以下就是金杜律师事务所律师陈圣的发言记录，宅客频道编辑略有删减，文章标题为编者所加。

演讲全文

网络安全市场可做的事情很多。但是，大家奋不顾身往前冲时，法律人要在后面给大家收收劲，拽一拽，要注意安全，这条道路并不是那么安全，有很多可见和不可见的风险等着我们。

首先，可见的是一些法律上的风险。去年，大家可能比较关注一个案件，就是快播案。当时有一个争论，技术是中立的。所以，去年我参加成都的一个活动时，也有一些白帽子跟我说，技术是中立的、无罪的，出现问题为什么需要我们承担？

当技术遭遇法律，法律就必然要进行评价。当技术带来了法律所不允许的风险时，那么，技术的运用就不再是中性的。所以，这可能就是作为今天白帽子的行为边界这个话题的出发点和基点。

白帽子做的是一件利国利民的大事，至少让每个人的信息至少不是处在裸奔状态。有了白帽子，我们才觉得更安全。去年在参加成都的活动时，我和一些白帽子进行了交流，发现大家都比较焦虑和恐惧，空气中蔓延的都是非常紧张的气氛。

大家都感觉到自己在从事这一高尚职业的同时也面临了一些风险，这种风险来自于哪？他们不知道，内心则惶恐不安。在互联网江湖上，经常听说今天谁谁消失了，明天谁谁被请去喝咖啡、到看守所刷马桶。当我问他，你见到这个人了吗？你见证了这件事情吗？他说没有，大家只是听说的。在大家感受到惶恐时，并不知道这件事情有多大，或者类似的事情在全国有多少。所以，今天通过大数据的方式，把现在已有的、这几年的司法判例展示出来，让大家看一下到底有多少。

第二，我还是想把法律上的一些事情跟大家解释一下。大家说我们能看到一些法律，但有些东西我们理解不了。什么理解不了？例如，违反国家规定。什么是违反国家规定？另外，经济损失，经济损失怎样计算？破坏一样东西造成的直接或间接的损失可能是无法计算的，到这样一个数是不是就能治罪呢？所以，我们今天从这两个角度来说一下这件事情。

看数说话

这是我从中国裁判文书网上的大数据，看到的关于非法侵入计算机信息系统罪的每年发案数。这两条线，实线用的是“非法侵入计算机信息系统罪”，以这个案由作为关键字进行检索得出的；虚线就是把罪去掉，用“非法侵入计算机信息系统”检索得出的数据。两条线有比较大的差别，为什么用这两种方式进行检索，这里有一个小段子。

一位在监狱工作的朋友给我讲过一个故事。有一天，有一个小孩因为盗窃罪进监狱服刑。第一天就要拜码头（牢头），牢头第一句话就说，你打小不学好，出来偷偷摸摸，这种没有技术含量的事你也做，以后小组的尿盆都归你倒了。这个小孩就胆战心惊的说，我和人家有点不一样，我就是手头紧就从网上弄了点东西。牢头一听，高科技人才，今天晚上你就睡我边上，马桶也不用倒了，你就给我好好讲一讲你是怎么偷的。

通过这一个小案子，至少从两个层面发现了问题。第一个层面，只要是人才，到哪儿都受到优待。当然，这也说明了在普通人眼里，通过计算机网络这个媒介从事的这些事情，在大家眼里看起来是很高端的，即便是你的行为可能是偷窃，在大家眼里也是与众不同的，当然我们和孔乙己不一样，不会去区分偷和窃的区别，总之它是一种犯罪。

第二个层面，他通过计算机这个媒介实施了盗窃行为，最终在法律上的评价是盗窃罪，为什么会这样？我们看到的事情和最终拿到的司法判例完全没办法接受，这么高大上的事情让你说成了三脚猫的小偷，这可能涉及到刑法上的概念，同一行为触犯不同的法律从重，同一行为触犯不同法条特殊流于一般。

