恶意公布、售卖计算机安全漏洞行为入罪化的思考

关键词: 计算机安全漏洞；黑客犯罪；帮助行为；网络犯罪；立法完善

内容提要: 恶意公布、售卖计算机安全漏洞，几乎是所有网络犯罪的源发行为。在网络犯罪已经逐渐开始形成“产业链”的今天，从源头上打击具有巨大社会危害性的恶意公布、售卖计算机安全漏洞行为，可以起到釜底抽薪的作用。在传统刑法视野中，恶意公布、售卖计算机安全漏洞往往会被评价为其他网络犯罪的帮助行为，因而造成了此类行为在定罪量刑上的天然依附性，造成了司法实践中难以定罪和量刑过低的司法困境。考察帮助行为在立法上进行实行犯化的具体模式，将恶意公布、售卖计算机安全漏洞行为加以独立入罪化是当务之急。


在互联网成为人们生活必备要素的新时代，互联网为我们的生活带来了前所未有的便利与进步，但是，由于互联网自身成为越来越重要的利益载体，因而不断地遭受着黑客们的攻击与破坏。近年来，计算机病毒类型呈现出激增状态，瑞星公司《2008年度中国大陆地区电脑病毒疫情＆互联网安全报告》指出，2008年的病毒数量比2007年增长12倍以上。仅在2008年1月至10月，瑞星公司就截获新病毒样本930余万个，而2007年截获的新病毒样本有91万余个，2006年为53万余个，2005年为16万余个，2004年为6万余个{1}。计算机病毒类型的爆发式增长，严重冲击着网络安全。病毒的激增很大程度上依赖于病毒制造的产业化，而恶意公布甚至有偿出售计算机信息系统中的安全漏洞，则是病毒“产业链”中最关键的一环。 瑞星公司《2008年度中国大陆地区电脑病毒疫情＆互联网安全报告》指出：“从技术上讲，目前的病毒产业链条由四个部分组成：挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器（病毒下载者）。这些环节形成了分工明确、效率快捷的工业化‘生产线’。”由此可见，挖掘安全漏洞并加以恶意公布和售卖，已经成为病毒“产业链”中重要的一环。

　 一、安全漏洞及其可能引发的危害

　 计算机病毒之所以能够进入计算机信息系统，其根本原因就在于：计算机自身存在着一定的安全漏洞，这给了计算机病毒以可乘之机。

　 （一）安全漏洞的概念

　 顾名思义，安全漏洞，是指计算机信息系统在使用过程中存在的安全隐患。这些漏洞因何而生，需要进行专业上的探究。从专业角度讲，“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统”{2}。由此可以看出，漏洞在本质上是一种缺陷。简单地进行类型划分，此种缺陷又可以细化为3个方面，即硬件缺陷、软件缺陷与协议缺陷。具体来说，硬件缺陷如在intel penti-um芯片中存在的逻辑错误；软件缺陷如在sendmail早期版本中的编程错误；协议缺陷如在nfs协议中认证方式上的弱点，在unix系统管理员设置匿名ftp服务时配置不当的问题。这些缺陷都可能被攻击者使用，威胁到系统安全，因而都可以认为是系统中存在的安全漏洞{2}。

　 （二）安全漏洞的性质

　 “安全漏洞”这一术语，单从表面上看，具有的一定的专业性，不易于理解。那么，应该如何理解安全漏洞的性质呢？微软中文网站有一段对安全漏洞进行定义的文字，它可以帮助理解安全漏洞的性质：“即使使用者在合理配置了产品的条件下，由于产品自身存在的缺陷，产品的运行可能被改变以产生非设计者预期的后果，并可最终导致安全性被破坏的问题，包括使用者系统被非法侵占、数据被非法访问并泄露，或系统拒绝服务等。我们将这些缺陷称为安全漏洞。”{3}这一定义将微软设计的软件称之为产品，而将微软设计的软件自身所具有的缺陷称之为安全漏洞。由此可见，存在于计算机中的安全漏洞，其本质即为产品缺陷。这种缺陷并非计算机软、硬件的制作者由于疏忽大意遗留下来的缺陷，而更多地属于一种在计算机软、硬件的设计过程中所不可避免的缺陷。

