“由于對IT技術(shù)、互聯(lián)網(wǎng)創(chuàng)新業(yè)務(wù)的熱愛，始終在關(guān)注這個(gè)行業(yè)，也發(fā)現(xiàn)了一些現(xiàn)象和問題，特別是安全技術(shù)人員的弱勢、背鍋、無意識(shí)犯罪，感到非?？上?，也值得社會(huì)反思和法律人的投入?！?/p>

一句“可惜”的感嘆背后是多少個(gè)真實(shí)的法律案例。正所謂常在河邊走，哪有不濕鞋。網(wǎng)絡(luò)安全這條大河又讓多少安全技術(shù)人員腳底沾“泥”而不自知?

如今，網(wǎng)絡(luò)安全行業(yè)相關(guān)的法律法規(guī)不再是“一枝獨(dú)秀”，而呈“百花齊放”之勢。在剛過去的幾個(gè)月內(nèi)，政府就出臺(tái)了多部網(wǎng)絡(luò)安全行業(yè)相關(guān)的法律法規(guī)，比如新版國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—遠(yuǎn)程辦公安全防護(hù)》等，涉及領(lǐng)域之多樣，行業(yè)之細(xì)，可落地、可執(zhí)行。

然而，近幾年，技術(shù)卻頻頻闖入法律的紅燈區(qū)，因?yàn)榘踩夹g(shù)而鋃鐺入獄的從業(yè)者不在少數(shù)，如何去把握法律的邊界而不觸及這條高危紅線?這是安全技術(shù)人員常常需要思考的問題。此次邀請到婁鶴律師來聊一聊安全技術(shù)人員自身的安全問題。

?[[323367]]?

婁鶴，北京德和衡(上海)律師事務(wù)所，高級聯(lián)席合伙人/律師。上海市科技創(chuàng)業(yè)導(dǎo)師，CISO(注冊信息安全專業(yè)人員)，曾任上海市律師協(xié)會(huì)互聯(lián)網(wǎng)業(yè)務(wù)委員會(huì)委員。在網(wǎng)絡(luò)信息安全、數(shù)據(jù)及隱私保護(hù)、網(wǎng)絡(luò)犯罪等領(lǐng)域擁有豐富經(jīng)驗(yàn)，對境內(nèi)外法律均有深入研究。

公平、正義，再帶點(diǎn)酷炫……這是多少律師從業(yè)者的初心，婁鶴亦是如此。除此以外，律師行業(yè)對個(gè)人意味著有更多施展的空間，可以通過法律服務(wù)參與到經(jīng)濟(jì)發(fā)展的不同行業(yè)。

婁鶴認(rèn)為，數(shù)字化經(jīng)濟(jì)的發(fā)展，離不開技術(shù)的迭代，也離不開法律的規(guī)范，在這個(gè)過程中充滿著不確定性、利益沖突、各種機(jī)會(huì)。互聯(lián)網(wǎng)安全行業(yè)一直是婁鶴的關(guān)注對象，對于行業(yè)的整體形勢發(fā)展他給出了一些自己的看法：

因此，面對網(wǎng)絡(luò)安全行業(yè)法律的新興態(tài)勢時(shí)，婁鶴認(rèn)為對整體行業(yè)發(fā)展是利好。

在法規(guī)層面，以2016年出臺(tái)的《網(wǎng)絡(luò)安全法》為基點(diǎn)，作為頂層架構(gòu)逐步擴(kuò)散，具體細(xì)化到一些技術(shù)領(lǐng)域。這就類似一棵樹一樣，往下不斷生長扎根。整體網(wǎng)絡(luò)安全法律體系是逐漸地從抽象到具體，從籠統(tǒng)到細(xì)化，不斷完善的過程。

何以“踩雷”卻不自知

網(wǎng)絡(luò)安全形勢的復(fù)雜化和多樣化是催生行業(yè)法規(guī)的出臺(tái)和完善的一大動(dòng)力。除了企業(yè)合規(guī)風(fēng)險(xiǎn)上升，安全技術(shù)人員觸及法律這條紅線的事件也在增加，比如早期的“世紀(jì)佳緣”案件、近期的“微盟刪庫”事件等。

其中，婁鶴認(rèn)為背后的原因有多個(gè)方面：

• 一是網(wǎng)絡(luò)技術(shù)更新很快，應(yīng)用形式多樣，綜合環(huán)境很復(fù)雜。
• 二是人員的技術(shù)能力，與法律意識(shí)、安全意識(shí)不匹配、不同步。這里的人員，包括技術(shù)人員，也包括管理人員。他們往往沒有意識(shí)到技術(shù)的發(fā)展和更多樣化的行業(yè)運(yùn)用，其實(shí)是在放大風(fēng)險(xiǎn)。比如引發(fā)社會(huì)混亂和投資人損失的一些互聯(lián)網(wǎng)金融事件，就是如此。
• 三是監(jiān)管具有滯后性的特點(diǎn)，一般跟不上技術(shù)和應(yīng)用發(fā)展的速度，會(huì)留有時(shí)間窗口期，短期內(nèi)存在立法缺位的現(xiàn)象，同時(shí)執(zhí)法的尺度、邊界也比較模糊，這些都可能引起一些誤讀。

