1、恶意公布、售卖计算机安全漏洞行为入罪化的思考关键词: 计算机安全漏洞;黑客犯罪;帮助行为;网络犯罪;立法完善内容提要: 恶意公布、售卖计算机安全漏洞,几乎是所有网络犯罪的源发行为。在网络犯罪已经逐渐开始形成“产业链”的今天,从源头上打击具有巨大社会危害性的恶意公布、售卖计算机安全漏洞行为,可以起到釜底抽薪的作用。在传统刑法视野中,恶意公布、售卖计算机安全漏洞往往会被评价为其他网络犯罪的帮助行为,因而造成了此类行为在定罪量刑上的天然依附性,造成了司法实践中难以定罪和量刑过低的司法困境。考察帮助行为在立法上进行实行犯化的具体模式,将恶意公布、售卖计算机安全漏洞行为加以独立入罪化是当务之急。 在互联
2、网成为人们生活必备要素的新时代,互联网为我们的生活带来了前所未有的便利与进步,但是,由于互联网自身成为越来越重要的利益载体,因而不断地遭受着黑客们的攻击与破坏。近年来,计算机病毒类型呈现出激增状态,瑞星公司2008年度中国大陆地区电脑病毒疫情互联网安全报告指出,2008年的病毒数量比2007年增长12倍以上。仅在2008年1月至10月,瑞星公司就截获新病毒样本930余万个,而2007年截获的新病毒样本有91万余个,2006年为53万余个,2005年为16万余个,2004年为6万余个1。计算机病毒类型的爆发式增长,严重冲击着网络安全。病毒的激增很大程度上依赖于病毒制造的产业化,而恶意公布甚至有偿
3、出售计算机信息系统中的安全漏洞,则是病毒“产业链”中最关键的一环。瑞星公司2008年度中国大陆地区电脑病毒疫情互联网安全报告指出:“从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器。这些环节形成了分工明确、效率快捷的工业化生产线。”由此可见,挖掘安全漏洞并加以恶意公布和售卖,已经成为病毒“产业链”中重要的一环。 一、安全漏洞及其可能引发的危害计算机病毒之所以能够进入计算机信息系统,其根本原因就在于:计算机自身存在着一定的安全漏洞,这给了计算机病毒以可乘之机。安全漏洞的概念顾名思义,安全漏洞,是指计算机信息系统在使用过程中存在的安全隐患。这些
4、漏洞因何而生,需要进行专业上的探究。从专业角度讲,“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统”2。由此可以看出,漏洞在本质上是一种缺陷。简单地进行类型划分,此种缺陷又可以细化为3个方面,即硬件缺陷、软件缺陷与协议缺陷。具体来说,硬件缺陷如在Intel penti-um芯片中存在的逻辑错误;软件缺陷如在Sendmail早期版本中的编程错误;协议缺陷如在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题。这些缺陷都可能被攻击者使用,威胁到系统安全,因而都可以认为是系统中存在的安全漏洞2。安全漏
5、洞的性质“安全漏洞”这一术语,单从表面上看,具有的一定的专业性,不易于理解。那么,应该如何理解安全漏洞的性质呢?微软中文网站有一段对安全漏洞进行定义的文字,它可以帮助理解安全漏洞的性质:“即使使用者在合理配置了产品的条件下,由于产品自身存在的缺陷,产品的运行可能被改变以产生非设计者预期的后果,并可最终导致安全性被破坏的问题,包括使用者系统被非法侵占、数据被非法访问并泄露,或系统拒绝服务等。我们将这些缺陷称为安全漏洞。”3这一定义将微软设计的软件称之为产品,而将微软设计的软件自身所具有的缺陷称之为安全漏洞。由此可见,存在于计算机中的安全漏洞,其本质即为产品缺陷。这种缺陷并非计算机软、硬件的制作者
6、由于疏忽大意遗留下来的缺陷,而更多地属于一种在计算机软、硬件的设计过程中所不可避免的缺陷。应当说,安全漏洞是计算机软、硬件产品所固有的缺陷。安全漏洞的固有性表现为,计算机软、硬件虽然经过研发人员的层层检测,但是,仍然避免不了存在安全漏洞。随着计算机用户的不断深入使用,软、硬件的漏洞会不断地被发现,这些漏洞虽然可以用供应商的软件补丁进行修补,但是,修补之后的系统又会引发新的漏洞。实际上,“安全漏洞的出现,是因为人们在对安全机制理论的具体实践中发生了错误,是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞。”2由此可
