大學教授因入侵電腦系統而被判有罪,案件留下一個問題:關於「白帽黑客」的合法性。
在香港特別行政區 訴 馮建雄 [2024] HKCFI 504 一案,一人被裁定不誠實取用電腦,即《刑事罪行條例》 (第200章) 第161條—香港的經典網絡罪行。
事實上,一位本地大學教授擅自升級了他在大學教育資助委員會 (UGC) 電腦系統中的帳戶,獲得管理員權限。然後他修改外部評審人員的記錄,重置其他12個帳戶的密碼,並下載他人的研究建議書。
有趣的是,案件的核心辯護主題是該教授測試並發現了UGC系統中的安全漏洞,並打算稍後告知UGC。換句話說,這是一個典型的「白帽黑客」案例,與「黑帽黑客」形成鮮明對比—這些名稱源於舊西部片。
white hat noun
a hacker (= a person who gets into computer systems without permission) who has morally good reasons for doing this
black hat noun
a hacker … who does this for criminal or bad reasons
Cambridge Advanced Learner’s Dictionary & Thesaurus
正如在狂野西部片中,白帽黑客被認為是好人。他們與公司合作,以提高客戶在系統或網絡層面的安全狀況,或找到可能被惡意或未經授權的用戶利用的漏洞和攻擊手段。希望是,一旦白帽黑客發現了漏洞或攻擊手段,公司將採取措施降低風險。
Just like in the movies of the Wild West, White Hat hackers are considered the good guys. They work with companies to improve their client’s security posture at either the system or the network level, or finding vulnerabilities and exploits that could be used by a malicious or unauthorized user. The hope is that once a vulnerability or exploit is discovered by a White Hat, the company will mitigate the risk.
Thomas Wilhelm, Professional Penetration Testing (Second Edition), 2013
法庭最終駁回了被告的主張,認為他具有不誠實的意圖以獲益而取得他人的建議書。因此,法庭並未就這種「白帽黑客」的合法性作出結論,這是遺憾的,因為香港的案例從未就此作出決定。白帽的命運仍然懸而未決。但似乎似然可說,「白帽黑客」可能沒有罪行必須的不誠實意圖,亦因此,這可能是一個有效的辯護理由。
值得注意的是,英格蘭及威爾斯的皇家檢控署 (Crown Prosecution Service) 在其網絡罪案的檢控指引中亦承認「白帽」和「黑帽」:
黑客
一個熟悉電腦系統和軟件的人,他們挑戰軟件或硬件的極限。一些黑客擁有很好的創意,並分享他們的想法,使運算更加高效(白帽)。然而,有些人故意將他們的專業知識用於惡意目的(黑帽)。
Hacker
An individual skilled with computer systems and software, who pushes the limits of software or hardware. Some hackers originate good ideas and share their thoughts to make computing more efficient (white hats). However, some intentionally use their expertise for malicious ends, (black hats).
碰巧的是,近年「白帽黑客」成為了法律改革的焦點。2021年7月,香港法律改革委員會發表了一份《依賴電腦網絡的罪行及司法管轄權事宜》諮詢文件,建議全面審視網絡罪行。
諮詢文件在題為「未經授權訪問用於網絡安全目的」的第 2.110-2.112 段中對此議題有詳細分析。它還指出「白帽黑客」的普遍存在,並可能具有善意的目的,例如:
2017 年 “ WannaCry” 事 件 期 間, 92 一些網絡安全專家 進 行 測 試,並 提 醒 相 關 電 腦 用 戶 其 電 腦 須 安 裝 修 補程式以免遭受感染。這些專家的工作顯然惠及社會。
92 “WannaCry”是一款加密勒索軟件,會透過網絡掃描存在某種 Microsoft Windows 保安漏洞而未經修補的電腦,然後作出攻擊。全球多處地方,包括香港的電腦用戶均受到影響 … ”
儘管法改會尚未得出結論,但諮詢文件也特別帶出「網絡安全專業人員」應否有免責辯護或豁免,並對他們的身份和資格認證提出了問題。法改會提到,沒有任何認證或專業機構被視為唯一的網絡安全權威。同時,許多在該領域的人士儘管在網絡安全方面有著豐富的實戰經驗,卻沒有獲得資格認證。
由於IT行業的生態,這對法改會來說是一個兩難的問題。許多知名的科技公司都是由他們的創辦人在車庫裡面開始。與許多其他行業不同,眾多程序員、系統管理員和網絡安全專家都是自學成才。試圖實施一種資格認證制度可能會對行業產生根本性的破壞,其後果無法預見。
「白帽黑客」的未來仍然懸而未決。然而,至少根據目前法律而言,它仍然可能成為一個有效的辯護手段。
陳偉志大律師
香港大律師,Archbold Hong Kong 公共衛生特約編輯,大律師公會刑事法律與程序專業委員會委員,專注於醫療,科技及刑事法律。