虛擬的黑客與現實的法律

黑客行為造成巨大的潛在風險，可能造成巨大的損失。世界各國普遍針對黑客行為規定了罪名與處罰

美國中情局雇員愛德華·斯諾飛抵香港，拉開了震驚世界的“棱鏡門”事件的序幕。在香港，斯諾登通過英國《衛報》記者揭露美國自2007年開始實施棱鏡計劃。通過這個計劃，美國政府向與各大互聯網相關的公司索取資料、要求權限，甚至獲得互聯網最核心設備的后門權限，對全球互聯網進行了深入監視。這意味著，全球互聯網在美國政府面前，幾乎是透明的。與阿桑奇的“維基解密”披露外交密電事件相比，“棱鏡門”引起的震動有過之而無不及。

在一定程度上說，這是美國政府的黑客行為。此事比歷史上任何一次黑客行為更引起關注，更能引大家對黑客的警惕。

黑客，還是駭客？

說起黑客，許多人也許會馬上想到病毒、木馬、盜版、網絡攻擊、信息竊取這一類詞匯。一般人眼中的黑客的含義，其實并不是黑客本來的樣子。

早期的黑客，即英文的Hacker，本意是指那些對計算機技術有濃厚興趣的技術狂人，他們專注于計算機技術本身，以技術為傲。當時的黑客甚至是一個帶有褒義的詞語。正因為如此，比爾·蓋茨也曾經被認為是Hacker的一員，這足以令絕大多數人感到驚訝。在今天，比爾·蓋茨的名字是如此響亮，以至于不必寫出這個名字的中文音譯，大家也能夠想到他是誰，但多數人大概不會認為他與黑客有什么關聯。

要說著名的黑客與黑客事件，不同地域、不同職業的人也許會想起不同的人和事。但是有一個人，是絕對不可以忽略的，他就是傳奇人物：凱文·米特尼克。說他是傳奇，不是因為他是第一個被通緝的黑客，不是因為他15歲時入侵了北美防空系統，也不是因為他翻遍了美國指向前蘇聯及其盟國的所有核彈頭的數據資料，更不是因為入侵了各大公司的數據庫，而是因為他的事跡被不斷轉述，以訛傳訛，演變成了傳說：有人真的相信，他曾經在監獄里改裝一臺收音機以試圖連接互聯網。

凱文·米特尼克的行為，代表了當時黑客的風格。他們玩技術、探索各種可能性，但不打算、不屑以此直接謀利。美國當局就有人認為，如果凱文·米特尼克把獲得的核彈數據賣給當時的蘇聯，至少可以獲得50萬美元，而美國要重新部署核彈，至少要數十億美元。但是，凱文·米特尼克所做的，卻不過是向同學炫耀了一下而已。

這類自認技術至上、有專業精神的黑客，往往只關注技術問題，不理會其他。有些黑客不在意其技術結果是否具有破壞性，也不考慮其技術發現是否可以賺錢，當然其中部分人會向電腦公司通報發現的軟件漏洞，協助改進軟件或者網站。這些黑客往往比較年輕，到一定年紀后，他們的人生取向通常發生分化，可能成為電腦與網絡安全方面的專家，或者自己成立電腦安全方面的公司，或者進入企業擔任安全方面的工作，甚至被政府吸收為網絡軍隊的成員。

有“中國黑客教父”之稱、綠色兵團創始人龔蔚表示，自由、免費、共享、互助，這才是黑客們所推崇的至高精神，“不利用自己的技術去謀取個人的利益”是黑客精神的基本準則。讓人遺憾的是，當前社會公眾對黑客的認識，早已經超出了當初“技術狂人”的范疇，更多的是與“Cracker”聯系到了一起。

另一些自認為黑客的Cracker，直接利用黑客手段盈利，或者達到政治目的。他們更改頁面表達立場，或者攻擊網站索取金錢，或者破解軟件販賣盜版，或者盜取網站資料和個人信息用于出售，手段不一而足。中國人比較熟悉的Cracker，大概要數制造了世界上第一個能夠破壞硬件的CIH病毒的陳盈豪，制造了“熊貓燒香”病毒的湖北人陳俊、“珊瑚蟲”版QQ的陳壽福以及“番茄花園”版windows XP的洪磊。而一些較具有黑客（Hacker）精神的中國黑客，在一般中國公眾中反倒沒有多少知名度。例如“中國紅客聯盟”，以及其他參與了中外黑客攻防戰的人，沒有多少人知道他們的名字。

有人故意把Cracker翻譯為“駭客”，強調與“黑客”的區分。盡管他們自認為是“黑客”的一分子，但他們與傳統意義上的黑客區別是明顯的：黑客更類似于網絡世界的游俠，而駭客整體形象屬于網絡世界的流氓惡棍。