　 应当说，安全漏洞是计算机软、硬件产品所固有的缺陷。安全漏洞的固有性表现为，计算机软、硬件虽然经过研发人员的层层检测，但是，仍然避免不了存在安全漏洞。随着计算机用户的不断深入使用，软、硬件的漏洞会不断地被发现，这些漏洞虽然可以用供应商的软件补丁进行修补，但是，修补之后的系统又会引发新的漏洞。实际上，“安全漏洞的出现，是因为人们在对安全机制理论的具体实践中发生了错误，是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞。”{2}由此可见，安全漏洞的本质是产品缺陷，这种缺陷又具有固有性、隐蔽性、不可避免性。

　 （三）安全漏洞可能引发的危害

　 安全漏洞虽然是计算机软、硬件所固有的属性，但是，由于它具有隐蔽性，通常情况下不易被发现与利用。然而，安全漏洞一旦被别有用心的黑客们发现，黑客们就会利用这些安全漏洞，编写有针对性的攻击程序，非法进入用户的个人电脑进行攻击。具体而言，这些黑客的攻击可以分为两种类型，即破坏性攻击和窃密型攻击。破坏性攻击是指入侵者利用计算机软、硬件的安全漏洞，对目标计算机的运行程序进行破坏性攻击。这种攻击又可以细分为两类：一类为直接对计算机系统自身的破坏；一类为对网络服务的破坏。对计算机系统的破坏，例如，2000年前后出现的只能感染windows 95/98操作系统的cih病毒。[1]这种病毒即是一种利用系统的安全漏洞对计算机系统硬件进行破坏的恶性病毒。对网络服务的破坏，例如，最近几年频发的拒绝服务攻击（dos）与分布式拒绝服务攻击(ddos) {4}，这种攻击的破坏性在于，利用网络协议(tcp协议）自身存在的缺陷，发送大量伪造的tcp连接请求，使被攻击方的资源耗尽，cpu满负荷或者内存不足，从而使被攻击的主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求，造成网络瘫痪。[2]窃密型攻击是指入侵者利用计算机配置的软件漏洞，向用户的计算机植入木马程序，以此盗取用户的私密信息，例如，网银帐号和密码、网游帐号和密码、秘密信息资料等。可以说，安全漏洞是黑客发动攻击所必须依赖的路径，安全漏洞一旦被黑客挖掘并恶意利用，将会对计算机用户产生不同程度的危害。

　 二、安全漏洞的挖掘及其后续处置行为的模式

　 安全漏洞是计算机软、硬件（产品）固有的、不可避免的缺陷，此种（产品）缺陷一旦被发现（挖掘），将成为黑客们进行攻击的导火索，引发不同程度的使网络受到威胁甚至是破坏的安全事件。

　 （一）关注和挖掘安全漏洞行为的主体

　 计算机软、硬件作为一种应用产品被研制开发出来之时，安全漏洞必然同时伴生。安全漏洞一旦被恶意利用，就能够给计算机用户的系统安全带来直接的威胁甚至是破坏，因此安全漏洞成为黑客与维护网络安全的专家们共同关注的问题。由此，挖掘安全漏洞的行为也因行为主体与行为动机的不同而具有了不一样的性质与地位。

　 关注安全漏洞的主体可以分为两大阵营：一方面为黑客；另一方面为维护网络安全的专家。黑客们关注和挖掘安全漏洞，是为了利用安全漏洞实施攻击；而维护网络安全的专家们关注和挖掘安全漏洞，是为了在黑客发现安全漏洞之前修复漏洞，使计算机软、硬件能够在安全的环境下使用，避免发生网络安全事件。另外，一些普通的计算机用户，在使用计算机的过程中，也可以在无意中发现安全漏洞。这一部分主体既可能成为黑客阵营的帮凶，也可能成为维护网络安全专家的同盟，其主体地位具有一定的特殊性。值得注意的是，实践中已经出现软、硬件厂商的研发人员出于各种目的而私下恶意公布、售卖安全漏洞的行为。

