惡意公布、售賣計算機安全漏洞行為入罪化的思考

關鍵詞: 計算機安全漏洞；黑客犯罪；幫助行為；網絡犯罪；立法完善

內容提要: 惡意公布、售賣計算機安全漏洞，幾乎是所有網絡犯罪的源發行為。在網絡犯罪已經逐漸開始形成“產業鏈”的今天，從源頭上打擊具有巨大社會危害性的惡意公布、售賣計算機安全漏洞行為，可以起到釜底抽薪的作用。在傳統刑法視野中，惡意公布、售賣計算機安全漏洞往往會被評價為其他網絡犯罪的幫助行為，因而造成了此類行為在定罪量刑上的天然依附性，造成了司法實踐中難以定罪和量刑過低的司法困境。考察幫助行為在立法上進行實行犯化的具體模式，將惡意公布、售賣計算機安全漏洞行為加以獨立入罪化是當務之急。
 
 
    在互聯網成為人們生活必備要素的新時代，互聯網為我們的生活帶來了前所未有的便利與進步，但是，由于互聯網自身成為越來越重要的利益載體，因而不斷地遭受著黑客們的攻擊與破壞。近年來，計算機病毒類型呈現出激增狀態，瑞星公司《2008年度中國大陸地區電腦病毒疫情＆互聯網安全報告》指出，2008年的病毒數量比2007年增長12倍以上。僅在2008年1月至10月，瑞星公司就截獲新病毒樣本930余萬個，而2007年截獲的新病毒樣本有91萬余個，2006年為53萬余個，2005年為16萬余個，2004年為6萬余個{1}。計算機病毒類型的爆發式增長，嚴重沖擊著網絡安全。病毒的激增很大程度上依賴于病毒制造的產業化，而惡意公布甚至有償出售計算機信息系統中的安全漏洞，則是病毒“產業鏈”中最關鍵的一環。瑞星公司《2008年度中國大陸地區電腦病毒疫情＆互聯網安全報告》指出：“從技術上講，目前的病毒產業鏈條由四個部分組成：挖掘安全漏洞、制造網頁木馬、制造盜號木馬、制造木馬下載器（病毒下載者）。這些環節形成了分工明確、效率快捷的工業化‘生產線’。”由此可見，挖掘安全漏洞并加以惡意公布和售賣，已經成為病毒“產業鏈”中重要的一環。

　 一、安全漏洞及其可能引發的危害

　 計算機病毒之所以能夠進入計算機信息系統，其根本原因就在于：計算機自身存在著一定的安全漏洞，這給了計算機病毒以可乘之機。

　 （一）安全漏洞的概念核心論文發表網

　 顧名思義，安全漏洞，是指計算機信息系統在使用過程中存在的安全隱患。這些漏洞因何而生，需要進行專業上的探究。從專業角度講，“漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統”{2}。由此可以看出，漏洞在本質上是一種缺陷。簡單地進行類型劃分，此種缺陷又可以細化為3個方面，即硬件缺陷、軟件缺陷與協議缺陷。具體來說，硬件缺陷如在Intel penti-um芯片中存在的邏輯錯誤；軟件缺陷如在Sendmail早期版本中的編程錯誤；協議缺陷如在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題。這些缺陷都可能被攻擊者使用，威脅到系統安全，因而都可以認為是系統中存在的安全漏洞{2}。

　 （二）安全漏洞的性質

　 “安全漏洞”這一術語，單從表面上看，具有的一定的專業性，不易于理解。那么，應該如何理解安全漏洞的性質呢？微軟中文網站有一段對安全漏洞進行定義的文字，它可以幫助理解安全漏洞的性質：“即使使用者在合理配置了產品的條件下，由于產品自身存在的缺陷，產品的運行可能被改變以產生非設計者預期的后果，并可最終導致安全性被破壞的問題，包括使用者系統被非法侵占、數據被非法訪問并泄露，或系統拒絕服務等。我們將這些缺陷稱為安全漏洞。”{3}這一定義將微軟設計的軟件稱之為產品，而將微軟設計的軟件自身所具有的缺陷稱之為安全漏洞。由此可見，存在于計算機中的安全漏洞，其本質即為產品缺陷。這種缺陷并非計算機軟、硬件的制作者由于疏忽大意遺留下來的缺陷，而更多地屬于一種在計算機軟、硬件的設計過程中所不可避免的缺陷。核心論文發表網