7、见,安全漏洞的本质是产品缺陷,这种缺陷又具有固有性、隐蔽性、不可避免性。安全漏洞可能引发的危害安全漏洞虽然是计算机软、硬件所固有的属性,但是,由于它具有隐蔽性,通常情况下不易被发现与利用。然而,安全漏洞一旦被别有用心的黑客们发现,黑客们就会利用这些安全漏洞,编写有针对性的攻击程序,非法进入用户的个人电脑进行攻击。具体而言,这些黑客的攻击可以分为两种类型,即破坏性攻击和窃密型攻击。破坏性攻击是指入侵者利用计算机软、硬件的安全漏洞,对目标计算机的运行程序进行破坏性攻击。这种攻击又可以细分为两类:一类为直接对计算机系统自身的破坏;一类为对网络服务的破坏。对计算机系统的破坏,例如,2000年前后出现的
8、只能感染Windows 95/98操作系统的CIH病毒。1这种病毒即是一种利用系统的安全漏洞对计算机系统硬件进行破坏的恶性病毒。对网络服务的破坏,例如,最近几年频发的拒绝服务攻击与分布式拒绝服务攻击(DDoS) 4,这种攻击的破坏性在于,利用网络协议(TCP协议)自身存在的缺陷,发送大量伪造的TCP连接请求,使被攻击方的资源耗尽,CPU满负荷或者内存不足,从而使被攻击的主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求,造成网络瘫痪。窃密型攻击是指入侵者利用计算机配置的软件漏洞,向用户的计算机植入木马程序,以此盗取用户的私密信息,例如,网银帐号和密码、网游帐号和密码、秘密信息资料等。
9、可以说,安全漏洞是黑客发动攻击所必须依赖的路径,安全漏洞一旦被黑客挖掘并恶意利用,将会对计算机用户产生不同程度的危害。二、安全漏洞的挖掘及其后续处置行为的模式安全漏洞是计算机软、硬件固有的、不可避免的缺陷,此种缺陷一旦被发现,将成为黑客们进行攻击的导火索,引发不同程度的使网络受到威胁甚至是破坏的安全事件。关注和挖掘安全漏洞行为的主体计算机软、硬件作为一种应用产品被研制开发出来之时,安全漏洞必然同时伴生。安全漏洞一旦被恶意利用,就能够给计算机用户的系统安全带来直接的威胁甚至是破坏,因此安全漏洞成为黑客与维护网络安全的专家们共同关注的问题。由此,挖掘安全漏洞的行为也因行为主体与行为动机的不同而具有
10、了不一样的性质与地位。关注安全漏洞的主体可以分为两大阵营:一方面为黑客;另一方面为维护网络安全的专家。黑客们关注和挖掘安全漏洞,是为了利用安全漏洞实施攻击;而维护网络安全的专家们关注和挖掘安全漏洞,是为了在黑客发现安全漏洞之前修复漏洞,使计算机软、硬件能够在安全的环境下使用,避免发生网络安全事件。另外,一些普通的计算机用户,在使用计算机的过程中,也可以在无意中发现安全漏洞。这一部分主体既可能成为黑客阵营的帮凶,也可能成为维护网络安全专家的同盟,其主体地位具有一定的特殊性。值得注意的是,实践中已经出现软、硬件厂商的研发人员出于各种目的而私下恶意公布、售卖安全漏洞的行为。安全漏洞在黑客“产业链”中
11、的作用和地位挖掘安全漏洞、恶意无偿公布和售卖安全漏洞已经成为黑客产业链中重要的一环。挖掘、发现安全漏洞是病毒制作、传播的重要前提,可以说,没有安全漏洞,就没有病毒传播的空间。挖掘安全漏洞在黑客“产业链”中具有至关重要的地位。在黑客行为的最初发展阶段,攻击过程一般都是由黑客个人完成的,即黑客个人自行发现计算机系统的安全漏洞,并针对此项安全漏洞编写病毒程序实施黑客攻击;但是,随着互联网的快速发展,黑客行为已经发展为一条庞大的具有明确分工的“产业链”。在这一条黑客“产业链”中,挖掘、发现安全漏洞已经成为独立的一环。一部分黑客专门负责寻找、挖掘、发现安全漏洞,再将发现的安全漏洞提供、售卖给负责编写病毒
12、程序的黑客,甚至是恶意地将安全漏洞公布在互联网上,而“黑客组织购买了漏洞信息后,利用这些信息编写强大的新病毒”1,最终实现黑客攻击。从理论上讲,计算机软、硬件的漏洞均可以被黑客挖掘利用,但是,目前被黑客利用最多的则是软件漏洞。计算机软件漏洞已经成为黑客们制造、传播病毒和实施黑客攻击的一个重要前提,“通过用户电脑系统中安装的软件存在的漏洞,病毒可以快速的在用户不知情的情况下进入互联网用户电脑”1。由此可见,挖掘、发现安全漏洞在黑客产业链中具有举足轻重的地位。如果没有对安全漏洞进行挖掘与发现,黑客们就无法制作可以侵入计算机系统的病毒程序,但是,如果没有对安全漏洞进行公布或者售卖,黑客“产业链”就难