　 （二）安全漏洞在黑客“产业链”中的作用和地位

　 挖掘安全漏洞、恶意无偿公布和售卖安全漏洞已经成为黑客产业链中重要的一环。挖掘、发现安全漏洞是病毒制作、传播的重要前提，可以说，没有安全漏洞，就没有病毒传播的空间。挖掘安全漏洞在黑客“产业链”中具有至关重要的地位。在黑客行为的最初发展阶段，攻击过程一般都是由黑客个人完成的，即黑客个人自行发现计算机系统的安全漏洞，并针对此项安全漏洞编写病毒程序实施黑客攻击；但是，随着互联网的快速发展，黑客行为已经发展为一条庞大的具有明确分工的“产业链”。在这一条黑客“产业链”中，挖掘、发现安全漏洞已经成为独立的一环。一部分黑客专门负责寻找、挖掘、发现安全漏洞，再将发现的安全漏洞提供、售卖给负责编写病毒程序的黑客，甚至是恶意地将安全漏洞公布在互联网上，而“黑客组织购买了漏洞信息后，利用这些信息编写强大的新病毒”{1}，最终实现黑客攻击。从理论上讲，计算机软、硬件的漏洞均可以被黑客挖掘利用，但是，目前被黑客利用最多的则是软件漏洞。计算机软件漏洞已经成为黑客们制造、传播病毒和实施黑客攻击的一个重要前提，“通过用户电脑系统中安装的软件存在的漏洞，病毒可以快速的在用户不知情的情况下进入互联网用户电脑”{1}。由此可见，挖掘、发现安全漏洞在黑客产业链中具有举足轻重的地位。如果没有对安全漏洞进行挖掘与发现，黑客们就无法制作可以侵入计算机系统的病毒程序，但是，如果没有对安全漏洞进行公布或者售卖，黑客“产业链”就难以扩大，其社会危害性也就无法加以无限度地扩张。

　 （三）安全漏洞被挖掘后的去向分析

　 安全漏洞被挖掘之后，它的去向可以分为3个部分：一部分为直接提供、售卖给黑客或黑客组织；另一部分为在网上公开披露；一部分为向软、硬件厂商报告。

　 1．将安全漏洞直接提供、售卖给黑客或者黑客组织

　 就安全漏洞被直接提供给黑客或者黑客组织这一去向来说，这一部分挖掘安全漏洞的行为人按其对安全漏洞的处理方式可以划分为以下两种类型：第一种是挖掘、发现安全漏洞的黑客直接归属于某一黑客集团，仅为某一固定组织挖掘安全漏洞。这些挖掘安全漏洞的黑客作为黑客集团完成某项黑客攻击行为的参与者，专门为这一黑客集团挖掘安全漏洞，与黑客集团具有隶属协作关系；第二种是挖掘、发现安全漏洞的人员不归属于任何一个黑客集团，而专门以公开售卖安全漏洞为生。“有些黑客专门从系统上寻找漏洞，找到之后就可以到地下交易网站进行出售，最便宜的漏洞也可以卖到数百欧元，高的甚至可达五六千欧元。”{1}（如图1)在此种地下交易中，由于黑客组织先于软件厂商发现并利用了安全漏洞，致使新病毒在软件厂商提供有效的修复补丁之前，便能够在互联网上大量传播，造成危害严重的oday[3]攻击。[4]另外，应当注意的是，这些售卖安全漏洞的人员，既可以是黑客，也可以是软、硬件厂商的研发人员。图1：安全漏洞名称和售卖价格表[5]

　 ┌───────────────────┬───────────┬───────────────────┐

　 │title │system │bidderer(s) │

　 ├───────────────────┼───────────┼───────────────────┤

　 │postgresql │postrgresql │gaskets 600* │

　 │ │ │mumps 700 *gaskets 800* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │safesri │mac0sx │saunders 300* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │c a personal firewall │windows xp │whitehome 300* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │php shop #1 │web application │betchless 500* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │videlolan vlc │windows xp │froissart 700* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │symantec back up exec │wndows xp │bandland 500* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │sap maxdb │i i.mc │nev sky 3000* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │free radius │linz │folurvita 500* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │reo networks helix server │linux │whitehome 1000* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │php shop │web application │galap 200* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │samba │freebsd │groissart 500* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │qaiktime │windows xp │froissart 500* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │cl-av │linux │valeorum 600* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │ibm db2#2 │windows 2000 │valeorum 1050* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │ibm db2 #1 │windows 2000 │valeomm 1050* │

