惡意公布\\售賣計算機安全漏洞行為入罪化的思考

摘 要:惡意公布、售賣計算機安全漏洞，幾乎是所有網絡犯罪的源發行為。在網絡犯罪已經逐漸開始形成“產業鏈”的今天，從源頭上打擊具有巨大社會危害性的惡意公布、售賣計算機安全漏洞行為，可以起到釜底抽薪的作用。在傳統刑法視野中，惡意公布、售賣計算機安全漏洞往往會被評價為其他網絡犯罪的幫助行為，因而造成了此類行為在定罪量刑上的天然依附性，造成了司法實踐中難以定罪和量刑過低的司法困境。考察幫助行為在立法上進行實行犯化的具體模式，將惡意公布、售賣計算機安全漏洞行為加以獨立入罪化是當務之急。關鍵詞: 計算機安全漏洞 ;黑客犯罪;幫助行為;網絡犯罪;立法完善

中圖分類號:文獻標識碼:A DOI:10.3969/j.issn.1001-2397.2010.02.09

在互聯網成為人們生活必備要素的新時代，互聯網為我們的生活帶來了前所未有的便利與進步，但是，由于互聯網自身成為越來越重要的利益載體，因而不斷地遭受著黑客們的攻擊與破壞。近年來，計算機病毒類型呈現出激增狀態，瑞星公司《2008年度中國大陸地區電腦病毒疫情互聯網安全報告》指出，2008年的病毒數量比2007年增長12倍以上。僅在2008年1月至10月，瑞星公司就截獲新病毒樣本930余萬個，而2007年截獲的新病毒樣本有91萬余個，2006年為53萬余個，2005年為16萬余個，2004年為6萬余個[1]。計算機病毒類型的爆發式增長，嚴重沖擊著網絡安全。病毒的激增很大程度上依賴于病毒制造的產業化，而惡意公布甚至有償出售計算機信息系統中的安全漏洞，則是病毒“產業鏈”中最關鍵的一環。瑞星公司《2008年度中國大陸地區電腦病毒疫情互聯網安全報告》指出:“從技術上講，目前的病毒產業鏈條由四個部分組成:挖掘安全漏洞、制造網頁木馬、制造盜號木馬、制造木馬下載器(病毒下載者)。這些環節形成了分工明確、效率快捷的工業化‘生產線’。”由此可見，挖掘安全漏洞并加以惡意公布和售賣，已經成為病毒“產業鏈”中重要的一環。

一、安全漏洞及其可能引發的危害

計算機病毒之所以能夠進入計算機信息系統，其根本原因就在于:計算機自身存在著一定的安全漏洞，這給了計算機病毒以可乘之機。

(一)安全漏洞的概念

顧名思義，安全漏洞，是指計算機信息系統在使用過程中存在的安全隱患。這些漏洞因何而生，需要進行專業上的探究。從專業角度講，“漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統”[2]。由此可以看出，漏洞在本質上是一種缺陷。簡單地進行類型劃分，此種缺陷又可以細化為3個方面，即硬件缺陷、軟件缺陷與協議缺陷。具體來說，硬件缺陷如在Intel pentium芯片中存在的邏輯錯誤;軟件缺陷如在Sendmail早期版本中的編程錯誤;協議缺陷如在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題。這些缺陷都可能被攻擊者使用，威脅到系統安全，因而都可以認為是系統中存在的安全漏洞[2]。

(二)安全漏洞的性質

“安全漏洞”這一術語，單從表面上看，具有的一定的專業性，不易于理解。那么，應該如何理解安全漏洞的性質呢?微軟中文網站有一段對安全漏洞進行定義的文字，它可以幫助理解安全漏洞的性質:“即使使用者在合理配置了產品的條件下，由于產品自身存在的缺陷，產品的運行可能被改變以產生非設計者預期的后果，并可最終導致安全性被破壞的問題，包括使用者系統被非法侵占、數據被非法訪問并泄露，或系統拒絕服務等。我們將這些缺陷稱為安全漏洞。”[3]這一定義將微軟設計的軟件稱之為產品，而將微軟設計的軟件自身所具有的缺陷稱之為安全漏洞。由此可見，存在于計算機中的安全漏洞，其本質即為產品缺陷。這種缺陷并非計算機軟、硬件的制作者由于疏忽大意遺留下來的缺陷，而更多地屬于一種在計算機軟、硬件的設計過程中所不可避免的缺陷。

應當說，安全漏洞是計算機軟、硬件產品所固有的缺陷。安全漏洞的固有性表現為，計算機軟、硬件雖然經過研發人員的層層檢測，但是，仍然避免不了存在安全漏洞。隨著計算機用戶的不斷深入使用，軟、硬件的漏洞會不斷地被發現，這些漏洞雖然可以用供應商的軟件補丁進行修補，但是，修補之后的系統又會引發新的漏洞。實際上，“安全漏洞的出現，是因為人們在對安全機制理論的具體實踐中發生了錯誤，是意外出現的非正常情況。而在一切由人類實現的系統中都會不同程度的存在實現和設置上的各種潛在錯誤。因而在所有系統中必定存在某些安全漏洞。”[2]由此可見，安全漏洞的本質是產品缺陷，這種缺陷又具有固有性、隱蔽性、不可避免性。

(三)安全漏洞可能引發的危害

安全漏洞雖然是計算機軟、硬件所固有的屬性，但是，由于它具有隱蔽性，通常情況下不易被發現與利用。然而，安全漏洞一旦被別有用心的黑客們發現，黑客們就會利用這些安全漏洞，編寫有針對性的攻擊程序，非法進入用戶的個人電腦進行攻擊。具體而言，這些黑客的攻擊可以分為兩種類型，即破壞性攻擊和竊密型攻擊。破壞性攻擊是指入侵者利用計算機軟、硬件的安全漏洞，對目標計算機的運行程序進行破壞性攻擊。這種攻擊又可以細分為兩類:一類為直接對計算機系統自身的破壞;一類為對網絡服務的破壞。對計算機系統的破壞，例如，2000年前后出現的只能感染Windows 95/98操作系統的CIH病毒。(注:該病毒發作時，硬盤一直轉個不停，所有數據都被破壞，硬盤分區信息也將丟失，甚至可能破壞某些類型的主板的電壓，改寫只讀存儲器的BIOS。)這種病毒即是一種利用系統的安全漏洞對計算機系統硬件進行破壞的惡性病毒。對網絡服務的破壞，例如，最近幾年頻發的拒絕服務攻擊(Dos)與分布式拒絕服務攻擊(DDoS)[4]，這種攻擊的破壞性在于，利用網絡協議(TCP協議)自身存在的缺陷，發送大量偽造的TCP連接請求，使被攻擊方的資源耗盡，CPU滿負荷或者內存不足，從而使被攻擊的主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求，造成網絡癱瘓。(注:2009年5月18日，我國江蘇、安徽、廣西、海南、甘肅、浙江等省份出現的罕見的斷網故障，即為針對網絡服務進行的分布式拒絕服務攻擊的現實案例。)竊密型攻擊是指入侵者利用計算機配置的軟件漏洞，向用戶的計算機植入木馬程序，以此盜取用戶的私密信息，例如，網銀帳號和密碼、網游帳號和密碼、秘密信息資料等。可以說，安全漏洞是黑客發動攻擊所必須依賴的路徑，安全漏洞一旦被黑客挖掘并惡意利用，將會對計算機用戶產生不同程度的危害。二、安全漏洞的挖掘及其后續處置行為的模式

安全漏洞是計算機軟、硬件(產品)固有的、不可避免的缺陷，此種(產品)缺陷一旦被發現(挖掘)，將成為黑客們進行攻擊的導火索，引發不同程度的使網絡受到威脅甚至是破壞的安全事件。

(一)關注和挖掘安全漏洞行為的主體

計算機軟、硬件作為一種應用產品被研制開發出來之時，安全漏洞必然同時伴生。安全漏洞一旦被惡意利用，就能夠給計算機用戶的系統安全帶來直接的威脅甚至是破壞，因此安全漏洞成為黑客與維護網絡安全的專家們共同關注的問題。由此，挖掘安全漏洞的行為也因行為主體與行為動機的不同而具有了不一樣的性質與地位。

關注安全漏洞的主體可以分為兩大陣營:一方面為黑客;另一方面為維護網絡安全的專家。黑客們關注和挖掘安全漏洞，是為了利用安全漏洞實施攻擊;而維護網絡安全的專家們關注和挖掘安全漏洞，是為了在黑客發現安全漏洞之前修復漏洞，使計算機軟、硬件能夠在安全的環境下使用，避免發生網絡安全事件。另外，一些普通的計算機用戶，在使用計算機的過程中，也可以在無意中發現安全漏洞。這一部分主體既可能成為黑客陣營的幫兇，也可能成為維護網絡安全專家的同盟，其主體地位具有一定的特殊性。值得注意的是，實踐中已經出現軟、硬件廠商的研發人員出于各種目的而私下惡意公布、售賣安全漏洞的行為。

