虚拟的黑客与现实的法律

　　【√】黑客行为造成巨大的潜在风险，可能造成巨大的损失。世界各国普遍针对黑客行为规定了罪名与处罚

　　美国中情局雇员爱德华·斯诺飞抵香港，拉开了震惊世界的“棱镜门”事件的序幕。在香港，斯诺登通过英国《卫报》记者揭露美国自2007年开始实施棱镜计划。通过这个计划，美国政府向与各大互联网相关的公司索取资料、要求权限，甚至获得互联网最核心设备的后门权限，对全球互联网进行了深入监视。这意味着，全球互联网在美国政府面前，几乎是透明的。与阿桑奇的“维基解密”披露外交密电事件相比，“棱镜门”引起的震动有过之而无不及。

　　在一定程度上说，这是美国政府的黑客行为。此事比历史上任何一次黑客行为更引起关注，更能引大家对黑客的警惕。

　　黑客，还是骇客？

　　说起黑客，许多人也许会马上想到病毒、木马、盗版、网络攻击、信息窃取这一类词汇。一般人眼中的黑客的含义，其实并不是黑客本来的样子。

　　早期的黑客，即英文的Hacker，本意是指那些对计算机技术有浓厚兴趣的技术狂人，他们专注于计算机技术本身，以技术为傲。当时的黑客甚至是一个带有褒义的词语。正因为如此，比尔·盖茨也曾经被认为是Hacker的一员，这足以令绝大多数人感到惊讶。在今天，比尔·盖茨的名字是如此响亮，以至于不必写出这个名字的中文音译，大家也能够想到他是谁，但多数人大概不会认为他与黑客有什么关联。

　　要说著名的黑客与黑客事件，不同地域、不同职业的人也许会想起不同的人和事。但是有一个人，是绝对不可以忽略的，他就是传奇人物：凯文·米特尼克。说他是传奇，不是因为他是第一个被通缉的黑客，不是因为他15岁时入侵了北美防空系统，也不是因为他翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，更不是因为入侵了各大公司的数据库，而是因为他的事迹被不断转述，以讹传讹，演变成了传说：有人真的相信，他曾经在监狱里改装一台收音机以试图连接互联网。

　　凯文·米特尼克的行为，代表了当时黑客的风格。他们玩技术、探索各种可能性，但不打算、不屑以此直接谋利。美国当局就有人认为，如果凯文·米特尼克把获得的核弹数据卖给当时的苏联，至少可以获得50万美元，而美国要重新部署核弹，至少要数十亿美元。但是，凯文·米特尼克所做的，却不过是向同学炫耀了一下而已。

　　这类自认技术至上、有专业精神的黑客，往往只关注技术问题，不理会其他。有些黑客不在意其技术结果是否具有破坏性，也不考虑其技术发现是否可以赚钱，当然其中部分人会向电脑公司通报发现的软件漏洞，协助改进软件或者网站。这些黑客往往比较年轻，到一定年纪后，他们的人生取向通常发生分化，可能成为电脑与网络安全方面的专家，或者自己成立电脑安全方面的公司，或者进入企业担任安全方面的工作，甚至被政府吸收为网络军队的成员。

　　有“中国黑客教父”之称、绿色兵团创始人龚蔚表示，自由、免费、共享、互助，这才是黑客们所推崇的至高精神，“不利用自己的技术去谋取个人的利益”是黑客精神的基本准则。让人遗憾的是，当前社会公众对黑客的认识，早已经超出了当初“技术狂人”的范畴，更多的是与“Cracker”联系到了一起。

　　另一些自认为黑客的Cracker，直接利用黑客手段盈利，或者达到政治目的。他们更改页面表达立场，或者攻击网站索取金钱，或者破解软件贩卖盗版，或者盗取网站资料和个人信息用于出售，手段不一而足。中国人比较熟悉的Cracker，大概要数制造了世界上第一个能够破坏硬件的CIH病毒的陈盈豪，制造了“熊猫烧香”病毒的湖北人陈俊、“珊瑚虫”版QQ的陈寿福以及“番茄花园”版windows XP的洪磊。而一些较具有黑客（Hacker）精神的中国黑客，在一般中国公众中反倒没有多少知名度。例如“中国红客联盟”，以及其他参与了中外黑客攻防战的人，没有多少人知道他们的名字。

　　有人故意把Cracker翻译为“骇客”，强调与“黑客”的区分。尽管他们自认为是“黑客”的一分子，但他们与传统意义上的黑客区别是明显的：黑客更类似于网络世界的游侠，而骇客整体形象属于网络世界的流氓恶棍。