　 ├───────────────────┼───────────┼───────────────────┤

　 │sap client wlner ability #2 │windows xp │valeomm 5100* │

　 └───────────────────┴───────────┴───────────────────┘

　 2．将安全漏洞报告直接在网络空间中加以公布

　 这种安全漏洞被公开披露的方式所产生的影响也有两方面：一方面，由于网络信息传播高速快捷，安全漏洞一旦被公开披露，黑客组织可以在最短时间内对安全漏洞加以利用，编写病毒程序，引发网络安全事件；另一方面，安全漏洞的公开披露，也加速了软件厂商研发安全漏洞补丁的进程，可以减少黑客攻击行为的威胁与危害。网络资源的共享性与即时性，使得安全漏洞在互联网中的公开披露具有相当大的影响力。一旦安全漏洞被公开披露，就只能寄希望于软件厂商的研发人员能够在黑客进行黑客攻击之前，编写出修复补丁，以避免爆发大规模的网络安全事件。

　 3．将安全漏洞报告给软件、硬件的生产厂商

　 就安全漏洞报告给软、硬件厂商这一去向来说，这一部分挖掘安全漏洞的行为人可以被分为两种类型：一是软、硬件厂商内部的研究工作人员。这部分研究人员专门负责检测和挖掘软、硬件厂商开发的软、硬件产品中的安全漏洞，研究人员发现漏洞后，再将此漏洞信息秘密报告给软、硬件厂商，厂商再针对漏洞信息，提供修复程序，通过自动更新或者发布公告的形式让用户安装最新版本，消除安全威胁{1}；二是使用计算机的普通用户。这些普通用户没有为软、硬件厂商提供安全漏洞信息的职责，但是，他们却自愿地为软、硬件厂商提供他们发现的安全漏洞信息。以微软公司为例，该公司每年都要处理成千上万份安全漏洞报告{3}。在这些报告中，经过微软公司研发人员的仔细甄别，确实发现了存在于微软产品中的安全漏洞，使得微软公司可以在第一时间发布修复相关漏洞的更新信息，消除网络安全威胁。

　 三、恶意公布、售卖计算机安全漏洞行为的社会危害性

　 将安全漏洞报告给软件、硬件的生产厂商，是一种值得鼓励的合法行为，属于一种“善意”报告行为，此种行为不是刑法评价的对象。但应当思考的是，无论是黑客还是普通用户，也不论是软件、硬件的设计人员还是其他人员，如果在发现安全漏洞之后，将安全漏洞直接提供、售卖给黑客或者黑客组织，或者将安全漏洞报告直接在网络空间中加以恶意公布的，应当如何评价？

　 （一）利用安全漏洞的网络黑客行为的社会危害性

　 众所周知，计算机和网络已经深入我们生活的每个角落：每天数以亿计的计算机用户都在利用计算机存储、处理重要资料；几乎所有的公司企业都在使用计算机和网络处理每天的业务信息甚至商[3]may泛指所有在官方发布该作品之前或者当天。它主要涵盖了影视、软件、游戏、音乐、资料等方面，由一些特别小组以一定的格式打包发布的数码内容。网络安全意思上的may就是指一些没有公布补丁的漏洞，或者是还没有被设计发现的漏洞进行攻击的工具。由于这种利用漏洞进行攻击的程序对网络安全具有巨大威胁，因此oday也成为黑客的最爱。业机密，而全球各大银行的金融结算和汇兑业务如果离开计算机和网络将会顿时瘫痪掉；几乎所有的政府部门都在不同程度地利用着计算机和网络，甚至利用其存储和处理重要的公民信息或者国家机密……可以说，计算机和网络已经承载了人类社会巨大的利益，这也注定了黑客对计算机和网络的攻击行为具有巨大的社会危害性。例如，“ 1995 -1996年，一个来自阿根廷的黑客利用国际网络进入美国一所大学的计算机系统，并由此进入美国海军研究实验室和其它国防设施、国家宇航局及洛斯阿拉莫斯国家实验室的计算机网络。这些系统中保存有飞机设计、雷达技术、卫星工程等敏感研究信息。而美海军无法确认究竟哪些信息被偷窃或泄漏出去，更无法估计损失究竟有多大。”{5}

