漏洞银行法律援助

1. 测试网站安全性,如何做才不犯法?

按照《刑法》第二百八十五条的规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。构成此类型犯罪需同时具备三个条件:1、侵入计算机系统;2、获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;3、情节严重的。(情节严重请参考《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》)。只有这三个条件同时具备才构成犯罪,要受到刑罚。即侵入计算机系统,但没有获取数据,或者获取数据,但情节不严重,不构成犯罪,不受刑法处罚。

2. 找到一个高危漏洞,能否联系厂商,向厂商索要礼物,是否犯法?

如果仅进入到厂商计算机系统进行测试,并没有获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,并没有造成严重后果,不构成犯罪,不用承担刑罚后果。但如果以漏洞向厂商索要礼物,此行为涉嫌敲诈勒索,情节比较严重时,将构成犯罪,需要承担刑事责任。

3. 测试时,不小心删除了网站数据,导致网站无法正常服务,如何处理?

根据《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。是否够成上述罪名,取决于后果是否严重。按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,只要"造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的"就可以构成这个罪名。在此情况下尽可能与网站所有者进行沟通,达成谅解,不予追究刑事责任。

4. 白帽子的行为是否会违反刑法,是否构成犯罪?

白帽子的行为很有可能会违反刑法第二百八十五条、第二百八十六条,是否构成犯罪,取决于白帽子的行为是否会产生严重的后果。第二百八十七条,是对利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的行为的规定,与白帽子行为无关。

5. 公开厂商漏洞是否存在法律问题?

白帽子公开漏洞,如果造成严重后果,将存在法律问题。比如,将细节进行公开,导致厂商网站漏洞全部暴露,该行为很有可能导致厂商网站被黑客入侵。如果黑客的破坏行为达到"后果严重"的标准,那么白帽子的行为肯定不会得到厂商认可。同时由于此种行为帮助黑客实施犯罪行为,这种情况下,白帽子的行为间接造成厂商损失,很有可能需对厂商所遭受的损失承担一定的赔偿责任。

6. 读取少量数据测试,是否存在法律风险?

按照法律规定,只要是进入他人的计算机系统,获取该计算机信息系统中存储、处理或者传输的数据,就有可能构成犯罪,但这个行为是否构成犯罪主要看后果是否严重,“后果严重”的标准以《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定为准,如果达到这个标准就构成犯罪。

7. 联系厂商存在漏洞,他们说要报警抓我,这种情况该怎么办?

按照《治安管理处罚法》第二十九条、《刑法》第二百八十五条的规定,只有在未经允许侵入厂商的计算机系统;获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;情节严重的,这三点同时具备的前提下才构成犯罪。如果情节不严重,不构成犯罪,最多是一种轻微的违法行为,不应受到刑法处罚。

8. 拿到授权进行测试,授权范围内造成了致命性危害,会算违法吗?

授权测试,最好事先与计算机系统所有者就测试行为签署书面文件,就测试的方法、流程、相关的细节、有可能造成的后果都约定清楚。有了约定,如果由于失误造成致命性危害,并且是在约定范围内的,是不属于违法,也不用承担任何责任后果。

9. 测试支付逻辑漏洞时,需要注意哪些问题?

在测试支付逻辑漏洞时,白帽子请严格遵守测试规范,不得对厂商造成实际的业务损失和影响。

参考链接:漏洞银行法律援助