　　事实是，中国黑客的整体水平与西方国家的黑客相比还是有很大的差距。Windows系统的安全漏洞，能够首先发现，并通报微软公司的，基本上都是西方国家的黑客，鲜有中国人的身影。但是对那些技术至上的中国黑客来说，这并不妨碍他们对低技术含量的骇客的鄙视。

　　黑客是怎么活动的

　　提起黑客的行为，往往想起神秘的闪灯、跳跃的数字、天书般的代码和神出鬼没的行踪。一般公众不会在乎黑客和骇客究竟有没有区别，而对黑客（或者骇客）是怎样活动的也许更感兴趣。

　　在互联网出现之前，甚至更早，在PC（个人电脑）出现之前，黑客就出现了。他们是一帮技术牛人。甚至在单片机上自己编程，编写出一个自己专用的、独一无二的操作系统来。他们之间的交流，依靠的居然是纸媒介。在今天看来，是完全无法想象的。

　　在PC盛行的时代，逐步演进为Windows系统独步天下的时代，基本上不可能依靠个人力量写出一个操作系统来，因为其可用性、兼容性都是很成问题的。此时黑客们更感兴趣的通常是系统漏洞、软件缺陷等。他们对现有软件进行反向工程，如反编译、密码破解、脱壳解密等，甚至编写注册机（算号器）程序，从而绕过系统安装时的授权认证。微软公司为了保证其Windows系统及其他应用软件能够通过正常的销售获利，在正版验证方面下了大工夫。但是每个新版本的Windows系统一经推出，总是激起黑客群体的疯狂欲望，竞相设法破解。通常不出半年，Windows系统的正版验证程序就被完美地破解。

　　进入网络时代，黑客们的手段也与时俱进，网络攻击备受青睐。根据不同的分类标准，可以归纳为不同的网络攻击手段。常见的手段包括以下几类：

　　一是DDoS攻击，又叫拒绝服务攻击。例如通过操控大量计算机，同时向攻击目标发送访问请求，从而使其系统资源或者网络带宽被全部占用，或者向攻击目标发送特殊格式的数据包，当被攻击目标服务器的系统程序有特定漏洞时，会无法处理该数据包，最终把系统资源消耗殆尽。如此一来，网站将无法为正常使用的人提供服务。二是入侵类攻击。通过利用系统漏洞，或者通过穷举法等方法破解目标的账号密码，达到侵入目标的目的。三是欺骗式攻击。就是在网络上冒用他人的IP、ARP欺骗等，冒充其他计算机或者服务器等，利用假冒的身份，获取账户密码等信息。四是信息收集攻击。通过监听网络上公开传送的数据，分析其隐含的资料，从而获得其中包括的账号、密码等信息。

　　2010年1月12日，伊朗黑客入侵了美国某DNS服务器（负责把字母符号组成的域名地址转换成数字IP地址），把所有该DNS负责解释的域名都指向了“伊朗网军”的宣传内容。不幸的是，美国城门失火，殃及中国池鱼，中国的百度网的域名正好由该服务器解析。百度搜索引擎本身正常运行，所以百度公司还没有发现问题时，习惯于通过域名访问百度网站的中国网民，就发现不能访问百度网站了。此事引发了中国与伊朗的民间黑客大战，大量中国、伊朗的网站被攻击。

　　但是在中国以及世界各地，黑客的专业还在向另一个方向发展。一些利用黑客手段诈骗敛财的行业正在壮大。有专门的人编写病毒、木马，以便病毒式营销或者盗取账号密码；另一些人专门负责制作假网络，散布病毒、木马；一批人负责远程控制木马等获取客户资料；还有一些人专门负责收取诈骗所得。以如此的方式展现非专业的人员的专业分工，实在令人惊讶。

　　黑客攻击的法律防御

　　前中情局雇员斯诺登揭露棱镜门，一度被怀疑是出于政治动机。但是后来的报道表明，斯诺登最初的动机，不是政治问题，而是法律问题。

　　斯诺登揭露棱镜门与阿桑奇的维基解密很相似，又有明显的差异。他们揭秘的动机，都是法律问题，想要维护公众权利。但是阿桑奇的目标，是公众的知情权；而斯诺登的目标，是公众的隐私权。斯诺登不满美国政府的黑客行径，侵犯了美国公民的隐私权，违反了美国宪法。