(二)安全漏洞在黑客“產業鏈”中的作用和地位

挖掘安全漏洞、惡意無償公布和售賣安全漏洞已經成為黑客產業鏈中重要的一環。挖掘、發現安全漏洞是病毒制作、傳播的重要前提，可以說，沒有安全漏洞，就沒有病毒傳播的空間。挖掘安全漏洞在黑客“產業鏈”中具有至關重要的地位。在黑客行為的最初發展階段，攻擊過程一般都是由黑客個人完成的，即黑客個人自行發現計算機系統的安全漏洞，并針對此項安全漏洞編寫病毒程序實施黑客攻擊;但是，隨著互聯網的快速發展，黑客行為已經發展為一條龐大的具有明確分工的“產業鏈”。在這一條黑客“產業鏈”中，挖掘、發現安全漏洞已經成為獨立的一環。一部分黑客專門負責尋找、挖掘、發現安全漏洞，再將發現的安全漏洞提供、售賣給負責編寫病毒程序的黑客，甚至是惡意地將安全漏洞公布在互聯網上，而“黑客組織購買了漏洞信息后，利用這些信息編寫強大的新病毒”[1]，最終實現黑客攻擊。從理論上講，計算機軟、硬件的漏洞均可以被黑客挖掘利用，但是，目前被黑客利用最多的則是軟件漏洞。計算機軟件漏洞已經成為黑客們制造、傳播病毒和實施黑客攻擊的一個重要前提，“通過用戶電腦系統中安裝的軟件存在的漏洞，病毒可以快速的在用戶不知情的情況下進入互聯網用戶電腦”[1]。由此可見，挖掘、發現安全漏洞在黑客產業鏈中具有舉足輕重的地位。如果沒有對安全漏洞進行挖掘與發現，黑客們就無法制作可以侵入計算機系統的病毒程序，但是，如果沒有對安全漏洞進行公布或者售賣，黑客“產業鏈”就難以擴大，其社會危害性也就無法加以無限度地擴張。

(三)安全漏洞被挖掘后的去向分析

安全漏洞被挖掘之后，它的去向可以分為3個部分:一部分為直接提供、售賣給黑客或黑客組織;另一部分為在網上公開披露;一部分為向軟、硬件廠商報告。

1.將安全漏洞直接提供、售賣給黑客或者黑客組織

就安全漏洞被直接提供給黑客或者黑客組織這一去向來說，這一部分挖掘安全漏洞的行為人按其對安全漏洞的處理方式可以劃分為以下兩種類型:第一種是挖掘、發現安全漏洞的黑客直接歸屬于某一黑客集團，僅為某一固定組織挖掘安全漏洞。這些挖掘安全漏洞的黑客作為黑客集團完成某項黑客攻擊行為的參與者，專門為這一黑客集團挖掘安全漏洞，與黑客集團具有隸屬協作關系;第二種是挖掘、發現安全漏洞的人員不歸屬于任何一個黑客集團，而專門以公開售賣安全漏洞為生。“有些黑客專門從系統上尋找漏洞，找到之后就可以到地下交易網站進行出售，最便宜的漏洞也可以賣到數百歐元，高的甚至可達五六千歐元。”[1](如圖1)在此種地下交易中，由于黑客組織先于軟件廠商發現并利用了安全漏洞，致使新病毒在軟件廠商提供有效的修復補丁之前，便能夠在互聯網上大量傳播，造成危害嚴重的0Day(注:0Day泛指所有在官方發布該作品之前或者當天。它主要涵蓋了影視、軟件、游戲、音樂、資料等方面，由一些特別小組以一定的格式打包發布的數碼內容。網絡安全意思上的0Day就是指一些沒有公布補丁的漏洞，或者是還沒有被設計發現的漏洞進行攻擊的工具。由于這種利用漏洞進行攻擊的程序對網絡安全具有巨大威脅，因此0Day也成為黑客的最愛。)攻擊。(注: 2007年，Flash9播放器爆出0Day漏洞;2008年，RealPlayer爆出0Day漏洞;2009年5月31日和7月5日，微軟的DirectShow相關組件兩次爆出0Day漏洞。這幾次漏洞爆發，都給木馬傳播制造了極大的機會。尤其是2009年7月5日的0Day漏洞，2天時間內就造成上百萬臺上網電腦遭受掛馬網站的攻擊。)

另外，應當注意的是，這些售賣安全漏洞的人員，既可以是黑客，也可以是軟、硬件廠商的研發人員。

2.將安全漏洞報告直接在網絡空間中加以公布

這種安全漏洞被公開披露的方式所產生的影響也有兩方面:一方面，由于網絡信息傳播高速快捷，安全漏洞一旦被公開披露，黑客組織可以在最短時間內對安全漏洞加以利用，編寫病毒程序，引發網絡安全事件;另一方面，安全漏洞的公開披露，也加速了軟件廠商研發安全漏洞補丁的進程，可以減少黑客攻擊行為的威脅與危害。網絡資源的共享性與即時性，使得安全漏洞在互聯網中的公開披露具有相當大的影響力。一旦安全漏洞被公開披露，就只能寄希望于軟件廠商的研發人員能夠在黑客進行黑客攻擊之前，編寫出修復補丁，以避免爆發大規模的網絡安全事件。

3.將安全漏洞報告給軟件、硬件的生產廠商

就安全漏洞報告給軟、硬件廠商這一去向來說，這一部分挖掘安全漏洞的行為人可以被分為兩種類型:一是軟、硬件廠商內部的研究工作人員。這部分研究人員專門負責檢測和挖掘軟、硬件廠商開發的軟、硬件產品中的安全漏洞，研究人員發現漏洞后，再將此漏洞信息秘密報告給軟、硬件廠商，廠商再針對漏洞信息，提供修復程序，通過自動更新或者發布公告的形式讓用戶安裝最新版本，消除安全威脅[1];二是使用計算機的普通用戶。這些普通用戶沒有為軟、硬件廠商提供安全漏洞信息的職責，但是，他們卻自愿地為軟、硬件

廠商提供他們發現的安全漏洞信息。以微軟公司為例，該公司每年都要處理成千上萬份安全漏洞報告[3]。在這些報告中，經過微軟公司研發人員的仔細甄別，確實發現了存在于微軟產品中的安全漏洞，使得微軟公司可以在第一時間發布修復相關漏洞的更新信息，消除網絡安全威脅。

三、惡意公布、售賣計算機安全漏洞行為的社會危害性

將安全漏洞報告給軟件、硬件的生產廠商，是一種值得鼓勵的合法行為，屬于一種“善意”報告行為，此種行為不是刑法評價的對象。但應當思考的是，無論是黑客還是普通用戶，也不論是軟件、硬件的設計人員還是其他人員，如果在發現安全漏洞之后，將安全漏洞直接提供、售賣給黑客或者黑客組織，或者將安全漏洞報告直接在網絡空間中加以惡意公布的，應當如何評價?

(一)利用安全漏洞的網絡黑客行為的社會危害性

眾所周知，計算機和網絡已經深入我們生活的每個角落:每天數以億計的計算機用戶都在利用計算機存儲、處理重要資料;幾乎所有的公司企業都在使用計算機和網絡處理每天的業務信息甚至商業機密，而全球各大銀行的金融結算和匯兌業務如果離開計算機和網絡將會頓時癱瘓掉;幾乎所有的政府部門都在不同程度地利用著計算機和網絡，甚至利用其存儲和處理重要的公民信息或者國家機密……可以說，計算機和網絡已經承載了人類社會巨大的利益，這也注定了黑客對計算機和網絡的攻擊行為具有巨大的社會危害性。例如，“1995-1996年，一個來自阿根廷的黑客利用國際網絡進入美國一所大學的計算機系統，并由此進入美國海軍研究實驗室和其它國防設施、國家宇航局及洛斯阿拉莫斯國家實驗室的計算機網絡。這些系統中保存有飛機設計、雷達技術、衛星工程等敏感研究信息。而美海軍無法確認究竟哪些信息被偷竊或泄漏出去，更無法估計損失究竟有多大。”[5]