13、以扩大,其社会危害性也就无法加以无限度地扩张。安全漏洞被挖掘后的去向分析安全漏洞被挖掘之后,它的去向可以分为3个部分:一部分为直接提供、售卖给黑客或黑客组织;另一部分为在网上公开披露;一部分为向软、硬件厂商报告。1将安全漏洞直接提供、售卖给黑客或者黑客组织就安全漏洞被直接提供给黑客或者黑客组织这一去向来说,这一部分挖掘安全漏洞的行为人按其对安全漏洞的处理方式可以划分为以下两种类型:第一种是挖掘、发现安全漏洞的黑客直接归属于某一黑客集团,仅为某一固定组织挖掘安全漏洞。这些挖掘安全漏洞的黑客作为黑客集团完成某项黑客攻击行为的参与者,专门为这一黑客集团挖掘安全漏洞,与黑客集团具有隶属协作关系;第二种
14、是挖掘、发现安全漏洞的人员不归属于任何一个黑客集团,而专门以公开售卖安全漏洞为生。“有些黑客专门从系统上寻找漏洞,找到之后就可以到地下交易网站进行出售,最便宜的漏洞也可以卖到数百欧元,高的甚至可达五六千欧元。”1利用安全漏洞的网络黑客行为的社会危害性众所周知,计算机和网络已经深入我们生活的每个角落:每天数以亿计的计算机用户都在利用计算机存储、处理重要资料;几乎所有的公司企业都在使用计算机和网络处理每天的业务信息甚至商May泛指所有在官方发布该作品之前或者当天。它主要涵盖了影视、软件、游戏、音乐、资料等方面,由一些特别小组以一定的格式打包发布的数码内容。网络安全意思上的May就是指一些没有公布补
15、丁的漏洞,或者是还没有被设计发现的漏洞进行攻击的工具。由于这种利用漏洞进行攻击的程序对网络安全具有巨大威胁,因此ODay也成为黑客的最爱。业机密,而全球各大银行的金融结算和汇兑业务如果离开计算机和网络将会顿时瘫痪掉;几乎所有的政府部门都在不同程度地利用着计算机和网络,甚至利用其存储和处理重要的公民信息或者国家机密可以说,计算机和网络已经承载了人类社会巨大的利益,这也注定了黑客对计算机和网络的攻击行为具有巨大的社会危害性。例如,“ 1995 -1996年,一个来自阿根廷的黑客利用国际网络进入美国一所大学的计算机系统,并由此进入美国海军研究实验室和其它国防设施、国家宇航局及洛斯阿拉莫斯国家实验室的
16、计算机网络。这些系统中保存有飞机设计、雷达技术、卫星工程等敏感研究信息。而美海军无法确认究竟哪些信息被偷窃或泄漏出去,更无法估计损失究竟有多大。”5现实中,黑客的网络攻击行为有很多种方式,例如,通过电子邮件进行攻击、利用网络系统漏洞进行攻击、进行解密攻击、利用后门软件进行攻击等,其中,利用计算机安全漏洞是重要的黑客攻击手段之一6。而利用安全漏洞实施的网络黑客行为又可以具体表现为两种形式:通过黑客的攻击行为,非法获取或者篡改重要信息,或者非法控制计算机信息系统。目前,大量存在着利用安全漏洞直接攻击、控制或者损害计算机系统和网络的黑客攻击。客观地讲,“电脑病毒中最疯狂的是什么呢?答案当属木马病毒。
17、黑客们疯狂地利用漏洞向网民发起挂马攻击。”“近日,瑞星公司发布2009年上半年中国大陆地区互联网安全报告,上半年瑞星云安全系统拦截到的挂马网页数累计达亿个,共有亿人次网民遭木马攻击,平均每天有622万余人次网民被挂马网站攻击。”7利用安全漏洞进行的攻击是极为普遍的,瑞星公司曾于2009年7月23日“向网民发出警告:Adobe公司的流行软件Flash爆出严重漏洞,该漏洞影响所有版本的Flash、PDF程序。据介绍,用户打开含有该漏洞的PDF文件以及Flash文件后,电脑会自动下载大量盗号木马。该漏洞是针对Flash以及含有Flash的PDF文档进行攻击,它不仅限于Windows系统、IE浏览器,
18、而且linuxFirefox等操作系统及浏览器也可能遭到侵害。由于Flash技术在大量网页和文档中被应用,此漏洞危害极大”7。相对来说,利用安全漏洞实施的非法获取、篡改数据的行为具有更大的社会危害性。黑客获得或者篡改的各种信息可能涉及个人的电子货币账户、银行账户、企业竞争资料、商业秘密甚至国防机密等,一旦非法使用或者篡改此类信息,将会对社会造成重大的损失。“目前,黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术,获取经济利益几乎成为他们编写病毒的惟一目的,偷、抢、骗已经成为目前计算机病毒的主要特征。”8例如,网购已经成为“假日新经济”的主要力量,而黑客们往往会在假期开始大面积作恶,用户一旦点