　 现实中，黑客的网络攻击行为有很多种方式，例如，通过电子邮件进行攻击、利用网络系统漏洞进行攻击、进行解密攻击、利用后门软件进行攻击等，其中，利用计算机安全漏洞是重要的黑客攻击手段之一{6}。而利用安全漏洞实施的网络黑客行为又可以具体表现为两种形式：（1)直接对计算机系统和正常的网络连接造成损害，使计算机数据丢失、损坏等，或者使网络服务器瘫痪，网络连接中断；(2）通过黑客的攻击行为，非法获取或者篡改重要信息，或者非法控制计算机信息系统。

　 目前，大量存在着利用安全漏洞直接攻击、控制或者损害计算机系统和网络的黑客攻击。客观地讲，“电脑病毒中最疯狂的是什么呢？答案当属木马病毒。黑客们疯狂地利用漏洞向网民发起挂马攻击。”“近日，瑞星公司发布《2009年上半年中国大陆地区互联网安全报告》，上半年瑞星‘云安全’系统拦截到的挂马网页数累计达2.9亿个（第一季度为1.9亿，第二季度为1亿），共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民被挂马网站攻击。”{7}利用安全漏洞进行的攻击是极为普遍的，瑞星公司曾于2009年7月23日“向网民发出警告：adobe公司的流行软件flash爆出严重漏洞，该漏洞影响所有版本的flash、pdf程序。据介绍，用户打开含有该漏洞的pdf文件以及flash文件后，电脑会自动下载大量盗号木马。该漏洞是针对flash以及含有flash的pdf文档进行攻击，它不仅限于windows系统、ie浏览器，而且linuxfirefox等操作系统及浏览器也可能遭到侵害。由于flash技术在大量网页和文档中被应用，此漏洞危害极大”{7}。

　 相对来说，利用安全漏洞实施的非法获取、篡改数据的行为具有更大的社会危害性。黑客获得或者篡改的各种信息可能涉及个人的电子货币账户、银行账户、企业竞争资料、商业秘密甚至国防机密等，一旦非法使用或者篡改此类信息，将会对社会造成重大的损失。“目前，黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术，获取经济利益几乎成为他们编写病毒的惟一目的，‘偷’、‘抢’、‘骗’已经成为目前计算机病毒的主要特征。”{8}例如，网购已经成为“假日新经济”的主要力量，而黑客们往往会在假期开始大面积作恶，用户一旦点击登录到含有恶意代码的网页时就会感染病毒，病毒通常会下载多个木乌程序，其中大部分是盗号木马，盗窃目标基本包括当前主流的网络游戏、网银账号密码等，从而给用户造成严重的经济损失{9}。2004年4月21日，台北市警方侦破首宗网络银行欺诈盗领案，案中的两名犯罪嫌疑人无意间发现玉山银行的支付系统ecoin (玉山银行合法发行的“网络新台币”，）“便利付”的漏洞，于是，通过购买大量信用卡资料，由网络转账从中盗领，初步估计银行损失数百万元{10}。2007年7月，一位名叫王立科的网络黑客偶尔发现“剑侠情缘网络版2”的系统存在漏洞，便在几个月内与人合谋成功盗取大量虚拟货币，然后低价盗卖，致使北京金山数字娱乐科技有限公司损失近700万元{11}。

