“由于对IT技术、互联网创新业务的热爱,始终在关注这个行业,也发现了一些现象和问题,特别是安全技术人员的弱势、背锅、无意识犯罪,对此感到非常可惜。因此,这些问题值得社会反思和法律人的关注。”
一句“可惜”的感叹背后是多少个真实的法律案例。正所谓常在河边走,哪有不湿鞋。网络安全这条大河又让多少安全技术人员脚底沾“泥”而不自知?
如今,网络安全行业相关的法律法规不再是“一枝独秀”,而呈“百花齐放”之势。在刚过去的几个月内,政府就出台了多部网络安全行业相关的法律法规,比如新版国家标准《个人信息安全规范》、《网络安全标准实践指南—远程办公安全防护》等,涉及领域之多样,行业之细,可落地、可执行。
然而,近几年,技术却频频闯入法律的红灯区,因为安全技术而锒铛入狱的从业者不在少数,如何去把握法律的边界而不触及这条高危红线?这是安全技术人员常常需要思考的问题。此次邀请到娄鹤律师来聊一聊安全技术人员自身的安全问题。
娄鹤,北京德和衡(上海)律师事务所,高级联席合伙人/律师。上海市科技创业导师,CISO(注册信息安全专业人员),曾任上海市律师协会互联网业务委员会委员。在网络信息安全、数据及隐私保护、网络犯罪等领域拥有丰富经验,对境内外法律均有深入研究。
公平、正义,再带点酷炫……这是多少律师从业者的初心,娄鹤亦是如此。除此以外,律师行业对个人意味着有更多施展的空间,可以通过法律服务参与到经济发展的不同行业。
娄鹤认为,数字化经济的发展,离不开技术的迭代,也离不开法律的规范,在这个过程中充满着不确定性、利益冲突、各种机会。互联网安全行业一直是娄鹤的关注对象,对于行业的整体形势发展他给出了一些自己的看法:
从目前的立法和执法情况看,我们国家对网络安全问题日益重视,原因在于国内外的网络安全事件频发、网络威胁严重,国内数字化经济的快速发展也需要一个更安全的技术环境和法律环境。
因此,面对网络安全行业法律的新兴态势时,娄鹤认为对整体行业发展是利好。
随着网安法规及监管政策的不断落地,比如:等保2.0、密码法、关键信息基础设施测评等,全社会都越来越重视安全这个事情。但从实践角度,还是得从等保测评、一些安全硬件的采购和部署开始,一步一步来,这需要一个过程。
在法规层面,以2016年出台的《网络安全法》为基点,作为顶层架构逐步扩散,具体细化到一些技术领域。这就类似一棵树一样,往下不断生长扎根。整体网络安全法律体系是逐渐地从抽象到具体,从笼统到细化,不断完善的过程。
何以“踩雷”却不自知
网络安全形势的复杂化和多样化是催生行业法规的出台和完善的一大动力。除了企业合规风险上升,安全技术人员触及法律这条红线的事件也在增加,比如早期的“世纪佳缘”案件、近期的“微盟删库”事件等。
其中,娄鹤认为背后的原因有多个方面:
一是网络技术更新很快,应用形式多样,综合环境很复杂。
二是人员的技术能力,与法律意识、安全意识不匹配、不同步。这里的人员,包括技术人员,也包括管理人员。他们往往没有意识到技术的发展和更多样化的行业运用,其实是在放大风险。比如引发社会混乱和投资人损失的一些互联网金融事件,就是如此。
三是监管具有滞后性的特点,一般跟不上技术和应用发展的速度,会留有时间窗口期,短期内存在立法缺位的现象,同时执法的尺度、边界也比较模糊,这些都可能引起一些误读。
以上三个原因之间是相互交织的,随着技术应用的多样化,用传统的方法去识别这种犯罪或者违法的形态和情况也会越来越难。因此,在这种情况下,政府部门需要进行规范。从立法到执法,这个过程也需要时间,从而导致了滞后性。
这种情况下容易出现两种比较普遍的结果,一种是人员被技术的功能性和应用的多样性所迷惑,无法把握本质而违法。
比如说某网站推出的对客户奖励的红包活动,技术人员用技术去突破,去冒领一些数字财产,将其变现。他可能不觉得这是一个犯罪的行为,他觉得我只是技术比较牛,不会被人察觉。虽然这不同于直接去银行窃取钱财,但是本质上它其实是一个偷盗的行为。
另一种是处在法律的模糊边界,并不确定是否可以执行,但最后做完又充当了“替罪羊”的角色。
特别是一些金融创新类的业务,处在模糊边界,这个东西到底能不能做,本身是比较摇摆的。有时候监管部门的态度也比较暧昧,那么技术人员可能确实会充当一些背锅的这样的角色。
总结来说,安全技术人员容易“踩雷”而不知,有以下五点原因:
1、技术相关法律条款相对原则、抽象,但实践又是具体、丰富和多样的,存在理解和认知上的差异;
2、技术人员的认知局限,缺乏风险意识、警惕性和敏感性;
3、存在不少灰色的地带、模糊的边界,特别是创新业务,执法态度可能会随着事态的发展发生变化;
4、在单位犯罪中,技术人员往往要背锅,他们承担了底层的技术工作,但因为上层商业模式的违法性,而受到牵连;
5、商业竞争激烈、环境凶险,一些看似普通的技术问题,也可能会转化成刑事案件。
爬虫场景的法律“暧昧”
安全技术人员容易踩雷的场景之一,是避不开用爬虫技术获取数据。爬虫被称为互联网行业的“黄金矿工”,然而有时候这位“黄金矿工”也是会挖到“地雷”的。近几年,因为爬虫触及法律的事件,曝光的和判刑的都比较多。
“只因写了一段爬虫,公司200多人被抓!”