以上三個(gè)原因之間是相互交織的，隨著技術(shù)應(yīng)用的多樣化，用傳統(tǒng)的方法去識(shí)別這種犯罪或者違法的形態(tài)和情況也會(huì)越來越難。因此，在這種情況下，政府部門需要進(jìn)行規(guī)范。從立法到執(zhí)法，這個(gè)過程也需要時(shí)間，從而導(dǎo)致了滯后性。

這種情況下容易出現(xiàn)兩種比較普遍的結(jié)果，一種是人員被技術(shù)的功能性和應(yīng)用的多樣性所迷惑，無法把握本質(zhì)而違法。

比如說某網(wǎng)站推出的對客戶獎(jiǎng)勵(lì)的紅包活動(dòng)，技術(shù)人員用技術(shù)去突破，去冒領(lǐng)一些數(shù)字財(cái)產(chǎn)，將其變現(xiàn)。他可能不覺得這是一個(gè)犯罪的行為，他覺得我只是技術(shù)比較牛,不會(huì)被人察覺。雖然這不同于直接去銀行竊取錢財(cái)，但是本質(zhì)上它其實(shí)是一個(gè)偷盜的行為。

另一種是處在法律的模糊邊界，并不確定是否可以執(zhí)行，但最后做完又充當(dāng)了“替罪羊”的角色。

特別是一些金融創(chuàng)新類的業(yè)務(wù)，處在模糊邊界，這個(gè)東西到底能不能做，本身是比較搖擺的。有時(shí)候監(jiān)管部門的態(tài)度也比較曖昧，那么技術(shù)人員可能確實(shí)會(huì)充當(dāng)一些背鍋的這樣的角色。

總結(jié)來說，安全技術(shù)人員容易“踩雷”而不知，有以下五點(diǎn)原因：

• 技術(shù)相關(guān)法律條款相對原則、抽象，但實(shí)踐又是具體、豐富和多樣的，存在理解和認(rèn)知上的差異;
• 技術(shù)人員的認(rèn)知局限，缺乏風(fēng)險(xiǎn)意識(shí)、警惕性和敏感性;
• 存在不少灰色的地帶、模糊的邊界，特別是創(chuàng)新業(yè)務(wù)，執(zhí)法態(tài)度可能會(huì)隨著事態(tài)的發(fā)展發(fā)生變化;
• 在單位犯罪中，技術(shù)人員往往要背鍋，他們承擔(dān)了底層的技術(shù)工作，但因?yàn)樯蠈由虡I(yè)模式的違法性，而受到牽連;
• 商業(yè)競爭激烈、環(huán)境兇險(xiǎn)，一些看似普通的技術(shù)問題，也可能會(huì)轉(zhuǎn)化成刑事案件。

爬蟲場景的法律“曖昧”

安全技術(shù)人員容易踩雷的場景之一，是避不開用爬蟲技術(shù)獲取數(shù)據(jù)。爬蟲被稱為互聯(lián)網(wǎng)行業(yè)的“黃金礦工”，然而有時(shí)候這位“黃金礦工”也是會(huì)挖到“地雷”的。近幾年，因?yàn)榕老x觸及法律的事件，曝光的和判刑的都比較多。

這類新聞字眼也是頻頻挑動(dòng)著技術(shù)人員的心，所以在利用爬蟲開展信息搬運(yùn)時(shí)，應(yīng)三省吾身：

• 是否違反ROBOTS協(xié)議，爬取對方數(shù)據(jù);
• 是否繞過防護(hù)系統(tǒng)，爬取數(shù)據(jù)，甚至竊取個(gè)人敏感信息;
• 是否入侵計(jì)算機(jī)信息系統(tǒng)，或因爬取數(shù)據(jù)的行為影響對方服務(wù)器正常運(yùn)行。

另外需要特別注意，對“違法”要做區(qū)分，有的是民事違法，比如爬取競爭對手的數(shù)據(jù)，會(huì)構(gòu)成不正當(dāng)競爭，可能被對手提起民事訴訟。而當(dāng)爬取的數(shù)據(jù)涉及個(gè)人敏感數(shù)據(jù)，或造成了嚴(yán)重后果的，則會(huì)構(gòu)成刑事犯罪。

爬蟲本身其實(shí)并不違法，但是對于爬取的數(shù)據(jù)，因其性質(zhì)進(jìn)行分類，結(jié)果就不一樣了。那些在爬蟲場景下容易觸及的法律法規(guī)，比如，

