》因为对IT技术和互联网创新事业的热爱,我一直在关注这个行业,发现了一些现象和问题,尤其是安全技术人员的薄弱、指责、无意识的犯罪。反思和法律的投入专业人士。”“可惜”的感叹背后,隐藏着许多真实的法律案例。常言道,常在河边走,不湿鞋。有多少安全技术人员被网络安全的大河淹没在“淤泥”中?如今,与网络安全行业相关的法律法规不再是“一枝独秀”,而是“百花齐放”。在过去的几个月里,政府出台了多项与网络安全行业相关的法律法规,如新国家标准《个人信息安全规范》、《网络安全标准实践指南—远程办公安全防护》等,涉及多个领域和行业,可以得到实施和执行。然而近年来,科技却频频闯入法律的红灯区。因安全技术被关押的修炼者不在少数。如何在不触及这条高风险红线的情况下,把握住法律的边界?这是安全技术人员经常需要的。要思考的问题。此次请来楼河律师,就安保人员自身的安全问题进行探讨。娄禾,北京德和衡(上海)律师事务所,高级联席合伙人/律师。上海市科技创业导师,CISO(CertifiedInformationSecurityProfessional),原上海市律师协会互联网业务委员会委员。在网络信息安全、数据与隐私保护、网络犯罪等领域具有丰富经验,对国内外法律有深入研究。公平、公正、有点酷……这是很多律师的初衷,楼赫也是。此外,法律行业意味着个人有更大的施展空间,可以通过法律服务参与不同行业的经济发展。娄禾认为,数字经济的发展离不开技术的迭代和法律的规范。这个过程充满了不确定性、利益冲突和各种机会。互联网安全行业一直是娄鹤关注的对象。他就行业的整体发展给出了自己的一些看法:从目前的立法和执法情况来看,我国对互联网安全问题越来越重视。安全事件频发、网络威胁严重,国内数字经济的快速发展也需要更加安全的技术和法律环境。因此,面对网络安全产业法的兴起趋势,楼河认为这对整个行业的发展是有利的。随着网络安全法规和监管政策的不断实施,如:平等保护2.0、密码法、关键信息基础设施评估等,全社会对安全的关注度越来越高。但从实际来看,还是要从安全防护的评估、一些安全硬件的采购和部署入手,循序渐进。这需要一个过程。法规层面,以2016年出台的《网络安全法》为基础,作为顶层结构逐步铺开,在部分技术领域细化。这就像一棵不断生长和生根的树。总体网络安全法律体系是一个从抽象到具体、从概括到细化的不断完善的过程。为何“踩雷”殊不知网络安全形势的复杂性和多样化是行业法规出台和完善的一大推动力。除了企业合规风险上升之外,安全技术人员触及法律红线的事件也在增多,比如早年的“佳缘”案和近期的“微盟删库”事件。其中,楼河认为,其背后的原因是多方面的:一是网络技术更新换代快,应用形式多样,综合环境十分复杂。二是人员技术能力与法律意识、安全意识不匹配、不同步。这里的人员包括技术人员和管理人员。他们往往没有意识到技术的发展和更多样化的行业的使用实际上正在放大风险。比如一些造成社会混乱、投资者损失惨重的互联网金融事件就是这样。三是监管具有滞后性,普遍跟不上技术和应用发展的速度,会存在时间窗口期。短期内,将缺乏立法。同时,执法的尺度和界限也模糊,可能会造成一些误读。以上三个原因交织在一起。随着技术应用的多样化,用传统方法识别此类犯罪或违法行为的形式和情形将变得越来越困难。因此,在这种情况下,需要政府部门进行规范。从立法到执法的过程也需要时间,导致滞后。在这种情况下,可能会出现两种常见的结果。一是人员被技术的功能性和应用的多样性所迷惑,无法抓住本质,无法触犯规律。例如,某网站推出了红包活动来回馈客户。技术人员利用技术进行突破,冒领一些数字资产,变现。他可能不认为这是犯罪行为,他认为我只是技术好,不会被别人注意到。这虽然不同于直接去银行偷钱,但本质上也是一种偷窃行为。另一种是处于法律的模糊边界,不确定能否强制执行,但最终却充当了“替罪羊”的角色。特别是一些金融创新业务,边界模糊。这件事能不能做,比较摇摆不定。有时监管部门的态度比较暧昧,技术人员可能确实起到了背锅的作用。综上所述,安全技术人员容易在不知不觉中“踩雷”。原因有五:与技术相关的法律条文相对原则性、抽象性强,但实践具体、丰富多样,理解认知存在差异;技术人员认知有限,缺乏风险意识、警惕性和敏感性;灰色地带较多,边界模糊,尤其是创新业务,执法态度可能会随着形势的发展而变化;在单位犯罪中,技术人员往往要背锅。