現實中，黑客的網絡攻擊行為有很多種方式，例如，通過電子郵件進行攻擊、利用網絡系統漏洞進行攻擊、進行解密攻擊、利用后門軟件進行攻擊等，其中，利用計算機安全漏洞是重要的黑客攻擊手段之一[6]。而利用安全漏洞實施的網絡黑客行為又可以具體表現為兩種形式:(1)直接對計算機系統和正常的網絡連接造成損害，使計算機數據丟失、損壞等，或者使網絡服務器癱瘓，網絡連接中斷;(2)通過黑客的攻擊行為，非法獲取或者篡改重要信息，或者非法控制計算機信息系統。

目前，大量

存在著利用安全漏洞直接攻擊、控制或者損害計算機系統和網絡的黑客攻擊。客觀地講，“電腦病毒中最瘋狂的是什么呢? 答案當屬木馬病毒。黑客們瘋狂地利用漏洞向網民發起掛馬攻擊。”“近日，瑞星公司發布《2009年上半年中國大陸地區互聯網安全報告》，上半年瑞星‘云安全’系統攔截到的掛馬網頁數累計達2.9億個(第一季度為1.9億，第二季度為1億)，共有11.2億人次網民遭木馬攻擊，平均每天有622萬余人次網民被掛馬網站攻擊。”[7]利用安全漏洞進行的攻擊是極為普遍的，瑞星公司曾于2009年7月23日“向網民發出警告:Adobe公司的流行軟件Flash爆出嚴重漏洞，該漏洞影響所有版本的Flash、PDF程序。據介紹，用戶打開含有該漏洞的PDF文件以及Flash文件后，電腦會自動下載大量盜號木馬。該漏洞是針對Flash以及含有Flash的PDF文檔進行攻擊，它不僅限于Windows系統、IE瀏覽器，而且linux、Firefox等操作系統及瀏覽器也可能遭到侵害。由于Flash技術在大量網頁和文檔中被應用，此漏洞危害極大”[7]。

相對來說，利用安全漏洞實施的非法獲取、篡改數據的行為具有更大的社會危害性。黑客獲得或者篡改的各種信息可能涉及個人的電子貨幣賬戶、銀行賬戶、企業競爭資料、商業秘密甚至國防機密等，一旦非法使用或者篡改此類信息，將會對社會造成重大的損失。“目前，黑客已經變得越來越貪婪。病毒編寫者不再單純炫耀技術，獲取經濟利益幾乎成為他們編寫病毒的惟一目的，‘偷’、‘搶’、‘騙’已經成為目前計算機病毒的主要特征。”[8]例如，網購已經成為“假日新經濟”的主要力量，而黑客們往往會在假期開始大面積作惡，用戶一旦點擊登錄到含有惡意代碼的網頁時就會感染病毒，病毒通常會下載多個木馬程序，其中大部分是盜號木馬，盜竊目標基本包括當前主流的網絡游戲、網銀賬號密碼等，從而給用戶造成嚴重的經濟損失[9]。2004年4月21日，臺北市警方偵破首宗網絡銀行欺詐盜領案，案中的兩名犯罪嫌疑人無意間發現玉山銀行的支付系統eCoin(玉山銀行合法發行的“網絡新臺幣”，)“便利付”的漏洞，于是，通過購買大量信用卡資料，由網絡轉賬從中盜領，初步估計銀行損失數百萬元[10]。2007年7月，一位名叫王立科的網絡黑客偶爾發現“劍俠情緣網絡版2”的系統存在漏洞，便在幾個月內與人合謀成功盜取大量虛擬貨幣，然后低價盜賣，致使北京金山數字娛樂科技有限公司損失近700萬元[11]。

一般來講，利用計算機安全漏洞實施的單次黑客攻擊行為就可能造成非常大的損害。而網絡具有無限的延伸性，一個黑客可以面對數以億計的計算機，因而一臺計算機也往往要承受成千上萬個黑客的威脅，因此出現的客觀結果就是網絡攻擊行為橫行。據統計，早在1995年，美國國防部系統的網絡計算機在一年之內就遭受到25萬次不同身份入侵者的襲擊[5]。 這一數據充分說明了利用安全漏洞實施黑客攻擊行為的巨大社會危害性。而實際上，這種網絡攻擊行為泛濫的背后往往會存在著另外一種令人關注的行為，即惡意公布、售賣安全漏洞行為。

(二)惡意公布、售賣安全漏洞使黑客行為的危害性被無限放大

利用安全漏洞實施的黑客攻擊行為具有極為巨大的社會危害性，但是，此種攻擊行為得以實施的前提是已經挖掘、發現了相應的計算機和網絡安全漏洞。如果由黑客親自挖掘安全漏洞，然后再利用此類漏洞實施攻擊，那么此種黑客攻擊行為不僅周期長，而且攻擊者也是很有限的，因為發現安全漏洞本身就具有一定的難度。而安全漏洞的惡意公布、售賣行為，尤其是惡意公布行為則使得黑客攻擊的危害性無限放大。在傳統的產業結構中，分工的細化和信息的共享必定產生數倍、數十倍的制造能力。同理，如果在網絡上公開發布安全漏洞，則會因為網絡的無限延伸性和黑客分工的日益細化，而使得針對于該漏洞的計算機病毒的制造和傳播能力成千上萬倍地劇增。

現實中，惡意售賣安全漏洞的行為時有發生，并日益顯示出非常大的危害性。據世界著名的反病毒機構卡巴斯基實驗室提供的消息，一名發現Windows Meta File(WMF，視窗中介文件格式)安全漏洞的俄羅斯黑客于2005年12月初在網上叫賣該安全漏洞后，

在一周內就發現了上千條針對該漏洞的惡意代碼，而安全機構直到12月27日才發現該漏洞[12]。相比之下，免費惡意公布安全漏洞行為的社會危害性會更大，因為沒有交易行為的阻卻，安全漏洞在網絡上的傳播會更加迅速、更加廣泛，甚至導致數以萬計的黑客利用公布的漏洞實施有針對性的網絡攻擊行為。據瑞星公司統計，“從2004年4月14日LSASS(Local Security Authority Subsystem Service)溢出漏洞(MS04-011)被公布到5月1日利用此漏洞進行破壞的震蕩波病毒(Worm Sasser)出現僅僅用了短短17天”[13]。隨著網絡和計算機技術的發展，黑客攻擊和惡意公布、售賣安全漏洞之間的聯系越來越緊密，“2009年4 月30 日，國內安全研究者公布暴風影音ActiveX 遠程溢出漏洞。5 月1 日，網絡上即出現了針對該漏洞的大量可疑惡意腳本。”“2009 年2 月，Adobe 兩款產品相繼爆出零日漏洞(0Day)，Adobe Acrobat 和Adobe Reader 存在PDF 零日漏洞。利用該漏洞的惡意代碼和詳細的技術分析，已經在互聯網上被公開，并被廣泛轉載。通過被公開的技術資料，黑客能夠輕易利用該漏洞傳播各類惡意軟件。”[14]

可見，此種惡意公布、售賣安全漏洞的行為使得黑客的攻擊行為不僅在數量上無限地增多，而且在攻擊的時間上也大幅度地提前，從而使黑客行為的社會危害性被無限地放大。而此種被無限放大后的社會危害性不僅凸顯了惡意公布、售賣安全漏洞作為黑客攻擊幫助行為的社會危害性，也使其具有了超過單次黑客行為的巨大社會危害性。此外，惡意公布、售賣安全漏洞行為的巨大社會危害性，還可以從另外一個側面清晰地顯現出來:研究人員公布的攻擊代碼或者安全漏洞正將更多的系統、數據庫和人員置于“險地”。有的計算機安全專家表示，從被公布到被攻擊之間的時間正在縮短，如果漏洞公布缺乏統一和規范的流程，研究行業很可能起到助長網絡犯罪的作用[15]。也就是說，同時提出補救措施的善意公布安全漏洞的行為也會客觀上促進網絡犯罪的蔓延，就更不用說惡意公布、售賣安全漏洞對網絡世界的巨大沖擊了。

(三)惡意公布、售賣安全漏洞行為入罪化的必要性

惡意公布、售賣安全漏洞行為因為無限放大了黑客攻擊行為而使其本身具有巨大的社會危害性，此種危害性必將隨著計算機和網絡在社會各個方面使用的更加普遍化和深入化而得到凸顯，在這種形勢下，應當將此類行為加以入罪化處置。

不可否認，惡意公布、售賣安全漏洞的行為客觀上給相關硬件、軟件的生產商指出了產品的缺陷，也因此會在客觀上促進計算機和網絡技術的發展，但是，此種輕微的積極作用與其巨大的社會危害性相比是微不足道的;況且還有善意公布安全漏洞的行為存在可以改進軟、硬件的不足。甚至極端地說，假設只有一個或者若干個惡意行為人挖掘到相關安全漏洞，如果不向社會公眾公布或者售賣，那么該漏洞就不成其為漏洞，就沒有必要制定相關的安全補丁了 。

