渗透取证交付公安机关,或者直接采用DDOS干死等等。这里,我们首先要重视一个问题:违法网站是否真的违法?对于常见的赌博、色情网站,大家几乎都具有识别能力,但是针对金融相关的、知识产权相关的,比如贷款、传销、视频站、小说站等等,很少有人可以真正识别这类网站的违法性,到底是违反刑法规定,还是不正当竞争等法律的规定。所以,我认为对目标网站的违法性识别这个环节是最重要的。(但是注意手段的合法性,比如控制肉鸡实施攻击非法目标的行为,其中控制肉鸡已经涉嫌犯罪)
其次,从主体来看,目前团队化作战越来越多,很多人员现实中可能并不相识,但是基于一些如T00LS、圈子社区这样的平台在网上互相交流。有些可能还是未成年人,在此,顺便释明,目前在黑客犯罪相关的刑法领域中,未满16周岁的人员尚不能依照刑法予以处罚,这里不是18周岁也不是14周岁。另外,根据团队作业的内容不同,个人之间的作用不同,在打击错误目标,或者打击的行为构成犯罪,则每个人之见承担的法律责任就不相同。如果是团伙,则为共同犯罪,大家各自承担各自的责任。如果成立了安全公司,则可能构成单位犯罪,公司的主要负责人员则需要承担相应的法律责任。
接着,也是比较重要的,就是客观的行为,现行法律以及解释对于相关的罪名已经做出了非常详细的规定(不明白的可以直接百度查看),对侵入和获取非法性的基本理解就是未经授权不得从事该类行为,而这类白帽子团体就并非是执法机关,不具备执法权限去利用技术手段进行事先的侦查取证,这里大家需要先知道一点:不是所有的公安机关针对某个违法网站都具有执法权,首先需要解决的是管辖权,也就是某地公安机关或者其它执法机关,对这个违法目标,是否具有管辖权。针对能否立案的管辖权,现行法律解释也已经非常明确,所以,有条件的团队或个人,我个人建议与当地的执法机关多沟通,可以受执法机关的委托,针对其具备执法管辖权的违法目标,利用技术手段,协助进行侦查。这么做可以有效地打击网络犯罪(直至法院判决)并可以解决三个问题:
一是解决的主体身份与自身行为相适格的问题;
二是提前通过执法机关明确目标是否违法的问题;
三是印证自身主观目的正当的问题。
基于以上,我们从法律上可以理解为,如果不是黑吃黑、同行恶意竞争或敲诈勒索(如恶意打假)等,只要主观为了惩恶扬善,依据刑法的谦抑品格,即不具备违法性,且包含正当性,客观上未发生超过必要限度的危害结果时,无论是个人还是单位团体,都不应当被当做犯罪处理,其反而属于我们国家所倡导的见义勇为行为:该出手时就出手、公平正义司法守!
如今很多技术团队,像江湖侠客一样心怀梦想,都想尽一己之力打击网络犯罪,也就是大家理解的白帽子,对此我觉得我们应当持积极肯定的态度,应当鼓励更多的白帽子加入到净化网络环境的队伍中来,他们大多数是新人,但也有很多杰出的黑客。但是在现实中,还存在一些人,通过技术手段,针对违法网站,做一下牟取私利的事情,比如改博彩网站的支付接口、棋牌赌博网站后台修改金币并提现等等。
对第二种行为直接一句话概述:黑吃黑一样违法!(别人不敢报案,不等于你不违法)。
今天主要针对第一种行为做简单释明:
关键词:违法性识别、手段合法性、管辖权、见义勇为
首先,从主观要素来看,他们都是以打击或者遏制网络犯罪为目的,利用自身的技术手段,对违法网站予以一定程度的打击,如渗透取证交付公安机关,或者直接采用DDOS干死等等。这里,我们首先要重视一个问题:违法网站是否真的违法?对于常见的赌博、色情网站,大家几乎都具有识别能力,但是针对金融相关的、知识产权相关的,比如贷款、传销、视频站、小说站等等,很少有人可以真正识别这类网站的违法性,到底是违反刑法规定,还是不正当竞争等法律的规定。所以,我认为对目标网站的违法性识别这个环节是最重要的。(但是注意手段的合法性,比如控制肉鸡实施攻击非法目标的行为,其中控制肉鸡已经涉嫌犯罪)
其次,从主体来看,目前团队化作战越来越多,很多人员现实中可能并不相识,但是基于一些如T00LS、圈子社区这样的平台在网上互相交流。有些可能还是未成年人,在此,顺便释明,目前在黑客犯罪相关的刑法领域中,未满16周岁的人员尚不能依照刑法予以处罚,这里不是18周岁也不是14周岁。另外,根据团队作业的内容不同,个人之间的作用不同,在打击错误目标,或者打击的行为构成犯罪,则每个人之见承担的法律责任就不相同。如果是团伙,则为共同犯罪,大家各自承担各自的责任。如果成立了安全公司,则可能构成单位犯罪,公司的主要负责人员则需要承担相应的法律责任。
