“由于對IT技術、互聯(lián)網(wǎng)創(chuàng)新業(yè)務的熱愛，始終在關注這個行業(yè)，也發(fā)現(xiàn)了一些現(xiàn)象和問題，特別是安全技術人員的弱勢、背鍋、無意識犯罪，感到非?？上?，也值得社會反思和法律人的投入。”

一句“可惜”的感嘆背后是多少個真實的法律案例。正所謂常在河邊走，哪有不濕鞋。網(wǎng)絡安全這條大河又讓多少安全技術人員腳底沾“泥”而不自知?

如今，網(wǎng)絡安全行業(yè)相關的法律法規(guī)不再是“一枝獨秀”，而呈“百花齊放”之勢。在剛過去的幾個月內(nèi)，政府就出臺了多部網(wǎng)絡安全行業(yè)相關的法律法規(guī)，比如新版國家標準《個人信息安全規(guī)范》、《網(wǎng)絡安全標準實踐指南—遠程辦公安全防護》等，涉及領域之多樣，行業(yè)之細，可落地、可執(zhí)行。

然而，近幾年，技術卻頻頻闖入法律的紅燈區(qū)，因為安全技術而鋃鐺入獄的從業(yè)者不在少數(shù)，如何去把握法律的邊界而不觸及這條高危紅線?這是安全技術人員常常需要思考的問題。此次邀請到婁鶴律師來聊一聊安全技術人員自身的安全問題。

?[[323367]]?

婁鶴，北京德和衡(上海)律師事務所，高級聯(lián)席合伙人/律師。上海市科技創(chuàng)業(yè)導師，CISO(注冊信息安全專業(yè)人員)，曾任上海市律師協(xié)會互聯(lián)網(wǎng)業(yè)務委員會委員。在網(wǎng)絡信息安全、數(shù)據(jù)及隱私保護、網(wǎng)絡犯罪等領域擁有豐富經(jīng)驗，對境內(nèi)外法律均有深入研究。

公平、正義，再帶點酷炫……這是多少律師從業(yè)者的初心，婁鶴亦是如此。除此以外，律師行業(yè)對個人意味著有更多施展的空間，可以通過法律服務參與到經(jīng)濟發(fā)展的不同行業(yè)。

婁鶴認為，數(shù)字化經(jīng)濟的發(fā)展，離不開技術的迭代，也離不開法律的規(guī)范，在這個過程中充滿著不確定性、利益沖突、各種機會。互聯(lián)網(wǎng)安全行業(yè)一直是婁鶴的關注對象，對于行業(yè)的整體形勢發(fā)展他給出了一些自己的看法：

因此，面對網(wǎng)絡安全行業(yè)法律的新興態(tài)勢時，婁鶴認為對整體行業(yè)發(fā)展是利好。

在法規(guī)層面，以2016年出臺的《網(wǎng)絡安全法》為基點，作為頂層架構逐步擴散，具體細化到一些技術領域。這就類似一棵樹一樣，往下不斷生長扎根。整體網(wǎng)絡安全法律體系是逐漸地從抽象到具體，從籠統(tǒng)到細化，不斷完善的過程。

何以“踩雷”卻不自知

網(wǎng)絡安全形勢的復雜化和多樣化是催生行業(yè)法規(guī)的出臺和完善的一大動力。除了企業(yè)合規(guī)風險上升，安全技術人員觸及法律這條紅線的事件也在增加，比如早期的“世紀佳緣”案件、近期的“微盟刪庫”事件等。

其中，婁鶴認為背后的原因有多個方面：

• 一是網(wǎng)絡技術更新很快，應用形式多樣，綜合環(huán)境很復雜。
• 二是人員的技術能力，與法律意識、安全意識不匹配、不同步。這里的人員，包括技術人員，也包括管理人員。他們往往沒有意識到技術的發(fā)展和更多樣化的行業(yè)運用，其實是在放大風險。比如引發(fā)社會混亂和投資人損失的一些互聯(lián)網(wǎng)金融事件，就是如此。
• 三是監(jiān)管具有滯后性的特點，一般跟不上技術和應用發(fā)展的速度，會留有時間窗口期，短期內(nèi)存在立法缺位的現(xiàn)象，同時執(zhí)法的尺度、邊界也比較模糊，這些都可能引起一些誤讀。