綜上所述，惡意公布、售賣安全漏洞行為的巨大社會危害性，往往比單次黑客攻擊行為的要高無數倍，或者說單次黑客行為的社會危害性僅僅是其危害性的一部分，對于此種具有極大社會危害性的網絡行為，民事手段甚至行政手段總是顯得那么無能為力:(1)不僅民事賠償沒有懲罰的功效，而且當事人也面臨著巨大的舉證困難，因為要讓當事人證明惡意公布、售賣安全漏洞行為與損害結果的因果關系是非常困難的;(2)惡意公布、售賣安全漏洞的行為人，要么是為了炫耀自己的技術能力，要么是為了獲得巨大經濟利益，而網絡行為的隱蔽性使得行為人在面臨這種難以被發覺而且

相對較輕的行政處罰時沒有絲毫怯意。因此，即使考慮到刑法的謙抑性，也必須動用刑罰的手段才能有效遏制此種具有巨大社會危害性的安全漏洞惡意公布、售賣行為。

四、惡意公布、售賣計算機安全漏洞行為的司法困境及其原因

根據現行的刑事立法，惡意公布、售賣安全漏洞行為并不構成單獨的犯罪，追究其刑事責任的惟一可行途徑，是將其作為后續網絡犯罪行為的幫助行為加以處置。換句話，就是將其作為他人利用安全漏洞所實施網絡犯罪的幫助犯進行定罪處罰，這就是現行刑事法律提供的入罪化途徑。然而，即使這一處置模式，運用起來也是障礙重重。

(一)惡意公布、售賣安全漏洞行為的司法困境:不處理或者量刑過低

現實生活中，利用安全漏洞實施的網絡黑客攻擊行為十分常見，有些案件會因為其具有極大的社會危害性而引起人們的廣泛關注。隨著司法觀念的發展，司法實踐中已經有多起作為犯罪處理的案件。例如，2004年12月，祁建編制了一套截取“傳奇”網絡游戲用戶虛擬設備的cmcc木馬程序，并將該cmcc木馬程序發送給被告人陳琿等人。陳琿為了竊取“傳奇”網絡游戲用戶的虛擬裝備進而牟取非法利益，雇傭曾濤非法入侵金華市公安局網吧管理系統的網站，將cmcc木馬程序加入其中，致使大量在各網吧內上網的“傳奇”網絡游戲用戶賬號、密碼被截取。陳琿利用截取的賬號、密碼大量盜取“傳奇”網絡游戲用戶虛擬裝備，并通過交易網站牟利。該案所盜取的網絡游戲賬號至少有十幾萬個，涉案金額近百萬元，浙江省金華市婺城區人民法院認定各位被告人構成破壞計算機信息系統罪，系共同犯罪，其中判處的最長刑期為1年零6個月[16]。又如，2006年張乾、劉林和戴覲播3名“黑客”在異地利用系統漏洞，突破防火墻，在近2個月內先后侵入成都兩家網絡公司網站大肆盜取各類游戲點卡并低價賣出，獲利達1.68萬元。2007年，四川省成都市中級人民法院終審以盜竊罪判處張乾有期徒刑3年零6個月，劉林、戴覲播2人因有從輕情節則被分別判處有期徒刑3年、緩刑5年和有期徒刑2年零6個月，緩刑4年，并各處罰金2000元[17]。再如，“2008年初開始，張某與同伙利用‘黑客’手段，獲取了重慶市兩家科技公司的賬號和密碼，盜得久游幣、聯眾幣和魔獸點卡價值14萬余元，并在淘寶網上低價出售，截至案發，共獲利8911.2元，2009年重慶市九龍坡區人民法院一審判處‘黑客’張某有期徒刑10年零6個月，并處罰金5萬元。”[18]

在上述3個案例中，司法機關都對相關的黑客行為進行了刑法評價，對涉案黑客判處了相應的刑罰，這是值得肯定的;但是，遺憾的是，都沒有進一步去關注另外一個問題，即黑客實施網絡攻擊時利用的安全漏洞是從何而來的呢?這些安全漏洞不排除被惡意公布、售賣的可能性，那么對這種惡意公布、售賣安全漏洞的行為為什么不進行追根問底式的追查并且定罪處罰呢?可以說，在包括這3起案件在內的幾乎所有計算機犯罪和網絡犯罪案件

中，對惡意公布、售賣安全漏洞的行為都沒有作為犯罪處理，司法機關也是從來不對其予以關注和過問的。

但是，即使司法機關本著負責的態度通過各種努力或者完全是巧合般地找到了惡意公布、售賣安全漏洞的行為人，并且追究其刑事責任，那么也只能導致一種結果:把惡意公布、售賣安全漏洞的行為作為黑客攻擊行為的幫助行為，對行為人按照黑客犯罪的從犯定罪量刑，進而從輕、減輕甚至免除處罰。本著樸素的正義觀，我們會發現此種模式會導致明顯的不公平:前面已經提到，惡意公布、售賣安全漏洞的行為與單次的黑客攻擊行為相比具有超出無數倍的巨大社會危害性。單單通過某次黑客攻擊行為對其進行“幫犯”型的刑法評價，是遠遠不夠的。這不僅違背了罪刑相適應的刑法基本原則，而且對于打擊惡意公布、售賣安全漏洞的惡性行為也是力不從心的。

(二)惡意公布、售賣安全漏洞行為司法困境的原因反思

既然現行刑事法律提供了對此類行為加以刑法評價的途徑，為什么在司法實踐中對于惡意公布、售賣安全漏洞這一具有巨大社會危害性的行為不進行處理，或者即使處理也量刑過低呢?筆者認為主要有以下原因:

1.不進行處理的原因之一:將其作為幫助行為有時無法被認定為共犯

有學者在評論案例時指出:“2005年8月，犯罪嫌疑人陳某通過向福建的劉某等人出售‘網銀大盜3’惡意代碼獲利數萬元，劉某等人隨后通過傳播該惡意代碼盜取上千個工商銀行的網上銀行賬號和密碼，并竊取大量資金。但根據現行法律規定，陳某制作、販賣用于盜竊網絡銀行賬號的惡意代碼的行為，無法定罪處罰。”[19]一般認為，網絡空間中幫助犯的故意僅限于直接故意，那么如果將惡意公布、售賣安全漏洞行為作為后續實行犯罪的幫助行為，將很難被認定為共犯:因為惡意公布、售賣安全漏洞行為人雖然在公布、售賣安全漏洞方面是惡意或者直接故意的，但是對于后續的黑客犯罪往往只是一種蓋然性的認知。行為人對于具體黑客犯罪——雖然不排除持積極追求的態度——一般也只是持放任的態度，即在主觀方面大多是間接故意，那么對于大多數惡意公布、售賣安全漏洞行為是很難進行定罪處罰的。

2.不作為犯罪處理的原因之二:利用該漏洞的網絡攻擊行為可能不構成犯罪

我國實行二元的法律結構，即對違法行為劃分為刑事違法和非刑事違法(一般違法)，在這種二元立法結構下，往往根據有沒有“實害”乃至“嚴重程度的實害”把犯罪與一般違法嚴格區分開來[20]。在總則方面，《刑法》第13條規定:“……但是情節顯著輕微危害不大的，不認為是犯罪”;在分則方面，很多犯罪都存在著反映危害程度的定罪情節。例如，在破壞計算機信息系統罪和《刑法修正案(七)》新增加的非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪和提供侵入、非法控制計算機信息系統程序、工具罪中，都規定了“后果嚴重”、“情節嚴重”等定罪情節，如果沒有達到這些情節，即使實施了某種危害行為也不作為犯罪處理。

在虛擬世界里，利用安全漏洞實施黑客攻擊的行為大量存在，但是其中很大一部分是沒有達到犯罪程度的，司法機關無法從刑法角度

對此類行為進行評價，難以追究其刑事責任。但是，這種法律現狀間接地造就、支持了無數此類違法犯罪行為的惡意公布、售賣計算機安全漏洞行為，由于只能作為此類行為的幫助行為進入刑法的評價視野，這直接導致司法機關也無法對具有巨大社會危害性的惡意公布、售賣安全漏洞行為進行刑法評價。這是真正的司法困境所在。