　 一般来讲，利用计算机安全漏洞实施的单次黑客攻击行为就可能造成非常大的损害。而网络具有无限的延伸性，一个黑客可以面对数以亿计的计算机，因而一台计算机也往往要承受成千上万个黑客的威胁，因此出现的客观结果就是网络攻击行为横行。据统计，早在1995年，美国国防部系统的网络计算机在一年之内就遭受到25万次不同身份入侵者的袭击{5}。这一数据充分说明了利用安全漏洞实施黑客攻击行为的巨大社会危害性。而实际上，这种网络攻击行为泛滥的背后往往会存在着另外一种令人关注的行为，即恶意公布、售卖安全漏洞行为。

　 （二）恶意公布、售卖安全漏洞使黑客行为的危害性被无限放大

　 利用安全漏洞实施的黑客攻击行为具有极为巨大的社会危害性，但是，此种攻击行为得以实施的前提是已经挖掘、发现了相应的计算机和网络安全漏洞。如果由黑客亲自挖掘安全漏洞，然后再利用此类漏洞实施攻击，那么此种黑客攻击行为不仅周期长，而且攻击者也是很有限的，因为发现安全漏洞本身就具有一定的难度。而安全漏洞的恶意公布、售卖行为，尤其是恶意公布行为则使得黑客攻击的危害性无限放大。在传统的产业结构中，分工的细化和信息的共享必定产生数倍、数十倍的制造能力。同理，如果在网络上公开发布安全漏洞，则会因为网络的无限延伸性和黑客分工的日益细化，而使得针对于该漏洞的计算机病毒的制造和传播能力成千上万倍地剧增。

　 现实中，恶意售卖安全漏洞的行为时有发生，并日益显示出非常大的危害性。据世界著名的反病毒机构卡巴斯基实验室提供的消息，一名发现windows meta file(wmf，视窗中介文件格式）安全漏洞的俄罗斯黑客于2005年12月初在网上叫卖该安全漏洞后，在一周内就发现了上千条针对该漏洞的恶意代码，而安全机构直到12月27日才发现该漏洞{12}。相比之下，免费恶意公布安全漏洞行为的社会危害性会更大，因为没有交易行为的阻却，安全漏洞在网络上的传播会更加迅速、更加广泛，甚至导致数以万计的黑客利用公布的漏洞实施有针对性的网络攻击行为。据瑞星公司统计，“从2004年4月14日lsass ( local security authority subsys-tem service)溢出漏洞（mso4-011）被公布到5月1日利用此漏洞进行破坏的震荡波病毒（worm sas-ser）出现仅仅用了短短17天”{13}。随着网络和计算机技术的发展，黑客攻击和恶意公布、售卖安全漏洞之间的联系越来越紧密，“ 2009年4月30日，国内安全研究者公布暴风影音activex远程溢出漏洞。5月1日，网络上即出现了针对该漏洞的大量可疑恶意脚本。” “2009年2月，adobe两款产品相继爆出零日漏洞（oday)，adobe acrobat和adobereader存在pdf零日漏洞。利用该漏洞的恶意代码和详细的技术分析，已经在互联网上被公开，并被广泛转载。通过被公开的技术资料，黑客能够轻易利用该漏洞传播各类恶意软件。”{14}

　 可见，此种恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多，而且在攻击的时间上也大幅度地提前，从而使黑客行为的社会危害性被无限地放大。而此种被无限放大后的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性，也使其具有了超过单次黑客行为的巨大社会危害性。此外，恶意公布、售卖安全漏洞行为的巨大社会危害性，还可以从另外一个侧面清晰地显现出来：研究人员公布的攻击代码或者安全漏洞正将更多的系统、数据库和人员置于“险地”。有的计算机安全专家表示，从被公布到被攻击之间的时间正在缩短，如果漏洞公布缺乏统一和规范的流程，研究行业很可能起到助长网络犯罪的作用{15}。也就是说，同时提出补救措施的善意公布安全漏洞的行为也会客观上促进网络犯罪的蔓延，就更不用说恶意公布、售卖安全漏洞对网络世界的巨大冲击了。

　 （三）恶意公布、售卖安全漏洞行为入罪化的必要性

　 恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性，此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显，在这种形势下，应当将此类行为加以入罪化处置。