　 應當說，安全漏洞是計算機軟、硬件產品所固有的缺陷。安全漏洞的固有性表現為，計算機軟、硬件雖然經過研發人員的層層檢測，但是，仍然避免不了存在安全漏洞。隨著計算機用戶的不斷深入使用，軟、硬件的漏洞會不斷地被發現，這些漏洞雖然可以用供應商的軟件補丁進行修補，但是，修補之后的系統又會引發新的漏洞。實際上，“安全漏洞的出現，是因為人們在對安全機制理論的具體實踐中發生了錯誤，是意外出現的非正常情況。而在一切由人類實現的系統中都會不同程度的存在實現和設置上的各種潛在錯誤。因而在所有系統中必定存在某些安全漏洞。”{2}由此可見，安全漏洞的本質是產品缺陷，這種缺陷又具有固有性、隱蔽性、不可避免性。

　 （三）安全漏洞可能引發的危害核心論文發表網

　 安全漏洞雖然是計算機軟、硬件所固有的屬性，但是，由于它具有隱蔽性，通常情況下不易被發現與利用。然而，安全漏洞一旦被別有用心的黑客們發現，黑客們就會利用這些安全漏洞，編寫有針對性的攻擊程序，非法進入用戶的個人電腦進行攻擊。具體而言，這些黑客的攻擊可以分為兩種類型，即破壞性攻擊和竊密型攻擊。破壞性攻擊是指入侵者利用計算機軟、硬件的安全漏洞，對目標計算機的運行程序進行破壞性攻擊。這種攻擊又可以細分為兩類：一類為直接對計算機系統自身的破壞；一類為對網絡服務的破壞。對計算機系統的破壞，例如，2000年前后出現的只能感染Windows 95/98操作系統的CIH病毒。[1]這種病毒即是一種利用系統的安全漏洞對計算機系統硬件進行破壞的惡性病毒。對網絡服務的破壞，例如，最近幾年頻發的拒絕服務攻擊（Dos）與分布式拒絕服務攻擊(DDoS) {4}，這種攻擊的破壞性在于，利用網絡協議(TCP協議）自身存在的缺陷，發送大量偽造的TCP連接請求，使被攻擊方的資源耗盡，CPU滿負荷或者內存不足，從而使被攻擊的主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求，造成網絡癱瘓。[2]竊密型攻擊是指入侵者利用計算機配置的軟件漏洞，向用戶的計算機植入木馬程序，以此盜取用戶的私密信息，例如，網銀帳號和密碼、網游帳號和密碼、秘密信息資料等。可以說，安全漏洞是黑客發動攻擊所必須依賴的路徑，安全漏洞一旦被黑客挖掘并惡意利用，將會對計算機用戶產生不同程度的危害。

　 二、安全漏洞的挖掘及其后續處置行為的模式核心論文發表網

　 安全漏洞是計算機軟、硬件（產品）固有的、不可避免的缺陷，此種（產品）缺陷一旦被發現（挖掘），將成為黑客們進行攻擊的導火索，引發不同程度的使網絡受到威脅甚至是破壞的安全事件。

　 （一）關注和挖掘安全漏洞行為的主體核心論文發表網

　 計算機軟、硬件作為一種應用產品被研制開發出來之時，安全漏洞必然同時伴生。安全漏洞一旦被惡意利用，就能夠給計算機用戶的系統安全帶來直接的威脅甚至是破壞，因此安全漏洞成為黑客與維護網絡安全的專家們共同關注的問題。由此，挖掘安全漏洞的行為也因行為主體與行為動機的不同而具有了不一樣的性質與地位。

　 關注安全漏洞的主體可以分為兩大陣營：一方面為黑客；另一方面為維護網絡安全的專家。黑客們關注和挖掘安全漏洞，是為了利用安全漏洞實施攻擊；而維護網絡安全的專家們關注和挖掘安全漏洞，是為了在黑客發現安全漏洞之前修復漏洞，使計算機軟、硬件能夠在安全的環境下使用，避免發生網絡安全事件。另外，一些普通的計算機用戶，在使用計