3.不進行處理的原因之三:偵查取證困難

雖然惡意公布、售賣安全漏洞行為人對后續黑客網絡犯罪大多持間接故意，但是仍然存在持直接故意的行為人，那么為何沒有出現行為人被作為幫助犯處理的案例呢?此外，共同犯罪的理論通說認為，幫助犯的故意包括直接故意和間接故意，幫助犯明知他人準備犯罪或者正在犯罪，而對其進行幫助的，就構成幫助犯，而無論幫助者是否知道具體犯罪性質、犯罪的時間、地點、方式、對象等。這一學說也是大陸法系和前蘇聯的通說[21]。如果按照此種通說理論，大部分惡意公布、售賣安全漏洞行為因為構成后續黑客犯罪的幫助犯可以被追訴，但這就更加令人疑惑，為何至今也沒有對惡意公布、售賣安全漏洞行為進行處理的案例呢?經過分析可以發現，這里存在著更為重要的理由，即在對作為黑客犯罪幫助犯的惡意公布、售賣安全漏洞行為進行定罪處罰時，存在巨大的偵查取證困難。

根據共犯從屬性理論，對惡意公布、售賣安全漏洞行為追究刑事責任的前提是:利用該漏洞實施的黑客攻擊行為被認定為犯罪，所以對惡意公布、售賣安全漏洞行為偵查取證的困難，首先是因為對黑客行為的偵查取證方面。利用安全漏洞的黑客犯罪行為可能包括幾乎所有的網絡犯罪，網絡犯罪作為一種新型的犯罪類型，對其展開調查取證要克服很多困難:第一，網絡犯罪發生在互聯網的虛擬空間，無傳統刑法上的“犯罪現場”之說，黑客犯罪分子可能跨省，甚至跨國實施犯罪行為，這就給公安機關的偵查取證造成很大的困難，由于必須通過國際合作展開聯合行動才能奏效，這就使公安機關的反應變得遲緩，從而錯失良機;第二，網絡犯罪具有極大的隱蔽性，犯罪分子可以充分利用網絡空間的無線延伸性隱藏自己，例如，利用網吧等實施攻擊，司法機關很難找到線索;第三，對網絡犯罪的偵查過程就是與犯罪分子展開一場圍繞著計算機技術進行的較量過程，由于網絡犯罪所涉及的領域廣、技術要求各異，而偵查人員很難掌握其全部技能，這客觀上也增加了網絡犯罪的偵查難度與取證難度[22];第四，電子證據易于損壞，不宜提取，往往在保存之后存在取信于法庭的困難[23]。所以，大部分網絡犯罪難以被追訴，甚至難以被發現，“據美國聯邦調查局國家計算機犯罪偵查隊估計，85%-97%的計算機侵入犯罪沒有被發現，犯罪黑數非常大”[22]42-46，在我國當前很難找到這方面的統計數據，但是形勢肯定不容樂觀。如果這種作為實行行為的黑客攻擊網絡犯罪行為沒有被發現，或者即使被發現但因為證據不足而不能讓法官采信的話，那么對惡意公布、售賣安全漏洞的危害行為就不能作為犯罪處理。

即使頗費周折地收集到了從事攻擊行為的黑客的犯罪證據，也會碰到另外一個棘手的問題，即需要找到惡意公布、售賣安全漏洞的行為人并且證明其實施了該行為;此外，還要證明其惡意公布、售賣安全漏洞行為與后來的黑客網絡攻擊行為存在刑法意義上的因果聯系等。這一系列問題都讓司法機關的偵查行為舉步維艱，司法機關往往沒有足夠的精力去調查和取證，或者即使有足夠的精力也很難在偵查階段取得實質性進展，從而在客觀上導致司法機關對惡意公布、售賣安全漏洞的危害行為很少在刑法層面上對其進行處理。

4.作為犯罪處理時往往量刑過低，其直接原因是受制于從犯制度

根據共同犯罪理論和我國刑法典的體例，犯罪的實行行為是由刑法分則明確規定的，而其他犯罪行為只能依托于實行行為，進而根據共同犯罪制度進行定罪處罰。惡意公布、售賣安全漏洞行為如果沒有觸犯特定的刑法分則條文，例如，故意泄露國家秘密罪等，就只能依托相關的刑法分則罪名按照非實行犯處理。實際上根據其行為特點，一般只能將其作為幫助行為，即對惡意公布、售賣安全漏洞的行為人作為特定實行犯的幫助犯予以定罪處罰。

現行《刑法》第27條規定:“在共同犯罪中起次要或者輔助作用的，是從犯。對于從犯，應當從輕、減輕處罰或者免除處罰。”從理論上講，雖然幫助犯沒有被排除認定為主犯的可能性，但是一般情況下，在我國刑事司法實踐中，幫助犯會被認定為從犯，進而在從犯制度的制約下，對于此種惡意公布、售賣安全漏洞的行為只能作為網絡黑客犯罪的從犯，對其從寬處罰。

(三)惡意公布、售賣安全漏洞行為陷入司法困境的本質原因:作為幫助犯的障礙

有相當一部分學者已經認識到，“目前打擊網絡犯罪的壓力的確很大，但是現行刑事立法不能適應信息技術和網絡發展的特征規律，明顯滯后，不能為公安機關提供有效的法律依據”[19]。綜合上述4種直接原因可以發現，之所以在司法實踐中對惡意公布、售賣安全漏洞行為不作為犯罪處理或者即使作為犯罪處理也處刑較輕，其根本原因是根據現行《刑法》規定，此種具有巨大社會危害性的行為只能作為相關網絡犯罪的幫助犯來處理:(1)把惡意公布、售賣安全漏洞的行為作為相關網絡犯罪幫助犯，導致了在刑事訴訟過程中，司法機關不僅必須證明相關網絡犯罪的存在，而且必須證明惡意公布、售賣安全漏洞行為作為刑法意義上的幫助行為也存在。這就使該行為的定罪面臨兩大難題，即實體方面上主觀的間接故意阻卻共犯的成立，以及訴訟方面要面臨巨大的偵查取證困難。如果不把其作為相關網絡犯罪的幫助犯，那么上述訴訟中的偵查取證難題就基本上不復存在了。(2)把惡意公布、售賣安全漏洞行為作為相關網絡犯罪的幫助犯，導致了這樣一種結果，即只有作為實行行為的某種相關網絡黑客行為構成犯罪，該行為才有可能構成犯罪。而在現實中，大量利用安全漏洞實施黑客攻擊的行為沒有達到入罪的程度，從而導致引發黑客違法行為的惡意公布、售賣安全漏洞的行為被阻卻在刑法評價范疇之外。(3)把惡意公布、售賣安全漏洞行為作為相關網絡犯罪的幫助犯，即使可以作為犯罪處理，也會在量刑上受制于從犯制度。換句話說，即使通過復雜艱難的訴訟程序證明惡意公布、售賣安全漏洞行為構成犯罪，但是在從犯制度下，對于實施該行為的犯罪分子也只能作為相關網絡犯罪的從犯定罪并且從寬處罰，進而導致刑法評價的不公平。

五、惡意公布、售賣計算機安全漏洞行為入罪化的模式

通過對惡意公布、售賣安全漏洞行為的司法困境之分析，可以發現一種有效遏制此種具有巨大社會危害性行為的途徑漸漸明晰起來，即通過“共犯行為的正犯化模式”，將此種行為直接獨立入罪，規定為一種獨立犯罪的實行行為。

(一)惡意公布、售賣安全漏洞行為應當“實行犯化”

筆者認為，在當今網絡時代，惡意公布、售賣安全漏洞行為應當“實行犯化”，這不僅是樸素的公平正義觀念和罪刑相適應的刑法基本原則的要求，也是網絡背景下刑法轉型的必要措施。

1.“實行犯化”的功利性依據:擺脫作為幫助犯的入罪依附性

既然把惡意公布、售賣安全漏洞行為作為后續性黑客犯罪的幫助犯的刑法評價模式是導致其刑事責任無法落實的本質原因，那么尋找對該行為進行公正刑法評價的出路就只能是在刑事立法上讓它擺脫對幫助犯的依附。筆者認為，這一途徑就是幫助行為的“實行犯化”，即把惡意公布、售賣安全漏洞行為直接獨立化入罪，直接規定為一種獨立犯罪的實行行為而進入刑法典。這樣上述問題就會迎刃而解:(1)利用安全漏洞的具體后續黑客犯罪是行為不再成為行為人主觀方面的具體內容，行為人無論對后續具體黑客犯罪是積極追求還是放任甚至過失，都可以對其按照“實行犯化”后的獨立犯罪定罪量刑;(2)司法機關不再需要對后續黑客犯罪行為的存在，以及惡意公布、售賣安全漏洞行為和該后續黑客犯罪行為之間的因果聯系承擔舉證責任，這就極大地便利了訴訟，避免了刑法的虛設;(3)即使后續的黑客攻擊行為不構成犯罪，對于惡意公布、售賣安全漏洞行為也可以按照“實行犯化”后的獨立犯罪進行定罪處罰;(4)對惡意公布、售賣安全漏洞行為人直接按照“實行犯化”后獨立犯罪的法定刑量刑，不再受從犯制度下的量刑制約問題。