承担底层技术工作,却因上层商业模式不合法而受到牵连;商业竞争激烈,环境险恶,一些看似普通的技术问题也可能转化为刑事案件。爬虫场景的法律“歧义”安全技术人员容易踩到地雷的场景之一就是无法避免使用爬虫技术获取数据。爬虫被称为互联网行业的“淘金者”,但有时这个“淘金者”也会挖“地雷”。近年来,因爬行动物触犯法律而被曝光和判刑的事件较多。“因为写一个爬虫,公司200多人被抓了!”“来我公司写爬虫?要坐牢的那种!”这类新闻词也频频牵动技术人员的心,所以在使用爬虫进行信息迁移时,要自省三遍:是否违反了ROBOTS协议,爬取了对方的数据;是否绕过保护系统,爬取数据,甚至窃取个人敏感信息;是否侵入计算机信息系统,或因爬取数据行为影响对方服务器正常运行。另外,需要特别注意区分“非法”和“非法”。其中一些属于民事违法行为,比如爬取竞争对手的数据,将构成不正当竞争,可能会被对方提起民事诉讼。而当爬取的数据涉及个人敏感数据,或造成严重后果时,将构成刑事犯罪。爬虫本身并不违法,但是对于爬取的数据,由于其性质不同,如果归类,结果就不一样了。那些在爬虫场景中容易触及的法律法规,例如《网络安全法》第四十四条《网络安全法》任何个人和组织不得窃取或者以其他非法方式获取个人信息。因此,如果爬虫在未经用户同意的情况下大量抓取用户的个人信息,则可能构成非法收集个人信息的违法行为。非法侵入计算机信息系统罪。构成犯罪的,处五年以下有期徒刑或者拘役;构成犯罪的,处五年以下有期徒刑或者拘役。后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加,造成严重后果的,也构成犯罪,依照前款的规定处罚。侵犯商业秘密《反不正当竞争法》第九条,以不正当手段获取他人商业秘密的行为,构成侵犯商业秘密。日后进一步使用或披露该等信息,构成泄露、使用他人商业秘密,也构成对权利人商业秘密的侵犯。……因此,娄鹤建议,从事爬虫业务的企业和业务人员,要高度重视其潜在的法律风险,最好咨询网络安全律师,评估业务风险和合法性。“故意”和“过失”是分不清的。前段时间,微盟的删库事件引起轩然大波。其中,技术人员往往因各种因素“无心”作案。娄鹤指出,与技术相关的“无意”犯罪非常普遍。从人的主观判断来看,可以称为“无意”,但在法律上,分为“故意”和“过失”两种情况。一些技术人员因不懂法,不知道违法行为而犯罪。从刑法角度看,仍可认定为故意犯罪,不影响定罪。对于过失犯罪,是指当事人没有作恶的目的或主观上没有犯罪的目的,如因经营不规范导致公司代码泄露造成经济损失等。这种不主动的情况会比故意犯罪从轻处罚。例如,在一些数据泄露案件中,可能只是一次普通的操作,将代码放在公共平台上,由于操作不当或保护不当而被黑客窃取,这就是过失犯罪。对于故意犯罪的判断,楼河举了一个例子。比如经常听说一些P2P金融公司涉嫌非法集资或者集资诈骗,但是这件事却抓到了程序员。从程序员的角度来看,有一种情况是帮助实现了功能,但平台却完全不知道所涉及的犯罪活动。在这种情况下,程序员仍然会被判故意犯罪。因为在整体功能实现上,程序员还是主动参与的,在法律上只是主犯和从犯的区别。但归根结底,这是整个平台商业模式的问题。安全圈中的“软件”防护功不可没。如果说安全技术的规避是对硬件的保护,那么合法的安全意识就是对“软件”的保护。2020年RSA大会选择“人为因素”作为大会主题,也显示出一种行业趋势。人在安全领域的作用会越来越重要,组成企业的个人人员法律安全意识的重要性不言而喻。从技术人员的安全到企业的安全,如果企业员工个人没有这种法律安全意识,那么企业本身也岌岌可危。当企业员工个体懂得规避法律风险时,企业合规才可能真正实现。在采访的最后,楼河提出了安全技术人员规避网络安全风险的建议:呼吁整个安全技术行业增强法律风险意识。更多地参与安全/法律培训;更加关注科技违法犯罪案件,这些案件往往具有代表性,也是执法部门阶段性整治和打击行动的风向标。提高对爬虫、虚拟货币、个人数据、金融服务、漏洞挖掘等高危技术和场景的识别能力。多征求专业律师的意见,不要凭感觉做判断。很多问题都出自“我想”,但规律并不是你想的那样。当然,几句简短的建议并不是走在安全圈里的法宝。安全技术人员真正需要做的是对安全法有清晰的认识。只有技术和法律共同支撑,未来才能走得更远。希望安全技术人员保护好自己,享受科技带来的快乐,发挥科技的能量,共同造福社会,建设一个更安全、更高效、更丰富多彩的数字世界。