“来我公司写爬虫吗?会坐牢的那种!”
这类新闻字眼也是频频挑动着技术人员的心,所以在利用爬虫开展信息搬运时,应三省吾身:
1、是否违反ROBOTS协议,爬取对方数据;
2、是否绕过防护系统,爬取数据,甚至窃取个人敏感信息;
3、是否入侵计算机信息系统,或因爬取数据的行为影响对方服务器正常运行。
另外需要特别注意,对“违法”要做区分,有的是民事违法,比如爬取竞争对手的数据,会构成不正当竞争,可能被对手提起民事诉讼。而当爬取的数据涉及个人敏感数据,或造成了严重后果的,则会构成刑事犯罪。
爬虫本身其实并不违法,但是对于爬取的数据,因其性质进行分类,结果就不一样了。那些在爬虫场景下容易触及的法律法规,比如,
网络安全法
《网络安全法》第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息。因此,如果爬虫在未经用户同意的情况下大量抓取用户的个人信息,则有可能构成非法收集个人信息的违法行为。
非法侵入计算机信息系统罪
《刑法》第二百八十六条还规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成犯罪,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。而违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,也构成犯罪,依照前款的规定处罚。
侵犯商业秘密罪
《反不正当竞争法》第九条,以不正当手段获取他人商业秘密的行为即已经构成侵犯商业秘密。而后续如果进一步利用,或者公开该等信息,则构成对他人商业秘密的披露和使用,同样构成对权利人的商业秘密的侵犯。
……
因此,娄鹤建议开展爬虫业务的公司及业务人员,要十分重视其潜在的法律风险,最好咨询网络安全律师的意见,对业务风险及合法性进行评估。
“故意”“过失”傻傻分不清
前段时间,微盟删库事件引起轩然大波,嫌疑人是企业内部的运维人员,涉嫌故意“删库”泄愤,这类情况属于少数案例,而日常生活中,技术人员往往是因为各种因素而导致的“无意”犯罪。
娄鹤指出,对于技术类的“无意”犯罪是十分常见的。从人的主观判断上来说,可以称之为“无意”,但是在法律上,是分为“故意”和“过失”两种情况。
有些技术人员因为不懂法,没有意识到违法而犯罪的,从刑法上依然可以被认定为是故意犯罪,不影响定罪。
对于过失类犯罪,是指当事人主观上没有作恶或犯罪的目的,比如因操作不规范导致公司代码泄露而造成经济损失的,这种非主动的情况在判罚上相比故意犯罪会轻一些。
比如说在一些数据泄露案件中,可能只是一个普通的操作,把代码放在某个公共平台上,因为操作不规范或保护不当,被黑客窃取了,那么这种是属于过失犯罪。
而对于故意犯罪的判定,娄鹤举了个例子,比如经常会听到一些P2P金融公司陷入非法集资或者集资诈骗的新闻,但是这个事件却把程序员抓进去了。从程序员的角度来说,有种情况就是起到一个帮忙实现功能的作用,而对于平台所参与的犯罪活动一概不知,这种情况下程序员仍然会被判为故意犯罪。因为从整体上的功能实现来说,程序员还是有主动参与的,法律上只是主犯和从犯的区别。但是归根到底,这是整个平台的商业模式的问题。
安全圈的“软件”防护不可少
如果说安全技术上的规避,是为硬件防护,那么法律安全意识就是“软件”防护。
2020年的RSA大会中,“人的因素”被定为了大会主题,这也表明了一种行业趋势,人在安全领域的作用会越来越大,越来越关键,那么构成企业的人员个体的法律安全意识的重要性不言自明。从技术人员安全上升到企业安全,企业员工个体如果没有这种法律的安全意识,那么对于企业自身而言也是岌岌可危的。当企业员工个体懂得如何去规避法律风险时,企业合规或许也就真正地有了着落。
在采访的最后,娄鹤为安全技术人员提出了一些建议来规避网络安全风险:
1、呼吁整个安全技术行业、都要增强法律风险意识。
2、多参加安全/法律培训;多关注与技术相关的违法犯罪案件,这些案件往往具有代表性,也是执法部门在阶段性整治、打击行动的风向标。
3、提高对高风险的技术、场景的辨识能力,如:爬虫、虚拟货币、个人数据、金融业务、漏洞挖掘。
4、多咨询专业律师的意见,不要凭感觉去做判断,很多问题都出在 “我以为”,但是法律并不是你以为的那样。
当然,简短的几行建议并不是行走安全圈的护身符,真正需要安全技术人员去做到的是对于安全法律的了然于心,当技术和法律的协同支撑,才能在未来走得更远。
希望安全技术人员能够保护好自己,享受技术的快乐、发挥技术的能量,共同造福社会,建设一个更安全、更高效、更丰富多彩的数字世界。
*本文作者:Sandra1432,转载请注明来自FreeBuf.COM