可能有人會認為，這樣做犯了一個錯誤，即為了追求效率而簡化訴訟，卻使得實體正義也被

消減。其實這是不必擔憂的，因為:第一，實體正義并不是單獨存在的，它需要程序正義的支持。實體正義和程序正義是辯證統一的，“及時，亦即效率的要求。這是司法公正的重要價值，它的基本含義是按照法律規定的期限，如期處理案件，避免久拖不決。很多時候，正義是跟一定的時間聯系在一起的，所謂‘遲到的正義不是正義’，就是從這個意義上說的。正義不能及時‘運送’，有時就會變得沒有意義或者其意義大打折扣。高效及時運行的司法程序不僅縮短當事人的訴訟時間，還節約國家和個人的司法成本，也有利于堵塞漏洞、防止司法腐敗”[24]。第二，傳統刑法理論和行為無價值理論允許行為犯的存在。我國傳統刑法理論重視對犯罪主觀方面和行為危險的評價，譬如，現行《刑法》總則中規定了犯罪預備、未遂、中止制度，另外，《刑法》分則中規定了大量的行為犯、情節犯、危險犯，例如，強奸犯罪和資助恐怖活動犯罪。而“一般認為，行為無價值論主張違法的本質是違反刑法背后的社會倫理規范”[25]，對于惡意公布、售賣安全漏洞行為來說，它本身就對社會造成了極大的危險，應該受到社會的否定性評價。此外，行為人也具有較大的主觀惡性，因此從情節犯甚至行為犯的層面對其進行定罪量刑并不違背實體正義。

當前，安全漏洞的惡意公布、售賣等許多新問題隨著計算機應用的深入逐漸顯露出來，利用計算機網絡進行網絡違法犯罪之勢愈演愈烈，而計算機犯罪難發現、難捕捉、難取證，難定性，完善計算機領域的法律、法規仍然任重道遠[26]。因此，應當用發展的眼光看待計算機和網絡犯罪的立法問題。基于訴訟效率和刑法司法適用的現實性需要，有必要對惡意公布、售賣安全漏洞的行為在《刑法》分則中進行“實行犯化”。

2.“實行犯化”的本質依據:幫助行為的危害性遠遠大于實行行為

惡意公布、售賣安全漏洞的行為自身具有巨大的社會危害性，此種危害往往是利用該漏洞實施的單次黑客攻擊行為無法達到的。2009年2月，“瑞星發出了2009年度首個紅色(一級)安全警報，由于針對IE7新漏洞(MS09—002)的病毒攻擊代碼在網上公布，導致利用該漏洞的新木馬病毒大量出現。根據瑞星‘云安全’系統的統計，受新木馬病毒的暴增影響，僅在2月19日就截獲了高達866萬人次的掛馬網站攻擊，相比前一天增加了一倍。瑞星‘惡意網站監測網’顯示，近日，利用該漏洞的掛馬網站攔截量直線上升，已升為目前危害最嚴重的漏洞。”[27]之所以會出現這種情況，是因為安全漏洞在網絡上被公開惡意售賣尤其是被惡意公布后，往往會有數以萬計的網絡黑客立即投入相應計算機病毒和專門侵入、非法控制軟件的研制中。這種高效的運作會產生巨大的“創造力”，無數種病毒會迅速產生，基于各種目的對計算機和網絡的瘋狂攻擊也會接踵而至。可以說，一次對安全漏洞的惡意、售賣行為可能會促成上萬次甚至上百萬次的黑客攻擊行為，在這種整體的社會危害性面前，其中一次的黑客攻擊行為已經顯得微不足道了。

基于司法的慣性等因素，惡意公布、售賣安全漏洞行為往往被評價為黑客網絡攻擊犯罪行為的幫助型從犯，因而導致對于行為人的處罰往往會遠輕于實施黑客攻擊行為的實行犯;但是，如果由惡意公布、售賣安全漏洞行為造成、引起的數起甚至數十起網絡黑客攻擊犯罪行為被司法機關同時追訴，那么惡意公布、售賣安全漏洞行為人所受的刑罰就可能大于單次黑客犯罪行為人所受的刑罰，此時，就不會再存在從犯制度的制約問題，似乎惡意公布、售賣安全漏洞行為人得到了應有的刑罰制裁，在此種情況下，還會存在刑罰評價不全面和量刑過低的問題嗎?筆者認為，答案是肯定的，其理由是:(1)網絡犯罪的隱蔽性導致其很難被發現，而一次安全漏洞惡意公布、售賣行為引起的數起乃至數萬起網絡犯罪同時被發覺的可能性近乎等于零;(2)即使數起乃至數萬起網絡犯罪被同時發現，仍然會有因惡意公布、售賣同一漏洞引起的數以十萬、百萬計的其它黑客攻擊行為被深深地隱藏起來。這就說明，對于惡意公布、售賣安全漏洞行為作為幫助行為予以定性，仍然存在明顯的刑法評價不足和量刑過低問題。因此，對于此種幫助行為的社會危害性明顯大于實行行為的情況，惟有將幫助行為直接規定在刑法分則中，對其單獨進行刑法評價并設定獨立、適當的法定刑，才能做到量刑均衡。

(二)幫助行為“實行犯化”模式的實證法考察

刑法分則并不是各種條文的的簡單累加，而是一個由規定各種具體犯罪的條文按照犯罪類型組成的有機整體。那么，惡意公布、售賣安全漏洞行為的“實行犯化”應當如何在刑法分則中實現呢?觀察我國現行刑法典的立法模式，可以發現幫助行為實行化的基本模式有以下幾種:

1.緊挨實行行為條文在同一類罪中規定為獨立犯罪

在刑法分則中，很多幫助行為“實行犯化”是采用這種模式的。例如，《刑法》第358條第3款規定:“協助組織他人賣淫的，處5年以下有期徒刑，并處罰金;情節嚴重的，處5年以上10年以下有期徒刑，并處罰金。” 協助組織賣淫行為實質上是組織賣淫行為的幫助行為，在現行刑法典中被“實行犯化”后規定為獨立的犯罪;再如，經《刑法修正案(七)》修正后的《刑法》第285條第3款規定:“提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的，依照前款的規定處罰。”認真分析可以發現，提供侵入、非法控制計算機信息系統程序、工具的行為，本質上是一種幫助型行為，但是在這里被“實行犯化”為獨立的提供侵入、非法控制計算機信息系統程序、工具犯罪。

此外，某種類罪之下若干種具體犯罪的幫助行為也可以被“實行犯化”為一種獨立的犯罪。例如，《刑法》第107條規定:“境內外機構、組織或者個人資助境內組織或者個人實施本章第102條、第103條、第104條、第105條規定之罪的，對直接責任人員，處5年以下有期徒刑、拘役、管制或者剝奪政治權利;情節嚴重的，處5年以上有期徒刑。”資助危害國家安全犯罪活動行為實質上是背叛國家等6種危害國家安全行為的幫助行為，在現行刑法典中被“實行犯化”為獨立的資助危害國家安全犯罪活動犯罪。

在此種模式中，被“實行犯化”的幫助行為和實行行為被規定在同一類罪名之下，兩者針對同一犯罪客體，在法益侵害性上具有同質性，在行為的內涵和外延上是一種并列關系，在適用上是相互排斥的關系，因此，在定罪量刑時直接適用“實行犯化”后的獨立犯罪及其罪名，不再適用《刑法》總則中關于共同犯罪的規定。對這種犯罪的幫助行為“實行犯化”有以下合理性:(1)實現對幫助行為的刑法直接評價，即使由于某種具體情形導致了實行行為自身不夠成犯罪，也可以對具有較大社會危害性的幫助行為定罪處罰;(2)在立法上對幫助行為直接規定法定刑，從而對司法權進行一定的限制，避免量刑畸輕。

但是，此種“實行犯化”模式也具有一定的局限性:一方面，在司法適用的時候，往往仍然是在將其作為特定類型實行行為的幫助行為層面上進行犯罪事實認定，因此，在證據的搜集和舉證程序方面并沒有得到簡化;另一方面，這僅僅是對某一種或某幾種特定具體犯罪的幫助行為的“實行犯化”，因此，如果實施其它類似犯罪的幫助行為，就難以適用這一“實行犯化”后的罪名去單獨定罪。例如，只有為他人實施組織賣淫犯罪提供幫助的，才能適用《刑法》第358條規定的協助組織賣淫罪;為他人實施強迫賣淫罪提供幫助的，就無法套用獨立化后的新罪名進行評價。

