gitbook/白话法律42讲/docs/67379.md

87 lines
7.9 KiB
Markdown
Raw Permalink Normal View History

2022-09-03 22:05:03 +08:00
# 17 | 漏洞在眼前,可以悄悄破解吗?
网络安全一直是每个IT工程师关注的重点虽然我对技术了解不多但是因为系统漏洞造成的网络安全事故比如用户数据泄露等倒也听过不少。系统存在漏洞是技术问题但如果有人利用了这个漏洞那可不仅仅是技术的范围了。
前不久某鹅厂23岁安全工程师的新闻想必你不会陌生。年轻的工程师因为对酒店的Wi-Fi系统顺手一测又顺手一发给传播了出去就被新加坡安全局给抓了。感觉似乎挺冤枉还真不冤比如你看这个真实的案例。
小安是一家公司的运维主管技术也很不错。一次工作中他发现了公司技术上的漏洞于是悄悄导出了公司的数据并在网上出售最终赚了26万元。
等待小安的是什么呢?钱,要补偿给公司,人,也要蹲大牢,罪名是非法获取计算机信息系统数据罪。为什么小小动作的惩罚会这么严重呢?
老规矩,我们还是先来了解下相关的法律知识。
## 法律知识
首先我们来看,“**非法获取计算机信息系统数据罪**”这个罪名。罪名很长,你可以重点先记住前四个字,“非法获取”,跟我们后面讲到的另一个罪名做个区分。
**非法获取计算机信息系统数据罪**是指违反国家规定,
* 侵入计算机信息系统,注意这里是指除了国家事务、国防建设、尖端科学技术领域这三点外的其他领域。
* 或者获取计算机信息系统数据。
并且,符合“情节严重”这一特点的行为。
在这里,我要重点解释几个概念。
首先,这里的“**计算机信息系统数据**”是指计算机里存储、处理、传输的数据,不仅包括了计算机系统数据和应用程序,还包括了你在计算机里存放的各种个人信息。
但是脱离了计算机存放的数据比如光盘、U盘中的计算机数据不适用于这个罪名。比如说别人copy你的U盘然后把里面的信息数据转手在网上卖出去或者是进行其他操作就不属于这个罪了。
第二,本罪里面的“**情节严重**”指的是:
* 获得**10组以上**的网络金融服务的身份认证信息,包括支付结算、证券交易、期货交易等;
* 获得**500组以上**的其他内容的身份认证信息;
* 非法控制了**20台以上**的计算机系统;
* 非法收入达到**5000元以上**
* 造成经济损失达到**10000元以上**。
以上的五个情节,只要达到了一点,就要追究刑事责任了。通常会被判处三年以下的有期徒刑或者拘役,可能会有罚金。严重点的,可能就是三年到七年的大牢了。
特别注意的是违法收入只要达到5000元就构成了犯罪而且即使你没赚钱只要给公司造成了10000元以上的经济损失也同样构成犯罪。这点钱可真不算多也可以看出这个罪名的定罪标准是真的很低国家的保护很严格如果不对自己多加约束一不小心可能就犯罪了。
另外,非法获取计算机信息系统数据罪有明确的范围界定,指的就是我们普通的商业或者工业范围,不包括国家事务、国防建设、尖端科学技术领域这三个领域。那如果你触碰的是这三个领域的计算机系统呢?
一定要特别注意我接下来要讲的,这三个领域万万碰不得!一旦你对国家事务、国防建设或是尖端科学技术领域的计算机做小动作,会犯另一个很严重的罪名,**非法侵入计算机信息系统罪**。
这个罪名的重点,你也可以记住前四个字,“非法侵入”。“侵入”二字,一听就比“获取”正式、严重得多。事实上也是这样,我们前面所说的**非法获取计算机信息系统数据**这个罪名本质上是因为你入侵系统后的其他操作比如操纵系统、copy或贩卖数据、或者传播等也就是我们所说的“情节严重”的行为。
而**非法侵入计算机信息系统罪**不考虑后果,属于行为犯(也就是以某个行为作为判罪的标准),**侵入即犯罪**!这里的“侵入”,是指没有国家部门的授权或批准,非法获取口令或许可证明后,冒充合法使用者,进入国家系统或者截收数据的行为。有些人甚至把自己的计算机和国家系统联网,同样犯罪。
事实上,如果侵入了这些领域,一般会被处三年以下的有期徒刑或者拘役。
其实这也很容易理解,这些关键领域对于保障国家安全、经济发展、和保护我们普通人的生命财产安全等方面,都十分重要。一旦被入侵,不管你是恶意的破坏分子,还是好奇心作祟,或者只是想单纯地秀技术,这种行为都可能导致重要数据被破坏,或重要、敏感的信息被泄露,带来巨大的灾难。所以,这里必须特殊对待,严厉惩罚。
当然,在实际判案中,一些确实无意识的,或是情节很轻微、没有带来巨大危害的行为,可以不按照犯罪来处罚,但是惩罚还是会有的。所以,遵纪守法在这里,真的就不是说说而已了。
## 情景分析
经过上面的学习,小安的问题就很容易分析了。即使公司技术有漏洞,也不是小安做坏事的理由啊。而且,公司有没有损失,并不是小安说了算的。这种事情,一旦越界后被公司发现,轻则开除,重的就是刑事犯罪了。
想想我们上面说到的那五个情节非法收入达到5000元或是给公司造成损失10000元就可能被判处三年以下有期徒刑。小安卖数据赚了26万元显然既得赔钱又要坐牢。
事实上也是如此法院最终判决小安犯非法获取计算机信息系统数据罪有期徒刑三年并处罚金10000元人民币。
你看看,权衡一下利弊,其实就是四个字:得不偿失。遇到这种事,我们本应该及时告诉公司,修复漏洞,这对公司来说挽回了一场损失,对你来说,也可能因此得到老板的赏识,获得更好的发展。这也是一个员工的基本职业素养啊!
## 思维法宝
在工作中,我们可能难免会发现公司的管理漏洞或者是技术开发漏洞,抵挡住诱惑并解决,可能会迎来新的发展;利用漏洞并牟利,估计就会锒铛入狱了。
更何况,现在对犯罪的追究,并不只是你在工作期间被发现的违法行为。即使你在职时的违法事儿没被发现,离职后被公司查到了,你一样会受到法律的制裁。
说了这么多,最后,我来总结一下我们今天的内容。我们主要学习了技术从业者的“两堵墙”,分别是**非法获取计算机信息系统数据罪**和**非法侵入计算机信息系统罪**,两个罪名涉及的领域不同,前者也就是“非法获取”这个罪名,强调的是普通领域的侵入和“情节严重”的判定,后者也就是“非法侵入”强调的是三个特殊领域的侵入,并且侵入即犯罪。
两个罪名的判定和后果都不同,但相同的是,判定标准都很低,要特别留心。
![](https://static001.geekbang.org/resource/image/06/ac/06368f985e394b63be24a11b288a6dac.jpg)
还是那句话,技术犯法不仅仅是技术问题,更是背后的动机和应用场景问题,而我们要关注的也不仅仅是技术,更要清楚可能触碰到的红线和后果的严重性,才能在意识和行为中建立好防线。
那么对于今天的内容,你还有哪些不清楚的地方或是想了解的吗?或者是你曾经有过触碰红线的危险经历吗?欢迎留言与我分享,记录下你此时的感悟或是问题。也欢迎你转发给身边的技术朋友,给特别的人特别的关爱。