以上三個原因之間是相互交織的，隨著技術應用的多樣化，用傳統(tǒng)的方法去識別這種犯罪或者違法的形態(tài)和情況也會越來越難。因此，在這種情況下，政府部門需要進行規(guī)范。從立法到執(zhí)法，這個過程也需要時間，從而導致了滯后性。

這種情況下容易出現(xiàn)兩種比較普遍的結果，一種是人員被技術的功能性和應用的多樣性所迷惑，無法把握本質(zhì)而違法。

比如說某網(wǎng)站推出的對客戶獎勵的紅包活動，技術人員用技術去突破，去冒領一些數(shù)字財產(chǎn)，將其變現(xiàn)。他可能不覺得這是一個犯罪的行為，他覺得我只是技術比較牛,不會被人察覺。雖然這不同于直接去銀行竊取錢財，但是本質(zhì)上它其實是一個偷盜的行為。

另一種是處在法律的模糊邊界，并不確定是否可以執(zhí)行，但最后做完又充當了“替罪羊”的角色。

特別是一些金融創(chuàng)新類的業(yè)務，處在模糊邊界，這個東西到底能不能做，本身是比較搖擺的。有時候監(jiān)管部門的態(tài)度也比較曖昧，那么技術人員可能確實會充當一些背鍋的這樣的角色。

總結來說，安全技術人員容易“踩雷”而不知，有以下五點原因：

• 技術相關法律條款相對原則、抽象，但實踐又是具體、豐富和多樣的，存在理解和認知上的差異;
• 技術人員的認知局限，缺乏風險意識、警惕性和敏感性;
• 存在不少灰色的地帶、模糊的邊界，特別是創(chuàng)新業(yè)務，執(zhí)法態(tài)度可能會隨著事態(tài)的發(fā)展發(fā)生變化;
• 在單位犯罪中，技術人員往往要背鍋，他們承擔了底層的技術工作，但因為上層商業(yè)模式的違法性，而受到牽連;
• 商業(yè)競爭激烈、環(huán)境兇險，一些看似普通的技術問題，也可能會轉化成刑事案件。

爬蟲場景的法律“曖昧”

安全技術人員容易踩雷的場景之一，是避不開用爬蟲技術獲取數(shù)據(jù)。爬蟲被稱為互聯(lián)網(wǎng)行業(yè)的“黃金礦工”，然而有時候這位“黃金礦工”也是會挖到“地雷”的。近幾年，因為爬蟲觸及法律的事件，曝光的和判刑的都比較多。

這類新聞字眼也是頻頻挑動著技術人員的心，所以在利用爬蟲開展信息搬運時，應三省吾身：

• 是否違反ROBOTS協(xié)議，爬取對方數(shù)據(jù);
• 是否繞過防護系統(tǒng)，爬取數(shù)據(jù)，甚至竊取個人敏感信息;
• 是否入侵計算機信息系統(tǒng)，或因爬取數(shù)據(jù)的行為影響對方服務器正常運行。

另外需要特別注意，對“違法”要做區(qū)分，有的是民事違法，比如爬取競爭對手的數(shù)據(jù)，會構成不正當競爭，可能被對手提起民事訴訟。而當爬取的數(shù)據(jù)涉及個人敏感數(shù)據(jù)，或造成了嚴重后果的，則會構成刑事犯罪。

