“由于對IT技術、互聯網創新業務的熱愛，始終在關注這個行業，也發現了一些現象和問題，特別是安全技術人員的弱勢、背鍋、無意識犯罪，感到非常可惜，也值得社會反思和法律人的投入。”

一句“可惜”的感嘆背后是多少個真實的法律案例。正所謂常在河邊走，哪有不濕鞋。網絡安全這條大河又讓多少安全技術人員腳底沾“泥”而不自知?

如今，網絡安全行業相關的法律法規不再是“一枝獨秀”，而呈“百花齊放”之勢。在剛過去的幾個月內，政府就出臺了多部網絡安全行業相關的法律法規，比如新版國家標準《個人信息安全規范》、《網絡安全標準實踐指南—遠程辦公安全防護》等，涉及領域之多樣，行業之細，可落地、可執行。

然而，近幾年，技術卻頻頻闖入法律的紅燈區，因為安全技術而鋃鐺入獄的從業者不在少數，如何去把握法律的邊界而不觸及這條高危紅線?這是安全技術人員常常需要思考的問題。此次邀請到婁鶴律師來聊一聊安全技術人員自身的安全問題。

?[[323367]]?

婁鶴，北京德和衡(上海)律師事務所，高級聯席合伙人/律師。上海市科技創業導師，CISO(注冊信息安全專業人員)，曾任上海市律師協會互聯網業務委員會委員。在網絡信息安全、數據及隱私保護、網絡犯罪等領域擁有豐富經驗，對境內外法律均有深入研究。

公平、正義，再帶點酷炫……這是多少律師從業者的初心，婁鶴亦是如此。除此以外，律師行業對個人意味著有更多施展的空間，可以通過法律服務參與到經濟發展的不同行業。

婁鶴認為，數字化經濟的發展，離不開技術的迭代，也離不開法律的規范，在這個過程中充滿著不確定性、利益沖突、各種機會。互聯網安全行業一直是婁鶴的關注對象，對于行業的整體形勢發展他給出了一些自己的看法：

因此，面對網絡安全行業法律的新興態勢時，婁鶴認為對整體行業發展是利好。

在法規層面，以2016年出臺的《網絡安全法》為基點，作為頂層架構逐步擴散，具體細化到一些技術領域。這就類似一棵樹一樣，往下不斷生長扎根。整體網絡安全法律體系是逐漸地從抽象到具體，從籠統到細化，不斷完善的過程。

何以“踩雷”卻不自知

網絡安全形勢的復雜化和多樣化是催生行業法規的出臺和完善的一大動力。除了企業合規風險上升，安全技術人員觸及法律這條紅線的事件也在增加，比如早期的“世紀佳緣”案件、近期的“微盟刪庫”事件等。

其中，婁鶴認為背后的原因有多個方面：

• 一是網絡技術更新很快，應用形式多樣，綜合環境很復雜。
• 二是人員的技術能力，與法律意識、安全意識不匹配、不同步。這里的人員，包括技術人員，也包括管理人員。他們往往沒有意識到技術的發展和更多樣化的行業運用，其實是在放大風險。比如引發社會混亂和投資人損失的一些互聯網金融事件，就是如此。
• 三是監管具有滯后性的特點，一般跟不上技術和應用發展的速度，會留有時間窗口期，短期內存在立法缺位的現象，同時執法的尺度、邊界也比較模糊，這些都可能引起一些誤讀。

以上三個原因之間是相互交織的，隨著技術應用的多樣化，用傳統的方法去識別這種犯罪或者違法的形態和情況也會越來越難。因此，在這種情況下，政府部門需要進行規范。從立法到執法，這個過程也需要時間，從而導致了滯后性。

這種情況下容易出現兩種比較普遍的結果，一種是人員被技術的功能性和應用的多樣性所迷惑，無法把握本質而違法。

比如說某網站推出的對客戶獎勵的紅包活動，技術人員用技術去突破，去冒領一些數字財產，將其變現。他可能不覺得這是一個犯罪的行為，他覺得我只是技術比較牛,不會被人察覺。雖然這不同于直接去銀行竊取錢財，但是本質上它其實是一個偷盜的行為。

另一種是處在法律的模糊邊界，并不確定是否可以執行，但最后做完又充當了“替罪羊”的角色。

特別是一些金融創新類的業務，處在模糊邊界，這個東西到底能不能做，本身是比較搖擺的。有時候監管部門的態度也比較曖昧，那么技術人員可能確實會充當一些背鍋的這樣的角色。

總結來說，安全技術人員容易“踩雷”而不知，有以下五點原因：

• 技術相關法律條款相對原則、抽象，但實踐又是具體、豐富和多樣的，存在理解和認知上的差異;
• 技術人員的認知局限，缺乏風險意識、警惕性和敏感性;
• 存在不少灰色的地帶、模糊的邊界，特別是創新業務，執法態度可能會隨著事態的發展發生變化;
• 在單位犯罪中，技術人員往往要背鍋，他們承擔了底層的技術工作，但因為上層商業模式的違法性，而受到牽連;
• 商業競爭激烈、環境兇險，一些看似普通的技術問題，也可能會轉化成刑事案件。