19、击登录到含有恶意代码的网页时就会感染病毒,病毒通常会下载多个木乌程序,其中大部分是盗号木马,盗窃目标基本包括当前主流的网络游戏、网银账号密码等,从而给用户造成严重的经济损失9。2004年4月21日,台北市警方侦破首宗网络银行欺诈盗领案,案中的两名犯罪嫌疑人无意间发现玉山银行的支付系统eCoin (玉山银行合法发行的“网络新台币”,)“便利付”的漏洞,于是,通过购买大量信用卡资料,由网络转账从中盗领,初步估计银行损失数百万元10。2007年7月,一位名叫王立科的网络黑客偶尔发现“剑侠情缘网络版2”的系统存在漏洞,便在几个月内与人合谋成功盗取大量虚拟货币,然后低价盗卖,致使北京金山数字娱乐科技有限
20、公司损失近700万元11。一般来讲,利用计算机安全漏洞实施的单次黑客攻击行为就可能造成非常大的损害。而网络具有无限的延伸性,一个黑客可以面对数以亿计的计算机,因而一台计算机也往往要承受成千上万个黑客的威胁,因此出现的客观结果就是网络攻击行为横行。据统计,早在1995年,美国国防部系统的网络计算机在一年之内就遭受到25万次不同身份入侵者的袭击5。这一数据充分说明了利用安全漏洞实施黑客攻击行为的巨大社会危害性。而实际上,这种网络攻击行为泛滥的背后往往会存在着另外一种令人关注的行为,即恶意公布、售卖安全漏洞行为。恶意公布、售卖安全漏洞使黑客行为的危害性被无限放大利用安全漏洞实施的黑客攻击行为具有极为
21、巨大的社会危害性,但是,此种攻击行为得以实施的前提是已经挖掘、发现了相应的计算机和网络安全漏洞。如果由黑客亲自挖掘安全漏洞,然后再利用此类漏洞实施攻击,那么此种黑客攻击行为不仅周期长,而且攻击者也是很有限的,因为发现安全漏洞本身就具有一定的难度。而安全漏洞的恶意公布、售卖行为,尤其是恶意公布行为则使得黑客攻击的危害性无限放大。在传统的产业结构中,分工的细化和信息的共享必定产生数倍、数十倍的制造能力。同理,如果在网络上公开发布安全漏洞,则会因为网络的无限延伸性和黑客分工的日益细化,而使得针对于该漏洞的计算机病毒的制造和传播能力成千上万倍地剧增。现实中,恶意售卖安全漏洞的行为时有发生,并日益显示出
22、非常大的危害性。据世界着名的反病毒机构卡巴斯基实验室提供的消息,一名发现Windows Meta File(WMF,视窗中介文件格式)安全漏洞的俄罗斯黑客于2005年12月初在网上叫卖该安全漏洞后,在一周内就发现了上千条针对该漏洞的恶意代码,而安全机构直到12月27日才发现该漏洞12。相比之下,免费恶意公布安全漏洞行为的社会危害性会更大,因为没有交易行为的阻却,安全漏洞在网络上的传播会更加迅速、更加广泛,甚至导致数以万计的黑客利用公布的漏洞实施有针对性的网络攻击行为。据瑞星公司统计,“从2004年4月14日LSASS ( Local Security Authority Subsys-tem
23、Service)溢出漏洞被公布到5月1日利用此漏洞进行破坏的震荡波病毒出现仅仅用了短短17天”13。随着网络和计算机技术的发展,黑客攻击和恶意公布、售卖安全漏洞之间的联系越来越紧密,“ 2009年4月30日,国内安全研究者公布暴风影音ActiveX远程溢出漏洞。5月1日,网络上即出现了针对该漏洞的大量可疑恶意脚本。” “2009年2月,Adobe两款产品相继爆出零日漏洞恶意公布、售卖安全漏洞行为入罪化的必要性恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类
24、行为加以入罪化处置。不可否认,恶意公布、售卖安全漏洞的行为客观上给相关硬件、软件的生产商指出了产品的缺陷,也因此会在客观上促进计算机和网络技术的发展,但是,此种轻微的积极作用与其巨大的社会危害性相比是微不足道的;况且还有善意公布安全漏洞的行为存在可以改进软、硬件的不足。甚至极端地说,假设只有一个或者若干个恶意行为人挖掘到相关安全漏洞,如果不向社会公众公布或者售卖,那么该漏洞就不成其为漏洞,就没有必要制定相关的安全补丁了。综上所述,恶意公布、售卖安全漏洞行为的巨大社会危害性,往往比单次黑客攻击行为的要高无数倍,或者说单次黑客行为的社会危害性仅仅是其危害性的一部分,对于此种具有极大社会危害性的网络
25、行为,民事手段甚至行政手段总是显得那么无能为力:(1)不仅民事赔偿没有惩罚的功效,而且当事人也面临着巨大的举证困难,因为要让当事人证明恶意公布、售卖安全漏洞行为与损害结果的因果关系是非常困难的;(2)恶意公布、售卖安全漏洞的行为人,要么是为了炫耀自己的技术能力,要么是为了获得巨大经济利益,而网络行为的隐蔽性使得行为人在面临这种难以被发觉而且相对较轻的行政处罚时没有丝毫怯意。因此,即使考虑到刑法的谦抑性,也必须动用刑罚的手段才能有效遏制此种具有巨大社会危害性的安全漏洞恶意公布、售卖行为。四、恶意公布、售卖计算机安全漏洞行为的司法困境及其原因根据现行的刑事立法,恶意公布、售卖安全漏洞行为并不构成单