因此，婁鶴建議開展爬蟲業(yè)務(wù)的公司及業(yè)務(wù)人員，要十分重視其潛在的法律風(fēng)險(xiǎn)，最好咨詢網(wǎng)絡(luò)安全律師的意見，對業(yè)務(wù)風(fēng)險(xiǎn)及合法性進(jìn)行評估。

“故意”“過失”傻傻分不清

前段時(shí)間，微盟刪庫事件引起軒然大波，嫌疑人是企業(yè)內(nèi)部的運(yùn)維人員，涉嫌故意“刪庫”泄憤，這類情況屬于少數(shù)案例，而日常生活中，技術(shù)人員往往是因?yàn)楦鞣N因素而導(dǎo)致的“無意”犯罪。

婁鶴指出，對于技術(shù)類的“無意”犯罪是十分常見的。從人的主觀判斷上來說，可以稱之為“無意”，但是在法律上，是分為“故意”和“過失”兩種情況。

• 有些技術(shù)人員因?yàn)椴欢?，沒有意識(shí)到違法而犯罪的，從刑法上依然可以被認(rèn)定為是故意犯罪，不影響定罪。
• 對于過失類犯罪，是指當(dāng)事人主觀上沒有作惡或犯罪的目的，比如因操作不規(guī)范導(dǎo)致公司代碼泄露而造成經(jīng)濟(jì)損失的，這種非主動(dòng)的情況在判罰上相比故意犯罪會(huì)輕一些。

比如說在一些數(shù)據(jù)泄露案件中，可能只是一個(gè)普通的操作，把代碼放在某個(gè)公共平臺(tái)上，因?yàn)椴僮鞑灰?guī)范或保護(hù)不當(dāng)，被黑客竊取了，那么這種是屬于過失犯罪。

而對于故意犯罪的判定，婁鶴舉了個(gè)例子，比如經(jīng)常會(huì)聽到一些P2P金融公司陷入非法集資或者集資詐騙的新聞，但是這個(gè)事件卻把程序員抓進(jìn)去了。從程序員的角度來說，有種情況就是起到一個(gè)幫忙實(shí)現(xiàn)功能的作用，而對于平臺(tái)所參與的犯罪活動(dòng)一概不知，這種情況下程序員仍然會(huì)被判為故意犯罪。因?yàn)閺恼w上的功能實(shí)現(xiàn)來說，程序員還是有主動(dòng)參與的，法律上只是主犯和從犯的區(qū)別。但是歸根到底，這是整個(gè)平臺(tái)的商業(yè)模式的問題。

?[[323368]]?

安全圈的“軟件”防護(hù)不可少

如果說安全技術(shù)上的規(guī)避，是為硬件防護(hù)，那么法律安全意識(shí)就是“軟件”防護(hù)。

2020年的RSA大會(huì)中，“人的因素”被定為了大會(huì)主題，這也表明了一種行業(yè)趨勢，人在安全領(lǐng)域的作用會(huì)越來越大，越來越關(guān)鍵，那么構(gòu)成企業(yè)的人員個(gè)體的法律安全意識(shí)的重要性不言自明。從技術(shù)人員安全上升到企業(yè)安全，企業(yè)員工個(gè)體如果沒有這種法律的安全意識(shí)，那么對于企業(yè)自身而言也是岌岌可危的。當(dāng)企業(yè)員工個(gè)體懂得如何去規(guī)避法律風(fēng)險(xiǎn)時(shí)，企業(yè)合規(guī)或許也就真正地有了著落。

在采訪的最后，婁鶴為安全技術(shù)人員提出了一些建議來規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

• 呼吁整個(gè)安全技術(shù)行業(yè)、都要增強(qiáng)法律風(fēng)險(xiǎn)意識(shí)。
• 多參加安全/法律培訓(xùn);多關(guān)注與技術(shù)相關(guān)的違法犯罪案件，這些案件往往具有代表性，也是執(zhí)法部門在階段性整治、打擊行動(dòng)的風(fēng)向標(biāo)。
• 提高對高風(fēng)險(xiǎn)的技術(shù)、場景的辨識(shí)能力，如：爬蟲、虛擬貨幣、個(gè)人數(shù)據(jù)、金融業(yè)務(wù)、漏洞挖掘。
• 多咨詢專業(yè)律師的意見，不要憑感覺去做判斷，很多問題都出在 “我以為”，但是法律并不是你以為的那樣。

當(dāng)然，簡短的幾行建議并不是行走安全圈的護(hù)身符，真正需要安全技術(shù)人員去做到的是對于安全法律的了然于心，當(dāng)技術(shù)和法律的協(xié)同支撐，才能在未來走得更遠(yuǎn)。

希望安全技術(shù)人員能夠保護(hù)好自己，享受技術(shù)的快樂、發(fā)揮技術(shù)的能量，共同造福社會(huì)，建設(shè)一個(gè)更安全、更高效、更豐富多彩的數(shù)字世界。