爬蟲本身其實并不違法，但是對于爬取的數(shù)據(jù)，因其性質(zhì)進行分類，結果就不一樣了。那些在爬蟲場景下容易觸及的法律法規(guī)，比如，

因此，婁鶴建議開展爬蟲業(yè)務的公司及業(yè)務人員，要十分重視其潛在的法律風險，最好咨詢網(wǎng)絡安全律師的意見，對業(yè)務風險及合法性進行評估。

“故意”“過失”傻傻分不清

前段時間，微盟刪庫事件引起軒然大波，嫌疑人是企業(yè)內(nèi)部的運維人員，涉嫌故意“刪庫”泄憤，這類情況屬于少數(shù)案例，而日常生活中，技術人員往往是因為各種因素而導致的“無意”犯罪。

婁鶴指出，對于技術類的“無意”犯罪是十分常見的。從人的主觀判斷上來說，可以稱之為“無意”，但是在法律上，是分為“故意”和“過失”兩種情況。

• 有些技術人員因為不懂法，沒有意識到違法而犯罪的，從刑法上依然可以被認定為是故意犯罪，不影響定罪。
• 對于過失類犯罪，是指當事人主觀上沒有作惡或犯罪的目的，比如因操作不規(guī)范導致公司代碼泄露而造成經(jīng)濟損失的，這種非主動的情況在判罰上相比故意犯罪會輕一些。

比如說在一些數(shù)據(jù)泄露案件中，可能只是一個普通的操作，把代碼放在某個公共平臺上，因為操作不規(guī)范或保護不當，被黑客竊取了，那么這種是屬于過失犯罪。

而對于故意犯罪的判定，婁鶴舉了個例子，比如經(jīng)常會聽到一些P2P金融公司陷入非法集資或者集資詐騙的新聞，但是這個事件卻把程序員抓進去了。從程序員的角度來說，有種情況就是起到一個幫忙實現(xiàn)功能的作用，而對于平臺所參與的犯罪活動一概不知，這種情況下程序員仍然會被判為故意犯罪。因為從整體上的功能實現(xiàn)來說，程序員還是有主動參與的，法律上只是主犯和從犯的區(qū)別。但是歸根到底，這是整個平臺的商業(yè)模式的問題。

?[[323368]]?

安全圈的“軟件”防護不可少

如果說安全技術上的規(guī)避，是為硬件防護，那么法律安全意識就是“軟件”防護。

2020年的RSA大會中，“人的因素”被定為了大會主題，這也表明了一種行業(yè)趨勢，人在安全領域的作用會越來越大，越來越關鍵，那么構成企業(yè)的人員個體的法律安全意識的重要性不言自明。從技術人員安全上升到企業(yè)安全，企業(yè)員工個體如果沒有這種法律的安全意識，那么對于企業(yè)自身而言也是岌岌可危的。當企業(yè)員工個體懂得如何去規(guī)避法律風險時，企業(yè)合規(guī)或許也就真正地有了著落。

在采訪的最后，婁鶴為安全技術人員提出了一些建議來規(guī)避網(wǎng)絡安全風險：

• 呼吁整個安全技術行業(yè)、都要增強法律風險意識。
• 多參加安全/法律培訓;多關注與技術相關的違法犯罪案件，這些案件往往具有代表性，也是執(zhí)法部門在階段性整治、打擊行動的風向標。
• 提高對高風險的技術、場景的辨識能力，如：爬蟲、虛擬貨幣、個人數(shù)據(jù)、金融業(yè)務、漏洞挖掘。
• 多咨詢專業(yè)律師的意見，不要憑感覺去做判斷，很多問題都出在 “我以為”，但是法律并不是你以為的那樣。

當然，簡短的幾行建議并不是行走安全圈的護身符，真正需要安全技術人員去做到的是對于安全法律的了然于心，當技術和法律的協(xié)同支撐，才能在未來走得更遠。

希望安全技術人員能夠保護好自己，享受技術的快樂、發(fā)揮技術的能量，共同造福社會，建設一個更安全、更高效、更豐富多彩的數(shù)字世界。