　　讽刺的是，违法做出黑客行径的美国政府，要对付斯诺登时，还是要回归法律手段，以泄露国家秘密通缉斯诺登，要求“依法”引渡斯诺登回美国受审。

　　当然，美国政府不会为其黑客行径负法律责任。因为根据国际法上的国家豁免原则，一个主权国在未获同意下，不受另一个主权国法院的管辖（香港法院曾以国家豁免原则，判决美国基金FG Hemisphere Associates LLC起诉刚果政府一案不受香港法院管辖）。但是如果是非政府的黑客行为，就不可能被豁免了。

　　黑客的技术手段也许可以很厉害，也许可以成功隐藏自己的网络行踪。但是千万不要受电影《黑客帝国》的误导，以为黑客厉害得可以不受法律管束。依据黑客的行为、性质与结果，黑客个人或者黑客组织可能要承担民事侵权责任或刑事犯罪责任。

　　黑客行为造成巨大的潜在风险，可能造成巨大的损失。世界各国普遍针对黑客行为规定了罪名与处罚。当年凯文·米特尼克被捕后因为无法可依，无法定罪，只能送进少年犯管教所，但在21世纪的今天，这样的历史不会重演了。

　　在国内，影响最大的案例发生在2009年5月19日。当天晚上21时50分开始，江苏等六省区网络突然“瘫痪”，全国20多个省区的网络受到不同程度影响。后来查明，是因为私服之间的竞争，一方私服攻击另一方私服不成，转而攻击对方使用的DNS服务器，并使其瘫痪。没想到该DNS服务器也为“暴风影音”软件提供域名解析服务。全国一半的电脑都安装了“暴风影音”软件，而该软件有个“流氓”做法：定时自动联网到暴风影音网站下载广告。由于为“暴风影音”软件提供域名解析服务的DNS服务器瘫痪，全国一半的电脑找不到连接暴风影音网站的“路标”，因而自动转向电信的DNS根服务器，巨大的访问量，相当于DDoS攻击的效果，结果导致电信的网络瘫痪了。2009年12月15日，常州市天宁区法院以“破坏计算机信息系统罪”，判处5名被告人有期徒刑八个月至一年三个月不等。

　　我国的《刑法》除了第二百八十六条规定了“破坏计算机信息系统罪”，还在第二百八十五条规定了“非法侵入计算机信息系统罪”、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、“提供侵入、非法控制计算机信息系统程序、工具罪”。这些基本上是为黑客“量身定做”的罪名。为了应对黑客攻击、网络病毒等违法犯罪活动的严重威胁，2011年8月29日，最高人民法院、最高人民检察院联合公布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，初步构筑起了一道应对黑客犯罪的法律“防火墙”。

　　除此之外，我国《刑法》还规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”这意味着，利用黑客手段或者利用计算机实施其他犯罪，也可能触犯《刑法》其他条款的规定，构成其他犯罪。例如前面提到的“番茄花园”的作者洪磊及其他同案被告人、被告单位均被以“侵犯著作权罪”判处有期徒刑、没收违法所得，并处罚金。

　　黑客与法律的关系将走向何方

　　当我们的生活与互联网、智能手机越来越密不可分，网络购物、网银操作越来越普及时，遭遇黑客犯罪的风险也水涨船高。2010年6月，中国国务院新闻办公室曾发布一份《中国互联网状况》白皮书。白皮书指出，近年来，中国的网络犯罪呈上升趋势，各种传统犯罪与网络犯罪结合的趋势日益明显，据统计，1998年公安机关办理各类网络犯罪案件142起，2007年增长到2．9万起，2008年为3．5万起，2009年为4．8万起。在这些网络犯罪案件中，相当一部分属于制作传播计算机病毒、入侵和攻击计算机的“黑客”犯罪。

　　随着黑客程序商品化和黑客犯罪技术门槛的降低，黑客犯罪呈现高发态势，打击网络犯罪的法治之网也正在步步收紧。但这个过程不仅伴随着巨大的理论和社会伦理的争议，实践中也存在诸多难题。

　　以珊瑚虫QQ作者陈寿福案为例，2008年3月，深圳市南山区法院判决陈寿福犯侵犯著作权罪，判处其有期徒刑三年，并处罚金120万元。该判决在当时就引起极大争议，就腾讯公司而言，腾讯QQ发展过程中，也曾饱受质疑，许多人认为腾讯公司也曾经直接把别人的程序代码拿来使用，这是公开的秘密。从这个角度而言，腾讯要求追究珊瑚虫QQ作者的责任，在道义上是站不住脚的。此外，陈寿福虽然从广告上获利，但QQ软件本身是免费的，陈寿福不是直接出售QQ软件获利，腾讯公司没有版权上的损失；从法律的学术研究的角度，其行为的定性也是可以争论的。