事實是，中國黑客的整體水平與西方國家的黑客相比還是有很大的差距。Windows系統的安全漏洞，能夠首先發現，并通報微軟公司的，基本上都是西方國家的黑客，鮮有中國人的身影。但是對那些技術至上的中國黑客來說，這并不妨礙他們對低技術含量的駭客的鄙視。

黑客是怎么活動的

提起黑客的行為，往往想起神秘的閃燈、跳躍的數字、天書般的代碼和神出鬼沒的行蹤。一般公眾不會在乎黑客和駭客究竟有沒有區別，而對黑客（或者駭客）是怎樣活動的也許更感興趣。

在互聯網出現之前，甚至更早，在PC（個人電腦）出現之前，黑客就出現了。他們是一幫技術牛人。甚至在單片機上自己編程，編寫出一個自己專用的、獨一無二的操作系統來。他們之間的交流，依靠的居然是紙媒介。在今天看來，是完全無法想象的。

在PC盛行的時代，逐步演進為Windows系統獨步天下的時代，基本上不可能依靠個人力量寫出一個操作系統來，因為其可用性、兼容性都是很成問題的。此時黑客們更感興趣的通常是系統漏洞、軟件缺陷等。他們對現有軟件進行反向工程，如反編譯、密碼破解、脫殼解密等，甚至編寫注冊機（算號器）程序，從而繞過系統安裝時的授權認證。微軟公司為了保證其Windows系統及其他應用軟件能夠通過正常的銷售獲利，在正版驗證方面下了大工夫。但是每個新版本的Windows系統一經推出，總是激起黑客群體的瘋狂欲望，競相設法破解。通常不出半年，Windows系統的正版驗證程序就被完美地破解。

進入網絡時代，黑客們的手段也與時俱進，網絡攻擊備受青睞。根據不同的分類標準，可以歸納為不同的網絡攻擊手段。常見的手段包括以下幾類：

一是DDoS攻擊，又叫拒絕服務攻擊。例如通過操控大量計算機，同時向攻擊目標發送訪問請求，從而使其系統資源或者網絡帶寬被全部占用，或者向攻擊目標發送特殊格式的數據包，當被攻擊目標服務器的系統程序有特定漏洞時，會無法處理該數據包，最終把系統資源消耗殆盡。如此一來，網站將無法為正常使用的人提供服務。二是入侵類攻擊。通過利用系統漏洞，或者通過窮舉法等方法破解目標的賬號密碼，達到侵入目標的目的。三是欺騙式攻擊。就是在網絡上冒用他人的IP、ARP欺騙等，冒充其他計算機或者服務器等，利用假冒的身份，獲取賬戶密碼等信息。四是信息收集攻擊。通過監聽網絡上公開傳送的數據，分析其隱含的資料，從而獲得其中包括的賬號、密碼等信息。

2010年1月12日，伊朗黑客入侵了美國某DNS服務器（負責把字母符號組成的域名地址轉換成數字IP地址），把所有該DNS負責解釋的域名都指向了“伊朗網軍”的宣傳內容。不幸的是，美國城門失火，殃及中國池魚，中國的百度網的域名正好由該服務器解析。百度搜索引擎本身正常運行，所以百度公司還沒有發現問題時，習慣于通過域名訪問百度網站的中國網民，就發現不能訪問百度網站了。此事引發了中國與伊朗的民間黑客大戰，大量中國、伊朗的網站被攻擊。

但是在中國以及世界各地，黑客的專業還在向另一個方向發展。一些利用黑客手段詐騙斂財的行業正在壯大。有專門的人編寫病毒、木馬，以便病毒式營銷或者盜取賬號密碼；另一些人專門負責制作假網絡，散布病毒、木馬；一批人負責遠程控制木馬等獲取客戶資料；還有一些人專門負責收取詐騙所得。以如此的方式展現非專業的人員的專業分工，實在令人驚訝。

黑客攻擊的法律防御

前中情局雇員斯諾登揭露棱鏡門，一度被懷疑是出于政治動機。但是后來的報道表明，斯諾登最初的動機，不是政治問題，而是法律問題。

斯諾登揭露棱鏡門與阿桑奇的維基解密很相似，又有明顯的差異。他們揭秘的動機，都是法律問題，想要維護公眾權利。但是阿桑奇的目標，是公眾的知情權；而斯諾登的目標，是公眾的隱私權。斯諾登不滿美國政府的黑客行徑，侵犯了美國公民的隱私權，違反了美國憲法。