从2013年开始，我检索到的“非法侵入计算机系统罪”的案发量是零，但以它为关键词再检索得到的是6左右，通过这个曲线可以看到它是往上走的，这也证明了和我们当前所处的网络安全环境有关，这两年的安全形势确实不太好。我们的刑法也在不断地修订。

这是非法获取计算机信息系统数据、非法控制计算机信息系统罪，这两条曲线在 2012 年都是零，2016 年曲线陡线上升；到2015年是一个转折点，实线往上，虚线往下，破坏计算机信息系统罪整个趋势都在往上走。

这说明一个问题，这几年的案件都处在一种高发状态。

整体而言，这几种案件要比一年两三万件的盗窃等形式的犯罪要少很多，这种案件没有超过百件，在司法实务中，平均一天不到两件。所以，这不像我们之前感觉到那么恐惧，形势没有那么恐惧。

但是案件这么少，可能有很多原因。

我大概总结有四点：

一是发现难，确实是高智商才能做出来，普通的百姓想干干不了。这种案件发现比较难。有时候自己被侵害了，但他意识不到自己被害了，所以连报案的意识都没有。故意炫技，在网上写上“到此一游”的除外。

第二，即便报案了，公安机关想要查清楚也是比较难的。因为网络的很多东西，通过匿踪等各种方式，导致这个案子根本没有办法办下去了。

第三，定罪比较难。网络犯罪的最大的特点就是数据容易被篡改和灭失，办理刑事案件，包括法院定罪量刑最重要落实到证据上，证实你在那个时间点确实干了这个事，而且数量加起来确实够罪，这样才能进行定罪量刑。但因为技术原因的限制，现在很多是达不到的。

第四，根据刑事责任的年龄规定，很多白帽子是90后，甚至有很多是00后，这一类青少年在没有分辨是非能力的情况下，盲目地技术崇拜，搞一些破坏和小恶作剧，他自己觉得很 happy，但造成了很大损害。刑事责任的年龄是18周岁，16周岁是相对刑事责任年龄。所以，导致了如果没有达到刑事责任年龄时，是不负责任的。也有一种是需要承担刑事责任，但判刑在一年以下，这时检察院就会做出一个决定，通过调查决定做附条件的不起诉。如果判刑在五年以下，可能会做犯罪记录封存。这些都导致了我们现在看到的案件不是案件的全貌。

数据从 2012 年到 2014 年陡然拉升，到 2014 年后慢慢变得平缓，这里是不是有在座的各位的功劳？因为我刚才看到了我们的平台（编辑注：指360）成立了三年，从事这样的网络安全服务有三年的时间，也有可能是在你们每个人的努力下把漏洞补上了，没有给更多人有机可乘的机会，所以案件的数量已经掉下来了。

但是，通过这两张图表可以很清晰的看到，网络、计算机、信息系统现在已经更多的成为了一种犯罪工具。在对这个罪名最后的检索中能够看到，实际上按这个罪名来定罪的不少，其他都是按照其他的罪名来定罪，这已经变成了一种手段，所以这就是为什么我们看到的是这样的情况。

这里不仅是刑事责任，有可能涉及到治安责任，《治安管理处罚法》第29条也对这些行为做了一定的规制，但没有找到这样的案例的原因是，这些案例是不公开的，所以在公开渠道上无法检索到类似的案例。

下面我来进行法条解析。

白帽子日常从事的漏洞检索或者漏洞查找行为，通常会在这两个方面体现：一是治安管理责任，一是刑事责任。治安是治安管理处罚法第29条，另一个是刑法第285、286条。

治安管理处罚法第29条一共四款，我都列出了，它和刑法的第285、286条相对应。它的很多表述基本一致，所以我没有做具体的摘录。

“违反国家规定，侵入计算机信息系统造成危害，只要造成危害，就可以按照治安管理处罚法第29条进行处理。第二条是违反国家规定，对计算机信息系统进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的。