接着,也是比较重要的,就是客观的行为,现行法律以及解释对于相关的罪名已经做出了非常详细的规定(不明白的可以直接百度查看),对侵入和获取非法性的基本理解就是未经授权不得从事该类行为,而这类白帽子团体就并非是执法机关,不具备执法权限去利用技术手段进行事先的侦查取证,这里大家需要先知道一点:不是所有的公安机关针对某个违法网站都具有执法权,首先需要解决的是管辖权,也就是某地公安机关或者其它执法机关,对这个违法目标,是否具有管辖权。针对能否立案的管辖权,现行法律解释也已经非常明确,所以,有条件的团队或个人,我个人建议与当地的执法机关多沟通,可以受执法机关的委托,针对其具备执法管辖权的违法目标,利用技术手段,协助进行侦查。这么做可以有效地打击网络犯罪(直至法院判决)并可以解决三个问题:
一是解决的主体身份与自身行为相适格的问题;
二是提前通过执法机关明确目标是否违法的问题;
三是印证自身主观目的正当的问题。
基于以上,我们从法律上可以理解为,如果不是黑吃黑、同行恶意竞争或敲诈勒索(如恶意打假)等,只要主观为了惩恶扬善,依据刑法的谦抑品格,即不具备违法性,且包含正当性,客观上未发生超过必要限度的危害结果时,无论是个人还是单位团体,都不应当被当做犯罪处理,其反而属于我们国家所倡导的见义勇为行为:该出手时就出手、公平正义司法守!
关于作者
评论24次
入侵是行为,不以主观意志为转移,属于行为犯罪,现在司法管的很严(当年网络大战搞的外交局势不定,好容易稳定下来那边就入侵,因为个体的行为是充满不确定性的共识导致这一xi列刑法基本和口袋差不多属于只要有行为无论后果都属于犯罪)因为现在80%都是网络犯罪,不靠这个冲功绩还能靠什么每年又有抓黑客指标而且网络犯罪具备一个特点就是没有地域性是否合法条件只有刑法里面的附加"免刑条件"1.是对方已知(包括甲方乙方以及公安)允许授权的渗透行为2.在体xi内的自侦查手段执行执法权否则一切都是违法的,而且只有公安部才具备授权资格,另外授权不代表不需要承担后果像是很多DDOS打骗子网站非法网站的,一样被抓判刑,原因是破坏了骨干网的网络稳定某些特别网络区域的旁路你一个sql注入语句过去哪怕目标不存在注入都要被请喝茶所以特别建议这个行业的有能力一定要搞个基本编制,否则一切都是空谈
口袋条款,也就是法律术语中的兜底条款,没有具体罪名的,只要属于相关网络犯罪的,都往里面放,给你定这个罪名,就是口袋条款了
但是根据法律的时效性原理 哪怕以后连sql注入都算违法 但16年那会没有法律定义 那么这个人在16年sql注入某网站 只要没有泄露或拿出去卖 不违法 只要它今天不再去sql注入了 当然目前我还没看到底法律怎么定义现在的网络安全的 总之法律每年都会变 这是个基本事实
我不知道现在的法律怎么定义了 法律好像每年都有变化 16年那会 sql注入 不泄露 不拿出去卖 不违法 泄露或卖的话 被抓到的违法 webshell 不管是怎么样的 理论上说 都属于违规 好像除了那个xss没什么危害以外 类似反序列化 或者缓冲区溢出(17年勒索那次) 理论上说 也是违法的 因为和webshell本质是一样的 不过今年的法律是怎么定义 网络安全的 就不懂了
入侵是行为,不以主观意志为转移,属于行为犯罪,现在司法管的很严 (当年网络大战搞的外交局势不定,好容易稳定下来那边就入侵,因为个体的行为是充满不确定性的共识 导致这一xi列刑法基本和口袋差不多属于只要有行为无论后果都属于犯罪) 因为现在80%都是网络犯罪,不靠这个冲功绩还能靠什么每年又有抓黑客指标 而且网络犯罪具备一个特点就是没有地域性 是否合法条件只有刑法里面的附加"免刑条件" 1.是对方已知(包括甲方乙方以及公安)允许授权的渗透行为 2.在体xi内的自侦查手段执行执法权 否则一切都是违法的,而且只有公安部才具备授权资格,另外授权不代表不需要承担后果 像是很多DDOS打骗子网站非法网站的,一样被抓判刑,原因是破坏了骨干网的网络稳定 某些特别网络区域的旁路你一个sql注入语句过去哪怕目标不存在注入都要被请喝茶 所以特别建议这个行业的有能力一定要搞个基本编制,否则一切都是空谈
谢谢徐律师的讲解