諷刺的是，違法做出黑客行徑的美國政府，要對付斯諾登時，還是要回歸法律手段，以泄露國家秘密通緝斯諾登，要求“依法”引渡斯諾登回美國受審。

當然，美國政府不會為其黑客行徑負法律責任。因為根據國際法上的國家豁免原則，一個主權國在未獲同意下，不受另一個主權國法院的管轄（香港法院曾以國家豁免原則，判決美國基金FG Hemisphere Associates LLC起訴剛果政府一案不受香港法院管轄）。但是如果是非政府的黑客行為，就不可能被豁免了。

黑客的技術手段也許可以很厲害，也許可以成功隱藏自己的網絡行蹤。但是千萬不要受電影《黑客帝國》的誤導，以為黑客厲害得可以不受法律管束。依據黑客的行為、性質與結果，黑客個人或者黑客組織可能要承擔民事侵權責任或刑事犯罪責任。

黑客行為造成巨大的潛在風險，可能造成巨大的損失。世界各國普遍針對黑客行為規定了罪名與處罰。當年凱文·米特尼克被捕后因為無法可依，無法定罪，只能送進少年犯管教所，但在21世紀的今天，這樣的歷史不會重演了。

在國內，影響最大的案例發生在2009年5月19日。當天晚上21時50分開始，江蘇等六省區網絡突然“癱瘓”，全國20多個省區的網絡受到不同程度影響。后來查明，是因為私服之間的競爭，一方私服攻擊另一方私服不成，轉而攻擊對方使用的DNS服務器，并使其癱瘓。沒想到該DNS服務器也為“暴風影音”軟件提供域名解析服務。全國一半的電腦都安裝了“暴風影音”軟件，而該軟件有個“流氓”做法：定時自動聯網到暴風影音網站下載廣告。由于為“暴風影音”軟件提供域名解析服務的DNS服務器癱瘓，全國一半的電腦找不到連接暴風影音網站的“路標”，因而自動轉向電信的DNS根服務器，巨大的訪問量，相當于DDoS攻擊的效果，結果導致電信的網絡癱瘓了。2009年12月15日，常州市天寧區法院以“破壞計算機信息系統罪”，判處5名被告人有期徒刑八個月至一年三個月不等。

我國的《刑法》除了第二百八十六條規定了“破壞計算機信息系統罪”，還在第二百八十五條規定了“非法侵入計算機信息系統罪”、“非法獲取計算機信息系統數據、非法控制計算機信息系統罪”、“提供侵入、非法控制計算機信息系統程序、工具罪”。這些基本上是為黑客“量身定做”的罪名。為了應對黑客攻擊、網絡病毒等違法犯罪活動的嚴重威脅，2011年8月29日，最高人民法院、最高人民檢察院聯合公布了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，初步構筑起了一道應對黑客犯罪的法律“防火墻”。

除此之外，我國《刑法》還規定：“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。”這意味著，利用黑客手段或者利用計算機實施其他犯罪，也可能觸犯《刑法》其他條款的規定，構成其他犯罪。例如前面提到的“番茄花園”的作者洪磊及其他同案被告人、被告單位均被以“侵犯著作權罪”判處有期徒刑、沒收違法所得，并處罰金。

黑客與法律的關系將走向何方

當我們的生活與互聯網、智能手機越來越密不可分，網絡購物、網銀操作越來越普及時，遭遇黑客犯罪的風險也水漲船高。2010年6月，中國國務院新聞辦公室曾發布一份《中國互聯網狀況》白皮書。白皮書指出，近年來，中國的網絡犯罪呈上升趨勢，各種傳統犯罪與網絡犯罪結合的趨勢日益明顯，據統計，1998年公安機關辦理各類網絡犯罪案件142起，2007年增長到2.9萬起，2008年為3.5萬起，2009年為4.8萬起。在這些網絡犯罪案件中，相當一部分屬于制作傳播計算機病毒、入侵和攻擊計算機的“黑客”犯罪。

隨著黑客程序商品化和黑客犯罪技術門檻的降低，黑客犯罪呈現高發態勢，打擊網絡犯罪的法治之網也正在步步收緊。但這個過程不僅伴隨著巨大的理論和社會倫理的爭議，實踐中也存在諸多難題。

以珊瑚蟲QQ作者陳壽福案為例，2008年3月，深圳市南山區法院判決陳壽福犯侵犯著作權罪，判處其有期徒刑三年，并處罰金120萬元。該判決在當時就引起極大爭議，就騰訊公司而言，騰訊QQ發展過程中，也曾飽受質疑，許多人認為騰訊公司也曾經直接把別人的程序代碼拿來使用，這是公開的秘密。從這個角度而言，騰訊要求追究珊瑚蟲QQ作者的責任，在道義上是站不住腳的。此外，陳壽福雖然從廣告上獲利，但QQ軟件本身是免費的，陳壽福不是直接出售QQ軟件獲利，騰訊公司沒有版權上的損失；從法律的學術研究的角度，其行為的定性也是可以爭論的。