2. 跨越實行行為類罪規定為獨立犯罪

此種幫助行為的“實行犯化”模式具有一定的隱蔽性，其中的幫助行為在“實行犯化”前是作為實行犯的幫助犯形態出現的，但是一旦被“實行犯化”，似乎就與原來的實行犯脫離了實質上的共犯關系。例如，我國《刑法》第128條第2款和第3款規定了非法出租、出借槍支犯罪，即“依法配備公務用槍的人員，非法出租、出借槍支的，依照前款的規定處罰。依法配置槍支的人員，非法出租、出借槍支，造成嚴重后果的，依照第一款的規定處罰。”有的學者根據刑法的體系解釋得出了以下結論:“行為人明知他人使用槍支實施殺人、傷害、搶劫、綁架等犯罪行為，而出租、出借槍支給他人的，與他人成立相應犯罪的共犯。”[28]根據這一結論，似乎這種情況并不適用該條的規定，也就是說作為故意殺人、傷害等犯罪幫助行為的非法出租、出借槍支行為并不是《刑法》第128條第2款和第3款規定的行為。筆者認為，僅從該條文看，行為人出租、出借槍支，不但可以基于為他人提供非犯罪使用的目的，而且可以基于對結果放任的心態，更可以基于為他人提供犯罪使用的目的。如果行為人明知他人使用槍支實施故意殺人、故意傷害等犯罪行為，而依然出租、出借槍支的，那么行為人的行為就同時構成非法出租、出借槍支罪和故意殺人罪、故意傷害罪等其他犯罪(幫助犯)，根據想象競合犯理論，對其擇一重罪處罰。一般會認定為“與他人成立相應犯罪的共犯”，這樣在邏輯上才是合理的。所以在該種情形下，該條款規定的犯罪行為在實質意義上就是故意殺人、故意傷害等實行行為的幫助行為，只不過被立法者“實行犯化”了。當然跨越類罪加以“實行犯化”后，非法出租、出借槍支犯罪就具有了獨立的內涵，它不僅可以作為眾多具體犯罪的幫助行為，而且還包括基于非犯罪目的而出租、出借槍支的行為。通過以上分析可以看出，立法者之所以要將非法出租、出借槍支的行為在《刑法》分則中“實行犯化”為獨立的犯罪，很可能是考慮到非法出租、出借槍支行為的目的不限于為他人提供犯罪幫助，它本身就具有獨立的較大的社會危害性，具有區別于后續犯罪的特殊的法益侵害性——危害槍支管理秩序和公共安全——需要刑法對其進行單獨評價。此外，這也使得特定情況下對該危害行為的追訴更加便利，因為在無法證明行為人實施該行為的目的是為其他犯罪行為提供幫助時，也可以對其進行追訴，這種訴訟的便利其實是公平正義的要求。

可見，把實質上的幫助行為跨類罪“實行犯化”為獨立的犯罪，是現行刑法典的已有模式。很明顯，這種幫助行為“實行犯化”模式的優點是:(1)已經完全脫離實行行為對于幫助行為進行刑法評價，這種“實行犯化”后的幫助行為已經獨立為較為純粹的實行行為，從而真正實現對幫助行為的單獨評價;(2)訴訟便利，極大地縮短了刑事證明的因果鏈條。

需要指出的是，刑法典中上述兩種幫助行為的“實行犯化”模式本身并沒有優劣之分，只是在針對某種具體幫助行為加以實行化時，存在適合與否的問題。

(三)惡意公布、售賣安全漏洞行為獨立入罪化的模式

在對于幫助行為的“實行犯化”模式進行實證考察之后，綜合考慮惡意公布、售賣安全漏洞行為的特性和推動其實行犯化的因素，可以看出，惡意公布、售賣安全漏洞行為的實行犯化應當采取下列模式:

1.跨越各種黑客犯罪規定為獨立犯罪

如前所述，惡意公布、售賣安全漏洞的行為使得黑客的攻擊行為不僅在數量上無限地增多，而且在攻擊的時間上也大幅度地提前，導致黑客行為的社會危害性被無限放大。而此種無限放大的社會危害性不僅凸顯了惡意公布、售賣安全漏洞作為黑客攻擊幫助行為的社會危害性，也使得它具有了超過單次黑客行為的獨立的巨大社會危害性;另外，利用公布或者售賣的漏洞進行網絡攻擊的單個黑客行為可能因情節輕微不構成犯罪;但是，由于網絡的無限延伸性和開放性，惡意公布、售賣安全漏洞所造就、引發的網絡病毒和網絡惡意攻擊行為在數量上卻是巨大的，這更加說明了它具有黑客犯罪之外的獨立社會危害性。這種獨立的社會危害性具有很廣泛的外延，它不僅是單次黑客犯罪無法包容的，也是利用安全漏洞實施的非法入侵計算機系統犯罪、盜竊犯罪等某一類網絡黑客犯罪無法包容的。例如，一次安全漏洞惡意公布行為可能會導致無數起非法侵入計算機信息系統犯罪、非法獲取計算機信息系統數據犯罪、非法控制計算機信息系統犯罪和網絡盜竊犯罪等各種網絡黑客犯罪行為，這就排除了適用第一種模式的正當性。另外，第一種模式也無法解決偵查取證和刑事司法證明極為困難的司法難題。而采用第二種“實行犯化”模式，即把惡意公布、售賣安全漏洞行為跨越各種黑客犯罪在刑法分則中規定為一種獨立的犯罪顯然是可取的，這不僅實現了對具有較大獨立社會危害性的惡意公布、售賣安全漏漏洞行為的全面準確評價，而且也大大地簡化了刑事司法證明，使刑事訴訟能夠真正得以進行。

如果采用第二種“實行犯化”模式，那么還存在另外一個問題，即應當規定在哪個章節呢?計算機和網絡發展到今天，已經開始以獨特的方式承載巨大的社會利益，同時相關的計算機和網絡犯罪無論種類還是數量都日益劇增，除了與計算機有關的傳統犯罪以外，計算機和網絡犯罪不僅數量日益增多，而且具有獨特的犯罪客體，需要刑法在該獨特犯罪客體層面上進行單獨評價，即需要將計算機和網絡犯罪刑事法規單列為一章增加到原刑法典中去，法國和俄國就是采用這種立法模式[29]。所以，筆者認為，應設立單獨的“計算機和網絡犯罪”章節，并且把惡意公布、售賣安全漏洞行為規定于其中。

2.規定為情節犯且法定刑不宜太高

根據我國刑法理論，《刑法》分則規定的既遂犯可以分為行為犯、情節犯、結果犯等犯罪類型，那么惡意公布、售賣安全漏洞行為在《刑法》分則中應當規定為何種類型的犯罪呢?

前文已經指出，該行為“實行犯化”的重要推動因素之一是訴訟便利的需要，即通過該行為的“實行犯化”，免除司法機關對一系列相關問題的證明責任。如果采用結果犯的犯罪類型，司法機關同樣很難克服由此帶來的偵查取證和證明難題，達不到訴訟便利的目的，所以“結果犯”的模式不可取。此外，“在現實中，犯罪并不是那么容易威懾的，要威懾所有無效率的犯罪幾乎是不可能達到的目標”[30]。在當今社會，由于各種原因，網絡犯罪非常猖獗，已經成為了普遍存在的現實，惡意公布、售賣安全漏洞的行為也不例外。為了縮小刑法的打擊面進而發揮刑法的效用，有必要設置一定的犯罪“門檻”，而且并不是所有的惡意公布、售賣安全漏洞行為都具有很大的社會危害性，如果公布的只是輕微的安全漏洞，利用其從事的網絡黑客行為就不能對計算機和網絡造成很大的沖擊，因此，也不具有較大的社會危害性，所以沒有必要把其劃定在犯罪圈之內。綜上所述，在將惡意公布、售賣安全漏洞行為的“實行犯化”而獨立入罪之時，將其設定為“情節犯”可能是比較合適的。