爬蟲場景的法律“曖昧”

安全技術人員容易踩雷的場景之一，是避不開用爬蟲技術獲取數據。爬蟲被稱為互聯網行業的“黃金礦工”，然而有時候這位“黃金礦工”也是會挖到“地雷”的。近幾年，因為爬蟲觸及法律的事件，曝光的和判刑的都比較多。

這類新聞字眼也是頻頻挑動著技術人員的心，所以在利用爬蟲開展信息搬運時，應三省吾身：

• 是否違反ROBOTS協議，爬取對方數據;
• 是否繞過防護系統，爬取數據，甚至竊取個人敏感信息;
• 是否入侵計算機信息系統，或因爬取數據的行為影響對方服務器正常運行。

另外需要特別注意，對“違法”要做區分，有的是民事違法，比如爬取競爭對手的數據，會構成不正當競爭，可能被對手提起民事訴訟。而當爬取的數據涉及個人敏感數據，或造成了嚴重后果的，則會構成刑事犯罪。

爬蟲本身其實并不違法，但是對于爬取的數據，因其性質進行分類，結果就不一樣了。那些在爬蟲場景下容易觸及的法律法規，比如，

因此，婁鶴建議開展爬蟲業務的公司及業務人員，要十分重視其潛在的法律風險，最好咨詢網絡安全律師的意見，對業務風險及合法性進行評估。

“故意”“過失”傻傻分不清

前段時間，微盟刪庫事件引起軒然大波，嫌疑人是企業內部的運維人員，涉嫌故意“刪庫”泄憤，這類情況屬于少數案例，而日常生活中，技術人員往往是因為各種因素而導致的“無意”犯罪。

婁鶴指出，對于技術類的“無意”犯罪是十分常見的。從人的主觀判斷上來說，可以稱之為“無意”，但是在法律上，是分為“故意”和“過失”兩種情況。

• 有些技術人員因為不懂法，沒有意識到違法而犯罪的，從刑法上依然可以被認定為是故意犯罪，不影響定罪。
• 對于過失類犯罪，是指當事人主觀上沒有作惡或犯罪的目的，比如因操作不規范導致公司代碼泄露而造成經濟損失的，這種非主動的情況在判罰上相比故意犯罪會輕一些。

比如說在一些數據泄露案件中，可能只是一個普通的操作，把代碼放在某個公共平臺上，因為操作不規范或保護不當，被黑客竊取了，那么這種是屬于過失犯罪。

而對于故意犯罪的判定，婁鶴舉了個例子，比如經常會聽到一些P2P金融公司陷入非法集資或者集資詐騙的新聞，但是這個事件卻把程序員抓進去了。從程序員的角度來說，有種情況就是起到一個幫忙實現功能的作用，而對于平臺所參與的犯罪活動一概不知，這種情況下程序員仍然會被判為故意犯罪。因為從整體上的功能實現來說，程序員還是有主動參與的，法律上只是主犯和從犯的區別。但是歸根到底，這是整個平臺的商業模式的問題。

?[[323368]]?

安全圈的“軟件”防護不可少

如果說安全技術上的規避，是為硬件防護，那么法律安全意識就是“軟件”防護。

2020年的RSA大會中，“人的因素”被定為了大會主題，這也表明了一種行業趨勢，人在安全領域的作用會越來越大，越來越關鍵，那么構成企業的人員個體的法律安全意識的重要性不言自明。從技術人員安全上升到企業安全，企業員工個體如果沒有這種法律的安全意識，那么對于企業自身而言也是岌岌可危的。當企業員工個體懂得如何去規避法律風險時，企業合規或許也就真正地有了著落。

在采訪的最后，婁鶴為安全技術人員提出了一些建議來規避網絡安全風險：

• 呼吁整個安全技術行業、都要增強法律風險意識。
• 多參加安全/法律培訓;多關注與技術相關的違法犯罪案件，這些案件往往具有代表性，也是執法部門在階段性整治、打擊行動的風向標。
• 提高對高風險的技術、場景的辨識能力，如：爬蟲、虛擬貨幣、個人數據、金融業務、漏洞挖掘。
• 多咨詢專業律師的意見，不要憑感覺去做判斷，很多問題都出在 “我以為”，但是法律并不是你以為的那樣。

當然，簡短的幾行建議并不是行走安全圈的護身符，真正需要安全技術人員去做到的是對于安全法律的了然于心，當技術和法律的協同支撐，才能在未來走得更遠。

希望安全技術人員能夠保護好自己，享受技術的快樂、發揮技術的能量，共同造福社會，建設一個更安全、更高效、更豐富多彩的數字世界。