在外國也同樣存在極具爭議性的案例，如著名的“海盜灣”案。“海盜灣”網站是由瑞典的一個民間反版權組織海盜署成立，是全球最大的BT種子下載站，其本身雖然不直接存儲文件，也不直接提供下載，但是作為P2P（個人到個人）下載的種子服務器，為網民提供了自由分享或者獲得其他人分享的任意文件的便利。其提供的BT種子除了有自由版權的資源，也有著作人擁有商業版權的音頻、視頻、電腦軟件等。相關訴訟在多個國家分別進行，而法院給出的答案都很明確。2009年，“海盜灣”網站服務器所在的瑞典，判決該網站的四名創始人有罪；還有多個國家的法庭法官判決要求關閉或者封鎖該網站。其爭議在于，在互聯網共享精神與版權之間，究竟誰更重要？自由版權資源與開源軟件共享權利，相對于商業版權，誰更重要？

當前還有一個重要動向是，越來越多人借助“黑客”行為來表達自己對社會問題的看法和態度。今年7月，湖南臨武縣瓜農鄧正加被當地城管群毆致死，尸體被當地政府出動警力強行運走后，該縣政府網被黑，黑客在網站首頁醒目位置留言：“多行不義必自斃，致搶尸縣長！”2009年躲貓貓事件、2011年蒙牛乳業產品黃曲霉毒素超標事件、2012年修正藥業“毒膠囊”事件中，相關地方政府和企業都曾遭受官網被黑的待遇。在這些事件中，網絡黑客的舉動得到了社會輿論一邊倒的支持，問題是，在法律上，他們的行為屬于危害計算機信息系統的違法犯罪活動，還是一種新型的、另類的行使言論自由權和批評監督權的行為？

分享精神是互聯網發展的重要推動力。在電腦與互聯網這個全新的事物面前，我們是否還應當堅持傳統的版權、隱私與安全規則？我們承認互聯網絡不是法外之地，這意味著必須對網絡施加必要的管制，但另一方面，我們是否也應該承認互聯網自由、開放的特性，為網絡留下足夠的自由空間，并尊重公民在網絡上的合法權益？我們認為，一方面，法律總是要適應社會發展不斷修正；另一方面，法律，尤其是刑法必須保持足夠的謙抑性，防止過于剛性的法律損害彌足珍貴的創新精神和自由空間，從而成為科技發展和社會進步的絆腳石。

在司法實踐中，打擊黑客犯罪也存在不少難題。為了規避法律制裁，黑客也在與時俱進，選擇不同的發展方向。

一類是力圖洗白。這類黑客或者黑客組織嘗試轉型，從事網絡安全方面的咨詢或者直接提供安全服務。利用自身的知識技術與經驗，通過合法的經營實現營利。傳奇般的黑客凱文·米特尼克，就成功地轉型成為網絡安全咨詢師，還出版了兩本書。部分中國的黑客也有類似的經歷。

第二類是向分工的專業化轉型。入侵或者破解由黑客完成，但是后續的謀利等行為，由其他人做，最終收錢的可能又是另外的人。他們試圖以分散的行為，來分散法律風險，或者把其他人推出去拋頭露面，自己躲在暗處隱藏起來。

第三類人殫精竭慮，想要游走在法律的灰色地帶。常見的是在侵權作品上附加聲明：只供學習研究之用，不得用于其他目的，看完必須及時刪除。或者是試圖使自己的行為看起來“無害”。例如侵入他人網站后，不修改、不盜取資料，只是偷偷“加黑鏈”——在他人網站隱蔽地添加自己網站的鏈接，從而提高自己網站的“曝光率”。另一方面，偵查、司法機關在打擊黑客犯罪方面也存在管轄權屬不明、證據收集困難、技術人才較為缺乏等等障礙，嚴重影響了對黑客犯罪的打擊力度。

世界黑客大會每年都在美國舉行，近幾年來美國政府都派員出席，還現場招募人員，顯示了美國政府既打擊又培養的態度。中國也有名噪一時的“紅客”和“紅客聯盟”。棱鏡門后，有報道說今年的美國黑客大會拒絕了美國政府人員出席，說明了黑客們也有自己的立場。

黑客們在分化，在演變，社會也因應互聯網的影響而不斷修正。例如，深受網絡侵權之苦的電影公司、唱片公司都曾經努力尋求法律支持，封鎖互聯網上的電影與音樂分發，以維護傳統的電影、唱片發行方式，進而維護版權收益，但時至今日，終究要面對網上發行的現實。

這場矛與盾的攻防戰下一步會如何發展目前還不好預測，但可以肯定的是，我們希望看到黑客與法律、與社會互相影響，不斷互相調整，最終推動整個互聯網技術和社會向正確的方向前進。