　 不可否认，恶意公布、售卖安全漏洞的行为客观上给相关硬件、软件的生产商指出了产品的缺陷，也因此会在客观上促进计算机和网络技术的发展，但是，此种轻微的积极作用与其巨大的社会危害性相比是微不足道的；况且还有善意公布安全漏洞的行为存在可以改进软、硬件的不足。甚至极端地说，假设只有一个或者若干个恶意行为人挖掘到相关安全漏洞，如果不向社会公众公布或者售卖，那么该漏洞就不成其为漏洞，就没有必要制定相关的安全补丁了。

　 综上所述，恶意公布、售卖安全漏洞行为的巨大社会危害性，往往比单次黑客攻击行为的要高无数倍，或者说单次黑客行为的社会危害性仅仅是其危害性的一部分，对于此种具有极大社会危害性的网络行为，民事手段甚至行政手段总是显得那么无能为力：(1)不仅民事赔偿没有惩罚的功效，而且当事人也面临着巨大的举证困难，因为要让当事人证明恶意公布、售卖安全漏洞行为与损害结果的因果关系是非常困难的；(2）恶意公布、售卖安全漏洞的行为人，要么是为了炫耀自己的技术能力，要么是为了获得巨大经济利益，而网络行为的隐蔽性使得行为人在面临这种难以被发觉而且相对较轻的行政处罚时没有丝毫怯意。因此，即使考虑到刑法的谦抑性，也必须动用刑罚的手段才能有效遏制此种具有巨大社会危害性的安全漏洞恶意公布、售卖行为。

　 四、恶意公布、售卖计算机安全漏洞行为的司法困境及其原因

　 根据现行的刑事立法，恶意公布、售卖安全漏洞行为并不构成单独的犯罪，追究其刑事责任的惟一可行途径，是将其作为后续网络犯罪行为的帮助行为加以处置。换句话，就是将其作为他人利用安全漏洞所实施网络犯罪的帮助犯进行定罪处罚，这就是现行刑事法律提供的人罪化途径。然而，即使这一处置模式，运用起来也是障碍重重。

　 （一）恶意公布、售卖安全漏洞行为的司法困境：不处理或者量刑过低

　 现实生活中，利用安全漏洞实施的网络黑客攻击行为十分常见，有些案件会因为其具有极大的社会危害性而引起人们的广泛关注。随着司法观念的发展，司法实践中已经有多起作为犯罪处理的案件。例如，2004年12月，祁建编制了一套截取“传奇”网络游戏用户虚拟设备的cmcc木马程序，并将该cmcc木马程序发送给被告人陈珲等人。陈珲为了窃取“传奇”网络游戏用户的虚拟装备进而牟取非法利益，雇佣曾涛非法入侵金华市公安局网吧管理系统的网站，将cmcc木马程序加入其中，致使大量在各网吧内上网的“传奇”网络游戏用户账号、密码被截取。陈珲利用截取的账号、密码大量盗取“传奇”网络游戏用户虚拟装备，并通过交易网站牟利。该案所盗取的网络游戏账号至少有十几万个，涉案金额近百万元，浙江省金华市婺城区人民法院认定各位被告人构成破坏计算机信息系统罪，系共同犯罪，其中判处的最长刑期为1年零6个月{16}。又如，2006年张乾、刘林和戴觐播3名“黑客”在异地利用系统漏洞，突破防火墙，在近2个月内先后侵入成都两家网络公司网站大肆盗取各类游戏点卡并低价卖出，获利达1.68万元。2007年，四川省成都市中级人民法院终审以盗窃罪判处张乾有期徒刑3年零6个月，刘林、戴觐播2人因有从轻情节则被分别判处有期徒刑3年、缓刑5年和有期徒刑2年零6个月，缓刑4年，并各处罚金2000元{17}。再如，“2008年初开始，张某与同伙利用‘黑客’手段，获取了重庆市两家科技公司的账号和密码，盗得久游币、联众币和魔兽点卡价值14万余元，并在淘宝网上低价出售，截至案发，共获利8911.2元，2009年重庆市九龙坡区人民法院一审判处‘黑客’张某有期徒刑10年零6个月，并处罚金5万元。”{18}