后三条对应的是286条，破坏计算机信息系统罪，上面的分成两个枝杈，一个是非法侵入计算机信息系统罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪。情节较轻是除5日以下拘留，较重的是5日以上10日以下。

这里没有把情节等等都规定出来，怎样才能知道是触犯了刑法还是违反了治安管理处罚法？这就是立法技术上处置不清。

刑法里有很详细的规定，只要不达到这个条件就不归刑法规制，转而由治安管理处罚法规制。

大家在图形上可以看到，同样一种行为，如果情节到了，有可能会处三年以上有期徒刑或者拘役，或者是五年以上到十年以下并处罚金。这三个罪名，大家注意一点，第一种罪和第二种罪是没有罚金的，只有第二种罪有罚金，我觉得这和数据系统有关。

大家都很明白，数据是可以卖钱的，所含的经济价值超过我们的想象。所以，它有这种规制，前面是三年以下拘役或者单纯的并处罚金，这个就是五年以上十年以下并处罚金。

同时，今年6月1号马上要生效的《网络安全法》也在行业禁止上做出了一定的规定。例如，只要违反了《治安管理处罚法》被处以拘留措施，在五年内就不能从事网络安全管理岗位和网络运营关键岗位，如果受到了刑事处罚，终身禁业。

《刑法》第285、286条，项下的四个罪名中的三个：非法侵入计算机信息系统罪、破坏计算机信息系统罪、非法获取计算机信息系统数据，非法控制计算机信息系统罪。大家可以关注几个词，侵入、获取和控制、破坏，我理解是渐进的，侵入了才能获取和控制，最终才是破坏，一下子把这三个罪名都串起来了。

非法侵入计算机信息系统罪：违反国家规定侵入在国家事务、国防建设、尖端科学技术领域，在这种情况下，如果侵入就构成犯罪，它是一种行为，只要你从事这种行为就构成犯罪。

有人可能会问，怎么鉴别它是国家事务、国防建设、尖端科学技术领域呢？有没有标准？当然如果你侵入这个网站上面写得很清楚，写的是司法部和公安部肯定就不会碰，但有很多网站是没有这个东西，我们怎么鉴别呢？法律做出了规定，怎么规定呢？在鉴别时可以委托省级的网络部门，由他们来认定是否属于这三类，所以大家在平时挖洞的过程中，一定要注意在未经授权的情况下绝对不能碰这个，如果碰了将会处三年以下有期徒刑或者拘役。另外，主观表现是故意，如果完全不知道的情况下侵入了不构成犯罪的，所以这个必须有主观故意才能进行处罚。

《刑法》第285条第二款，非法获取计算机信息系统数据，非法控制计算机信息系统罪，在这个罪名下做了这样的规定，进入上款规定的其他的系统或者其他手段获取该计算机信息系统中存储、处理货传输的数据就构成了该罪，对该计算机信息系统实施非法控制就构成了非法控制计算机信息系统罪。

这种罪叫做结果犯罪，有这个行为，但没有造成危害结果就不构成犯罪，如果造成了危害结果就必须要达到一定的情节或者条件才构成犯罪。

通常大家要这样来看这个问题，不要说从事了，我心里就慌，或者我无意中做了哪些事情就慌，第一，要看有没有结果，第二，要看一看情节。

我把情节严重和情节特别严重放在这里了，情节严重：获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；在第一项之外的身份认证信息500组以上的；非法控制计算机信息系统20台以上的；非法所得5000元以上或造成经济损失10000元以上的，其他情节严重的情形。

在非法侵入时，我平时挖洞的过程中要注意自己的工具问题，有些是拿别人的工具直接用，用完后目的实现了，但这个工具有没有在背地里下载这些数据的功能？或者会不会有这种情形？如果有这种情形，我们不可控制的情形下，你可能在不经意之间就达到了情节严重。