26、独的犯罪,追究其刑事责任的惟一可行途径,是将其作为后续网络犯罪行为的帮助行为加以处置。换句话,就是将其作为他人利用安全漏洞所实施网络犯罪的帮助犯进行定罪处罚,这就是现行刑事法律提供的人罪化途径。然而,即使这一处置模式,运用起来也是障碍重重。恶意公布、售卖安全漏洞行为的司法困境:不处理或者量刑过低现实生活中,利用安全漏洞实施的网络黑客攻击行为十分常见,有些案件会因为其具有极大的社会危害性而引起人们的广泛关注。随着司法观念的发展,司法实践中已经有多起作为犯罪处理的案件。例如,2004年12月,祁建编制了一套截取“传奇”网络游戏用户虚拟设备的cmcc木马程序,并将该cmcc木马程序发送给被告人陈珲等
27、人。陈珲为了窃取“传奇”网络游戏用户的虚拟装备进而牟取非法利益,雇佣曾涛非法入侵金华市公安局网吧管理系统的网站,将cmcc木马程序加入其中,致使大量在各网吧内上网的“传奇”网络游戏用户账号、密码被截取。陈珲利用截取的账号、密码大量盗取“传奇”网络游戏用户虚拟装备,并通过交易网站牟利。该案所盗取的网络游戏账号至少有十几万个,涉案金额近百万元,浙江省金华市婺城区人民法院认定各位被告人构成破坏计算机信息系统罪,系共同犯罪,其中判处的最长刑期为1年零6个月16。又如,2006年张乾、刘林和戴觐播3名“黑客”在异地利用系统漏洞,突破防火墙,在近2个月内先后侵入成都两家网络公司网站大肆盗取各类游戏点卡并低
28、价卖出,获利达万元。2007年,四川省成都市中级人民法院终审以盗窃罪判处张乾有期徒刑3年零6个月,刘林、戴觐播2人因有从轻情节则被分别判处有期徒刑3年、缓刑5年和有期徒刑2年零6个月,缓刑4年,并各处罚金2000元17。再如,“2008年初开始,张某与同伙利用黑客手段,获取了重庆市两家科技公司的账号和密码,盗得久游币、联众币和魔兽点卡价值14万余元,并在淘宝网上低价出售,截至案发,共获利元,2009年重庆市九龙坡区人民法院一审判处黑客张某有期徒刑10年零6个月,并处罚金5万元。”18在上述3个案例中,司法机关都对相关的黑客行为进行了刑法评价,对涉案黑客判处了相应的刑罚,这是值得肯定的;但是,遗
29、憾的是,都没有进一步去关注另外一个问题,即黑客实施网络攻击时利用的安全漏洞是从何而来的呢?这些安全漏洞不排除被恶意公布、售卖的可能性,那么对这种恶意公布、售卖安全漏洞的行为为什么不进行追根问底式的追查并且定罪处罚呢?可以说,在包括这3起案件在内的几乎所有计算机犯罪和网络犯罪案件中,对恶意公布、售卖安全漏洞的行为都没有作为犯罪处理,司法机关也是从来不对其予以关注和过问的。但是,即使司法机关本着负责的态度通过各种努力或者完全是巧合般地找到了恶意公布、售卖安全漏洞的行为人,并且追究其刑事责任,那么也只能导致一种结果:把恶意公布、售卖安全漏洞的行为作为黑客攻击行为的帮助行为,对行为人按照黑客犯罪的从犯
30、定罪量刑,进而从轻、减轻甚至免除处罚。本着朴素的正义观,我们会发现此种模式会导致明显的不公平:前面已经提到,恶意公布、售卖安全漏洞的行为与单次的黑客攻击行为相比具有超出无数倍的巨大社会危害性。单单通过某次黑客攻击行为对其进行“帮犯”型的刑法评价,是远远不够的。这不仅违背了罪刑相适应的刑法基本原则,而且对于打击恶意公布、售卖安全漏洞的恶性行为也是力不从心的。恶意公布、售卖安全漏洞行为司法困境的原因反思既然现行刑事法律提供了对此类行为加以刑法评价的途径,为什么在司法实践中对于恶意公布、售卖安全漏洞这一具有巨大社会危害性的行为不进行处理,或者即使处理也量刑过低呢?笔者认为主要有以下原因1不进行处理的
31、原因之一:将其作有学者在评论案例时指出:“2005年8月,犯罪嫌疑人陈某通过向福建的刘某等人出售网银大盗3恶意代码获利数万元,刘某等人随后通过传播该恶意代码盗取上千个工商银行的网上银行账号和密码,并窃取大量资金。但根据现行法律规定,陈某制作、贩卖用于盗窃网络银行账号的恶意代码的行为,无法定罪处罚。”19一般认为,网络空间中帮助犯的故意仅限于直接故意,那么如果将恶意公布、售卖安全漏洞行为作为后续实行犯罪的帮助行为,将很难被认定为共犯:因为恶意公布、售卖安全漏洞行为人虽然在公布、售卖安全漏洞方面是恶意或者直接故意的,但是对于后续的黑客犯罪往往只是一种盖然性的认知。行为人对于具体黑客犯罪虽然不排除持