對于惡意公布、售賣安全漏洞行為法定刑的設置，需要從罪刑均衡的角度進行考量。惡意公布、售賣安全漏洞一般具有較大的社會危害性，對網絡安全造成巨大的沖擊。但是，僅僅以惡意公布、售賣安全漏洞行為為依據，基于計算機和網絡承載的抽象社會利益受損而適用重刑(尤其是無期徒刑，甚至死刑)是非常草率的。非法出租、出借槍支罪的最高法定刑也只有7年有期徒刑，因此，惡意公布、售賣安全漏洞行為加以“實行犯化”和獨立入罪后的法定刑不宜太高，以有期徒刑為限。如果惡意公布、售賣安全漏洞行為導致極其惡劣的黑客犯罪，例如，數額特別巨大的網絡盜竊犯罪(可能判處無期徒刑);又如，利用國防網絡系統的安全漏洞實施的為境外竊取、刺探國家秘密、情報犯罪并且對國家和人民危害特別嚴重、情節特別惡劣(可能判處死刑)，那么完全可以運用想象競合犯理論，根據“從一重罪處罰”的規則，認定為盜竊罪和為境外竊取、刺探國家秘密、情報罪而適用無期徒刑或者死刑。

(四)惡意公布、售賣安全漏洞行為獨立入罪化之前的司法對策

“由于立法程序的民主化和科學化程度的影響，有效率的結果并不必然出現，但是經過時間和歷史的淘洗，以及不同法系、不同國家在立法制度、程序、內容上的相互影響，有效率的法律原則、制度總會更容易產生。”[30]88但是，任何法律的制定和修改都具有一定的滯后性，惡意公布、售賣安全漏洞行為“實行犯化”也是如此。該行為可能在以后相當長的一段時間內都會以黑客犯罪幫助犯的形式出現于法律上。雖然刑事立法有缺陷，但是根據罪刑法定原則，司法機關必須在刑事法律規定的范圍之內進行定罪量刑，并且要在自由裁量權范圍內盡可能做到刑事判決結果的公正。

在惡意公布、售賣安全漏洞行為獨立入罪化之前，司法實踐中在處理惡意公布、售賣安全漏洞行為時，往往會出現無法入罪或者量刑過輕的問題。筆者認為，為了盡可能避免這些問題的出現，司法機關應當在遵守罪行法定原則的前提下采取以下對策:第一，如果對惡意公布、售賣安全漏洞行為在網絡黑客犯罪幫助犯層面上無法入罪，那么就要考慮其他入罪視角，例如，故意泄露國家秘密罪等;第二，如果對于惡意公布、售賣安全漏洞行為在網絡黑客犯罪幫助犯層面上能夠入罪，那么在量刑時只能“從輕”處罰，不能“減輕”更不能“免除”處罰;第三，如果對于惡意公布、售賣安全漏洞行為具有對黑客犯罪教唆的刑法解釋余地，那么就應力求按照相應犯罪的教唆型主犯處理;第四，如果惡意公布、售賣安全漏洞行為引起的黑客攻擊行為危害重大公私財產或者重大公共利益安全，那么就要進行擴張解釋，在恰當的時候可以考慮按照以危險方法危害公共安全罪處理。ML

參考文獻:

[1]北京瑞星信息股份有限公司. 2008年中國大陸地區電腦病毒疫情互聯網安全報告[EB/OL].[2008-11-18].http://www.rising.com.

[2]百度百科.安全漏洞[EB/OL].[2008-11-24].http://baike.baidu.com/view/93544.htm.

[3]微軟中文網站.微軟安全漏洞定義及相關聲明[EB/OL].(2008-1-30)[2008-11-18].http://www.microsoft.com/china/technet/security/bulletin/define.mspx.

[4]51CTO網站.拒絕服務攻擊DoS專題[EB/OL].http://netsecurity.51cto.com/art/200706/48785.htm; 百度百科. 安全漏洞[EB/OL].[2008-11-24].http://baike.baidu.com/view/21950.htm.

[5]林皓.黑客危害有多大?[J].華南金融電腦，1999，(5):36-39.

[6]洪苗.淺談網絡攻擊的常見方法及防范措施[J].電腦知識與技術，2009，(21):35-42.

[7]佚名.黑客瘋狂利用漏洞，暑期反毒首防掛馬[EB/OL]. (2009-2-12)[2009-4-13].http://article.pchome.net/content-935652.html.

[8]赫楓.黑客襲擊——國內重大案例[EB/OL]. (2008-12-1)[2009-4-3].http://blog.tianya.cn/blogger/post_show.asp?BlogID=5750PostID =6410508.

[9]佚名.“十一”長假網購網站紛紛被黑客掛馬[EB/OL]. (2008-10-12)[2009-3-28].http://xwt.donews.com/donews/article/1/137417.html.

[10]佚名.黑客利用銀行支付系統漏洞盜領轉賬使其損失百萬[EB/OL]. (2008-2-24)[2009-4-6].http://it.rising.com.cn/Channels/ Info/Securty/2004-04-22/1082597880d11951.shtml.

[11]佚名.金山內鬼助黑客狂盜虛擬幣，公司損失700萬[EB/OL]. (2007-8-29)[2008-12-5].http://tech.163.com/09/0327/01/55CJ8L 65000915BF.html.

[12]嘯風.黑客網上叫賣WMF漏洞資料，微軟發布緊急補丁[EB/OL]. (2008-5-8)[2008-11-7].http://tech.qq.com/a/20060204/000033.htm.

[13]佚名.瑞星發布2004年度報告，病毒、黑客威脅呈四大趨勢[EB/OL]. (2004-11-12)[2008-11-28].http://it.rising.com.cn/Channels/Info/ Virus/2004-12-28/1104197700d14642.shtml.

[14]邊歆.新趨勢:病毒大量利用工具軟件漏洞[N].網絡世界，2009-6-8(23).

[15]佚名.黑客攻擊逾九成發生在網絡公布24小時內[EB/OL]. (2009-4-7)[2009-5-20].http://www.hacker.com.cn/news/view.asp?id=1616.

[16]佚名.網財價值難定，盜竊百萬近獲刑1年半[EB/OL]. (2008-12-21)[2009-4-9].http://www.xinhuanet.com/chinanews/2005-08/24/ content_4957754.htm。

[17]王鑫.成都三“黑客”入侵網站偷賣游戲點卡獲利被判刑[EB/OL]. (2009-3-20)[2009-5-6].http://www.chinacourt.org/public/ detail.php?id=266335.

[18]佚名.首例黑客盜虛擬財產案:偷14萬判10年[EB/OL]. (2009-1-15)[2009-5-15].http://article.pchome.net/content-854898.html。

[19]郭高中.網絡犯罪“黑數”較大，每年網絡盜竊上百萬起[EB/OL]. (2008-11-25)[2009-4-21].http://news.ccw.com.cn/internet/htm2006 /20060406_13A3K_2.htm.

[20]阮齊林.中國刑法上的新類型危險犯[J].國家檢察官學院學報，2005，(6):42-51.

[21]陳興良.共同犯罪論[M].北京:中國社會科學出版社，1992:134.

[22]魏紅.論網絡犯罪對刑事責任偵查與證據制度的沖擊[J].貴州大學學報，2008，(5):42-46.

[23]靳慧云.試析網絡犯罪案件偵查中的障礙[J].中國人民公安大學學報，2003，(5):33-39.

[24]游勸榮.實體公正與程序公正及其相互關系研究——以司法特別是訴訟為觀察角度[J].福建論壇，2007，(5):62-66.

[25]張軍.犯罪行為評價的立場選擇——為行為無價值理論辯護[J].中國刑事法雜志，2006，(6):25-31.

[26]王云斌.網絡犯罪[M].北京:經濟管理出版社，2002:77.

[27]佚名.IE7新漏洞致木馬病毒劇增，瑞星發出紅色警報[EB/OL]. (2008-6-6)[2009-3-21]http://news.ccidnet.com/art/1032/20090224/ 1687667_1.html.

[28]張明楷.刑法學[M].3版.法律出版社，2007:536.

[29]許秀中.網絡與網絡犯罪[M].北京:中信出版社，2003:424.

[30]沈海平.尋求有效率的懲罰——對犯罪刑法問題的經濟分析[M].北京:中國人民公安大學出版社，2009:326.

Criminalization of Ill Publishing or Selling Computer Security Holes

YU Zhi-gang

(China University of Political Science and Law， Beijing 100088， China)

Abstract:Since nearly all net crimes originate from ill publishing or selling computer security holes， at present when the crimes are becoming a series of industrial activities， cracking down them should no doubt be deemed a drastic measure. From the angle of traditional criminal law， ill publishing or selling computer security holes may readily be held an assisting act of other net offenses and thus may bear of a color of dependence while it is being convicted and sentenced， which has resulted in that in judicial practice it is hard to convict such an act or the punishment for it is too lenient. Thus， it is urgent to find a way to specify such an assisting act as a substantive one in legislation so as to criminalize it separately.

Key Words:computer security hole; hacker crime; assisting act; net crime; legal amendment

本文責任編輯:梅傳強