在司法认定上会这样认为，说你是专业人员，你有专业技术理应认识到或意识到你的这个工具是有问题的，那么它在背后悄悄下载了这些东西，然后把这些数据又传出去了，所以你在不经意之间就触犯了法律。所以我们在工具选择上要做一个甄别，至少用时大家要做到心中有数，不要给自己带来无妄之灾。

我现在了解到，监狱尽管是少数有公费医疗的地方，但毕竟不是好地方，所以大家在工具选择上一定要进行甄别和注意。

情节特别严重和情节严重他们的区别就在于乘以 5 以上。这里面涉及到一个词“经济损失”，经济损失包含哪些？是否包含间接经济损失？去年在成都时一个小孩跟我讲：

陈律师，现在很多的东西都是网络设备，包括娃娃也有充气的、也有电子的，我弄坏了，他要找我追偿精神损失，这种精神损失算不算经济损失？

精神损失肯定不包含在经济损失。经济损失分两部分，直接经济损失，你把这个东西弄坏了，或者让它不能工作了，它造成的直接的经济损失；第二部分是要把你弄坏的东西恢复到最初的原创，在这种情景下要支付的必要费用，这两者加起来才能看是不是构成经济损失。

所以，公安或司法机关来找你，他们要夸大这些事情，要拿来看一看，这个事情是不是到了一定的数，大家心里一定不要慌，一定要看清楚，经济损失不包含间接损失，也不包含精神损失赔偿。

这是《刑法》第286条：破坏计算机信息系统罪。

同一行为在没有达到一定的条件和要求的情况下，或者没有达到我们设定的这些数额的基础上，有可能就要按照《治安管理处罚法》来处罚，在此之上的就会构成刑事犯罪。

行为边界，这可以从两个维度说。什么是行为边界？边界就是底线，就是不能逾越的红线。以前我们是靠道德、宗教和信仰来约束，在现在社会我们更多要靠法律约束，所以这种行为边界最终等于法律边界，任何情况下都不能触碰法律边界。比如，你现在脚底下踩的这块地就是《治安管理处罚法》第29条，大气层就是《刑法》第285、286条，只要你沿着地面走就没有事，不管多高你都会摔下来。当你跳得更高，跳到大气层之外了，你就再回不来了，你就会进入监狱，出来后也从事不了这个工作了。这样的比喻比较贴切，我们的行为边界的底线在哪里？可以严格限定一下《治安管理处罚法》第29条，这就是我们行为禁止的边界。

最后我给几点小建议。

最后行业的操作规程，循规不逾矩，这是我们的底线，严格按照这个来做就没有事情。

第二，坚守法律底线，循规不逾矩，矩这是我们的法律，绝对不能突破，突破就是无妄之灾。

第三，要关注网络安全立法趋势和变化。从97刑法只有两个罪名开始，到刑法7修正案、刑法9修正案关于网络犯罪的条目不断的增加，而且越来越严厉，以前在互联网上可以不遵守的一些道德约束，可以做一些出格的事情，但现在离法网越来越近，本身现在的网和互联网结合得更加紧密了。

在我们可以预见的未来，网络安全立法的趋势会趋严，变化会越来越多，所以我想请大家更关注立法的变化，通过立法调整自己在平时挖漏洞的过程中应该注意一些什么，一定要规避这些。

360 给我们提供了非常好的平台，更多都是在授权的情况下做这些工作，在授权的情况下大家是允许的，没有超越授权。我们看到，刑法285的非法侵入和非法获取信息、控制系统，如果你签约授权你对某些系统进行网络测试，但是你越界了，做了什么？我不仅进去了，我还拿了东西，也就是说获取数据，在这种情况下是绝对不允许的。

所以，我们在任何情况下脚踩大地，一定要把法律放在心中，它既是你的守护神，也是能够让你这条路越走越顺的唯一的一条路。