32、积极追求的态度一般也只是持放任的态度,即在主观方面大多是间接故意,那么对于大多数恶意公布、售卖安全漏洞行为是很难进行定罪处罚的。2不作为犯罪处理的原因之二:利用该漏洞的网络攻击行为可能不构成犯罪我国实行二元的法律结构,即对违法行为划分为刑事违法和非刑事违法,在这种二元立法结构下,往往根据有没有“实害”乃至“严重程度的实害”把犯罪与一般违法严格区分开来20。在总则方面,刑法第13条规定:“但是情节显着轻微危害不大的,不认为是犯罪”;在分则方面,很多犯罪都存在着反映危害程度的定罪情节。例如,在破坏计算机信息系统罪和刑法修正案新增加的非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、
33、非法控制计算机信息系统程序、工具罪中,都规定了“后果严重”、“情节严重”等定罪情节,如果没有达到这些情节,即使实施了某种危害行为也不作为犯罪处理。在虚拟世界里,利用安全漏洞实施黑客攻击的行为大量存在,但是其中很大一部分是没有达到犯罪程度的,司法机关无法从刑法角度对此类行为进行评价,难以追究其刑事责任。但是,这种法律现状间接地造就、支持了无数此类违法犯罪行为的恶意公布、售卖计算机安全漏洞行为,由于只能作为此类行为的帮助行为进入刑法的评价视野,这直接导致司法机关也无法对具有巨大社会危害性的恶意公布、售卖安全漏洞行为进行刑法评价。这是真正的司法困境所在。3不进行处理的原因之三:侦查取证困难虽然恶意公
34、布、售卖安全漏洞行为人对后续黑客网络犯罪大多持间接故意,但是仍然存在持直接故意的行为人,那么为何没有出现行为人被作根据共犯从属性理论,对恶意公布、售卖安全漏洞行为追究刑事责任的前提是:利用该漏洞实施的黑客攻击行为被认定为犯罪,所以对恶意公布、售卖安全漏洞行为侦查取证的困难,首先是因为对黑客行为的侦查取证方面。利用安全漏洞的黑客犯罪行为可能包括几乎所有的网络犯罪,网络犯罪作为一种新型的犯罪类型,对其展开调查取证要克服很多困难:第一,网络犯罪发生在互联网的虚拟空间,无传统刑法上的“犯罪现场”之说,黑客犯罪分子可能跨省,甚至跨国实施犯罪行为,这就给公安机关的侦查取证造成很大的困难,由于必须通过国际合
35、作展开联合行动才能奏效,这就使公安机关的反应变得迟缓,从而错失良机;第二,网络犯罪具有极大的隐蔽性,犯罪分子可以充分利用网络空间的无线延伸性隐藏自己,例如,利用网吧等实施攻击,司法机关很难找到线索;第三,对网络犯罪的侦查过程就是与犯罪分子展开一场围绕着计算机技术进行的较量过程,由于网络犯罪所涉及的领域广、技术要求各异,而侦查人员很难掌握其全部技能,这客观上也增加了网络犯罪的侦查难度与取证难度22第四,电子证据易于损坏,不宜提取,往往在保存之后存在取信于法庭的困难23。所以,大部分网络犯罪难以被追诉,甚至难以被发现,“据美国联邦调查局国家计算机犯罪侦查队估计,85%97的计算机侵入犯罪没有被发现
36、,犯罪黑数非常大”2242-46,在我国当前很难找到这方面的统计数据,但是形势肯定不容乐观。如果这种作为实行行为的黑客攻击网络犯罪行为没有被发现,或者即使被发现但因为证据不足而不能让法官采信的话,那么对恶意公布、售卖安全漏洞的危害行为就不能作为犯罪处理。即使颇费周折地收集到了从事攻击行为的黑客的犯罪证据,也会碰到另外一个棘手的问题,即需要找到恶意公布、售卖安全漏洞的行为人并且证明其实施了该行为;此外,还要证明其恶意公布、售卖安全漏洞行为与后来的黑客网络攻击行为存在刑法意义上的因果联系等。这一系列问题都让司法机关的侦查行为举步维艰,司法机关往往没有足够的精力去调查和取证,或者即使有足够的精力也很
37、难在侦查阶段取得实质性进展,从而在客观上导致司法机关对恶意公布、售卖安全漏洞的危害行为很少在刑法层面上对其进行处理。4作为犯罪处理时往往量刑过低,其直接原因是受制于从犯制度根据共同犯罪理论和我国刑法典的体例,犯罪的实行行为是由刑法分则明确规定的,而其他犯罪行为只能依托于实行行为,进而根据共同犯罪制度进行定罪处罚。恶意公布、售卖安全漏洞行为如果没有触犯特定的刑法分则条文,例如,故意泄露国家秘密罪等,就只能依托相关的刑法分则罪名按照非实行犯处理。实际上根据其行为特点,一般只能将其作现行刑法第27条规定:“在共同犯罪中起次要或者辅助作用的,是从犯。对于从犯,应当从轻、减轻处罚或者免除处罚。”从理论上