　　在外国也同样存在极具争议性的案例，如著名的“海盗湾”案。“海盗湾”网站是由瑞典的一个民间反版权组织海盗署成立，是全球最大的BT种子下载站，其本身虽然不直接存储文件，也不直接提供下载，但是作为P2P（个人到个人）下载的种子服务器，为网民提供了自由分享或者获得其他人分享的任意文件的便利。其提供的BT种子除了有自由版权的资源，也有著作人拥有商业版权的音频、视频、电脑软件等。相关诉讼在多个国家分别进行，而法院给出的答案都很明确。2009年，“海盗湾”网站服务器所在的瑞典，判决该网站的四名创始人有罪；还有多个国家的法庭法官判决要求关闭或者封锁该网站。其争议在于，在互联网共享精神与版权之间，究竟谁更重要？自由版权资源与开源软件共享权利，相对于商业版权，谁更重要？

　　当前还有一个重要动向是，越来越多人借助“黑客”行为来表达自己对社会问题的看法和态度。今年7月，湖南临武县瓜农邓正加被当地城管群殴致死，尸体被当地政府出动警力强行运走后，该县政府网被黑，黑客在网站首页醒目位置留言：“多行不义必自毙，致抢尸县长！”2009年躲猫猫事件、2011年蒙牛乳业产品黄曲霉毒素超标事件、2012年修正药业“毒胶囊”事件中，相关地方政府和企业都曾遭受官网被黑的待遇。在这些事件中，网络黑客的举动得到了社会舆论一边倒的支持，问题是，在法律上，他们的行为属于危害计算机信息系统的违法犯罪活动，还是一种新型的、另类的行使言论自由权和批评监督权的行为？

　　分享精神是互联网发展的重要推动力。在电脑与互联网这个全新的事物面前，我们是否还应当坚持传统的版权、隐私与安全规则？我们承认互联网络不是法外之地，这意味着必须对网络施加必要的管制，但另一方面，我们是否也应该承认互联网自由、开放的特性，为网络留下足够的自由空间，并尊重公民在网络上的合法权益？我们认为，一方面，法律总是要适应社会发展不断修正；另一方面，法律，尤其是刑法必须保持足够的谦抑性，防止过于刚性的法律损害弥足珍贵的创新精神和自由空间，从而成为科技发展和社会进步的绊脚石。

　　在司法实践中，打击黑客犯罪也存在不少难题。为了规避法律制裁，黑客也在与时俱进，选择不同的发展方向。

　　一类是力图洗白。这类黑客或者黑客组织尝试转型，从事网络安全方面的咨询或者直接提供安全服务。利用自身的知识技术与经验，通过合法的经营实现营利。传奇般的黑客凯文·米特尼克，就成功地转型成为网络安全咨询师，还出版了两本书。部分中国的黑客也有类似的经历。

　　第二类是向分工的专业化转型。入侵或者破解由黑客完成，但是后续的谋利等行为，由其他人做，最终收钱的可能又是另外的人。他们试图以分散的行为，来分散法律风险，或者把其他人推出去抛头露面，自己躲在暗处隐藏起来。

　　第三类人殚精竭虑，想要游走在法律的灰色地带。常见的是在侵权作品上附加声明：只供学习研究之用，不得用于其他目的，看完必须及时删除。或者是试图使自己的行为看起来“无害”。例如侵入他人网站后，不修改、不盗取资料，只是偷偷“加黑链”——在他人网站隐蔽地添加自己网站的链接，从而提高自己网站的“曝光率”。另一方面，侦查、司法机关在打击黑客犯罪方面也存在管辖权属不明、证据收集困难、技术人才较为缺乏等等障碍，严重影响了对黑客犯罪的打击力度。

　　世界黑客大会每年都在美国举行，近几年来美国政府都派员出席，还现场招募人员，显示了美国政府既打击又培养的态度。中国也有名噪一时的“红客”和“红客联盟”。棱镜门后，有报道说今年的美国黑客大会拒绝了美国政府人员出席，说明了黑客们也有自己的立场。

　　黑客们在分化，在演变，社会也因应互联网的影响而不断修正。例如，深受网络侵权之苦的电影公司、唱片公司都曾经努力寻求法律支持，封锁互联网上的电影与音乐分发，以维护传统的电影、唱片发行方式，进而维护版权收益，但时至今日，终究要面对网上发行的现实。

　　这场矛与盾的攻防战下一步会如何发展目前还不好预测，但可以肯定的是，我们希望看到黑客与法律、与社会互相影响，不断互相调整，最终推动整个互联网技术和社会向正确的方向前进。

　　王曦晖 陈俊涛／文