38、讲,虽然帮助犯没有被排除认定为主犯的可能性,但是一般情况下,在我国刑事司法实践中,帮助犯会被认定为从犯,进而在从犯制度的制约下,对于此种恶意公布、售卖安全漏洞的行为只能作为网络黑客犯罪的从犯,对其从宽处罚。恶意公布、售卖安全漏洞行为陷入司法困境的本质原因:作有相当一部分学者已经认识到,“目前打击网络犯罪的压力的确很大,但是现行刑事立法不能适应信息技术和网络发展的特征规律,明显滞后,不能为公安机关提供有效的法律依据”19。综合上述4种直接原因可以发现,之所以在司法实践中对恶意公布、售卖安全漏洞行为不作为犯罪处理或者即使作为犯罪处理也处刑较轻,其根本原因是根据现行刑法规定,此种具有巨大社会危害性的
39、行为只能作为相关网络犯罪的帮助犯来处理:(1)把恶意公布、售卖安全漏洞的行为作为相关网络犯罪帮助犯,导致了在刑事诉讼过程中,司法机关不仅必须证明相关网络犯罪的存在,而且必须证明恶意公布、售卖安全漏洞行为作为刑法意义上的帮助行为也存在。这就使该行为的定罪面临两大难题,即实体方面上主观的间接故意阻却共犯的成立,以及诉讼方面要面临巨大的侦查取证困难。如果不把其作为相关网络犯罪的帮助犯,那么上述诉讼中的侦查取证难题就基本上不复存在了。(2)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯,导致了这样一种结果,即只有作为实行行为的某种相关网络黑客行为构成犯罪,该行为才有可能构成犯罪。而在现实中,大量
40、利用安全漏洞实施黑客攻击的行为没有达到入罪的程度,从而导致引发黑客违法行为的恶意公布、售卖安全漏洞的行为被阻却在刑法评价范畴之外。(3)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯,即使可以作为犯罪处理,也会在量刑上受制于从犯制度。换句话说,即使通过复杂艰难的诉讼程序证明恶意公布、售卖安全漏洞行为构成犯罪,但是在从犯制度下,对于实施该行为的犯罪分子也只能作为相关网络犯罪的从犯定罪并且从宽处罚,进而导致刑法评价的不公平。五、恶意公布、售卖计算机安全漏洞行为入罪化的模式通过对恶意公布、售卖安全漏洞行为的司法困境之分析,可以发现一种有效遏制此种具有巨大社会危害性行为的途径渐渐明晰起来,即通过
41、“共犯行为的正犯化模式”,将此种行为直接独立入罪,规定为一种独立犯罪的实行行为。恶意公布、售卖安全漏洞行为应当“实行犯化”笔者认为,在当今网络时代,恶意公布、售卖安全漏洞行为应当“实行犯化”,这不仅是朴素的公平正义观念和罪刑相适应的刑法基本原则的要求,也是网络背景下刑法转型的必要措施。1.“实行犯化”的功利性依据:摆脱作既然把恶意公布、售卖安全漏洞行为作为后续性黑客犯罪的帮助犯的刑法评价模式是导致其刑事责任无法落实的本质原因,那么寻找对该行为进行公正刑法评价的出路就只能是在刑事立法上让它摆脱对帮助犯的依附。笔者认为,这一途径就是帮助行为的“实行犯化”,即把恶意公布、售卖安全漏洞行为直接独立化入
42、罪,直接规定为一种独立犯罪的实行行为而进入刑法典。这样上述问题就会迎刃而解:(1)利用安全漏洞的具体后续黑客犯罪是行为不再成为行为人主观方面的具体内容,行为人无论对后续具体黑客犯罪是积极追求还是放任甚至过失,都可以对其按照“实行犯化”后的独立犯罪定罪量刑;(2)司法机关不再需要对后续黑客犯罪行为的存在,以及恶意公布、售卖安全漏洞行为和该后续黑客犯罪行为之间的因果联系承担举证责任,这就极大地便利了诉讼,避免了刑法的虚设;(3)即使后续的黑客攻击行为不构成犯罪,对于恶意公布、售卖安全漏洞行为也可以按照“实行犯化”后的独立犯罪进行定罪处罚;(4)对恶意公布、售卖安全漏洞行为人直接按照“实行犯化”后独
43、立犯罪的法定刑量刑,不再受从犯制度下的量刑制约问题。可能有人会认为,这样做犯了一个错误,即为了追求效率而简化诉讼,却使得实体正义也被消减。其实这是不必担忧的,因为:第一,实体正义并不是单独存在的,它需要程序正义的支持。实体正义和程序正义是辩证统一的,“及时,亦即效率的要求。这是司法公正的重要价值,它的基本含义是按照法律规定的期限,如期处理案件,避免久拖不决。很多时候,正义是跟一定的时间联系在一起的,所谓迟到的正义不是正义,就是从这个意义上说的。正义不能及时运送,有时就会变得没有意义或者其意义大打折扣。高效及时运行的司法程序不仅缩短当事人的诉讼时间,还节约国家和个人的司法成本,也有利于堵塞漏洞、
44、防止司法腐败”24。第二,传统刑法理论和行为无价值理论允许行为犯的存在。我国传统刑法理论重视对犯罪主观方面和行为危险的评价,譬如,现行刑法总则中规定了犯罪预备、未遂、中止制度,另外,刑法分则中规定了大量的行为犯、情节犯、危险犯,例如,强奸犯罪和资助恐怖活动犯罪。而“一般认为,行为无价值论主张违法的本质是违反刑法背后的社会伦理规范”25,对于恶意公布、售卖安全漏洞行为来说,它本身就对社会造成了极大的危险,应该受到社会的否定性评价。此外,行为人也具有较大的主观恶性,因此从鱼水情节犯甚至行为犯的层面对其进行定罪量刑并不违背实体正义。当前,安全漏洞的恶意公布、售卖等许多新问题随着计算机应用的深入逐渐显
45、露出来,利用计算机网络进行网络违法犯罪之势愈演愈烈,而计算机犯罪难发现、难捕捉、难取证,难定性,完善计算机领域的法律、法规仍然任重道远26。因此,应当用发展的眼光看待计算机和网络犯罪的立法问题。基于诉讼效率和刑法司法适用的现实性需要,有必要对恶意公布、售卖安全漏洞的行为在刑法分则中进行“实行犯化”。2.“实行犯化”的本质依据:帮助行为的危害性远远大于实行行为恶意公布、售卖安全漏洞的行为自身具有巨大的社会危害性,此种危害往往是利用该漏洞实施的单次黑客攻击行为无法达到的。2009年2月,“瑞星发出了2009年度首个红色安全警报,由于针对IE7新漏洞的病毒攻击代码在网上公布,导致利用该漏洞的新木马病
46、毒大量出现。根据瑞星云安全系统的统计,受新木马病毒的暴增影响,仅在2月19日就截获了高达866万人次的挂马网站攻击,相比前一天增加了一倍。瑞星恶意网站监测网显示,近日,利用该漏洞的挂马网站拦截量直线上升,已升为目前危害最严重的漏洞。”27之所以会出现这种情况,是因为安全漏洞在网络上被公开恶意售卖尤其是被恶意公布后,往往会有数以万计的网络黑客立即投入相应计算机病毒和专门侵入、非法控制软件的研制中。这种高效的运作会产生巨大的“创造力”,无数种病毒会迅速产生,基于各种目的对计算机和网络的疯狂攻击也会接踵而至。可以说,一次对安全漏洞的恶意、售卖行为可能会促成上万次甚至上百万次的黑客攻击行为,在这种整体
47、的社会危害性面前,其中一次的黑客攻击行为已经显得微不足道了。基于司法的惯性等因素,恶意公布、售卖安全漏洞行为往往被评价为黑客网络攻击犯罪行为的帮助型从犯,因而导致对于行为人的处罚往往会远轻于实施黑客攻击行为的实行犯;但是,如果由恶意公布、售卖安全漏洞行为造成、引起的数起甚至数十起网络黑客攻击犯罪行为被司法机关同时追诉,那么恶意公布、售卖安全漏洞行为人所受的刑罚就可能大于单次黑客犯罪行为人所受的刑罚,此时,就不会再存在从犯制度的制约问题,似乎恶意公布、售卖安全漏洞行为人得到了应有的刑罚制裁,在此种情况下,还会存在刑罚评价不全面和量刑过低的问题吗?笔者认为,答案是肯定的,其理由是:(1)网络犯罪的
48、隐蔽性导致其很难被发现,而一次安全漏洞恶意公布、售卖行为引起的数起乃至数万起网络犯罪同时被发觉的可能性近乎等于零;(2)即使数起乃至数万起网络犯罪被同时发现,仍然会有因恶意公布、售卖同一漏洞引起的数以十万、百万计的其它黑客攻击行为被深深地隐藏起来。这就说明,对于恶意公布、售卖安全漏洞行为作帮助行为“实行犯化”模式的实证法考察刑法分则并不是各种条文的的简单累加,而是一个由规定各种具体犯罪的条文按照犯罪类型组成的有机整体。那么,恶意公布、售卖安全漏洞行为的“实行犯化”应当如何在刑法分则中实现呢?观察我国现行刑法典的立法模式,可以发现帮助行为实行化的基本模式有以下几种1紧挨实行行为条文在同一类罪中规定为独立犯罪在刑法分则中,很多帮助行为“实行犯化”是采用这种模式的。例如,刑法第358条第3款规定:“协助组织他人卖淫的,处5年以下有期徒刑,并处罚金;情节严重的,处5年以上10年以下有期徒刑,并处罚金。”协助组织卖淫行为实质上是组织卖淫行为的帮助行为,在现行刑法典中被“实行犯化”后规定为独立的犯罪;再如,经刑法修正案修正后的刑法第285条第3款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节
浙ICP备2021020529号-1 | 浙B2-20240490 