　 在上述3个案例中，司法机关都对相关的黑客行为进行了刑法评价，对涉案黑客判处了相应的刑罚，这是值得肯定的；但是，遗憾的是，都没有进一步去关注另外一个问题，即黑客实施网络攻击时利用的安全漏洞是从何而来的呢？这些安全漏洞不排除被恶意公布、售卖的可能性，那么对这种恶意公布、售卖安全漏洞的行为为什么不进行追根问底式的追查并且定罪处罚呢？可以说，在包括这3起案件在内的几乎所有计算机犯罪和网络犯罪案件中，对恶意公布、售卖安全漏洞的行为都没有作为犯罪处理，司法机关也是从来不对其予以关注和过问的。

　 但是，即使司法机关本着负责的态度通过各种努力或者完全是巧合般地找到了恶意公布、售卖安全漏洞的行为人，并且追究其刑事责任，那么也只能导致一种结果：把恶意公布、售卖安全漏洞的行为作为黑客攻击行为的帮助行为，对行为人按照黑客犯罪的从犯定罪量刑，进而从轻、减轻甚至免除处罚。本着朴素的正义观，我们会发现此种模式会导致明显的不公平：前面已经提到，恶意公布、售卖安全漏洞的行为与单次的黑客攻击行为相比具有超出无数倍的巨大社会危害性。单单通过某次黑客攻击行为对其进行“帮犯”型的刑法评价，是远远不够的。这不仅违背了罪刑相适应的刑法基本原则，而且对于打击恶意公布、售卖安全漏洞的恶性行为也是力不从心的。

　 （二）恶意公布、售卖安全漏洞行为司法困境的原因反思

　 既然现行刑事法律提供了对此类行为加以刑法评价的途径，为什么在司法实践中对于恶意公布、售卖安全漏洞这一具有巨大社会危害性的行为不进行处理，或者即使处理也量刑过低呢？笔者认为主要有以下原因：

　 1．不进行处理的原因之一：将其作为帮助行为有时无法被认定为共犯

　 有学者在评论案例时指出：“2005年8月，犯罪嫌疑人陈某通过向福建的刘某等人出售‘网银大盗3’恶意代码获利数万元，刘某等人随后通过传播该恶意代码盗取上千个工商银行的网上银行账号和密码，并窃取大量资金。但根据现行法律规定，陈某制作、贩卖用于盗窃网络银行账号的恶意代码的行为，无法定罪处罚。”{19}一般认为，网络空间中帮助犯的故意仅限于直接故意，那么如果将恶意公布、售卖安全漏洞行为作为后续实行犯罪的帮助行为，将很难被认定为共犯：因为恶意公布、售卖安全漏洞行为人虽然在公布、售卖安全漏洞方面是恶意或者直接故意的，但是对于后续的黑客犯罪往往只是一种盖然性的认知。行为人对于具体黑客犯罪—虽然不排除持积极追求的态度—一般也只是持放任的态度，即在主观方面大多是间接故意，那么对于大多数恶意公布、售卖安全漏洞行为是很难进行定罪处罚的。

　 2．不作为犯罪处理的原因之二：利用该漏洞的网络攻击行为可能不构成犯罪

　 我国实行二元的法律结构，即对违法行为划分为刑事违法和非刑事违法（一般违法），在这种二元立法结构下，往往根据有没有“实害”乃至“严重程度的实害”把犯罪与一般违法严格区分开来{20}。在总则方面，《刑法》第13条规定：“……但是情节显著轻微危害不大的，不认为是犯罪”；在分则方面，很多犯罪都存在着反映危害程度的定罪情节。例如，在破坏计算机信息系统罪和《刑法修正案（七）》新增加的非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪中，都规定了“后果严重”、“情节严重”等定罪情节，如果没有达到这些情节，即使实施了某种危害行为也不作为犯罪处理。

　 在虚拟世界里，利用安全漏洞实施黑客攻击的行为大量存在，但是其中很大一部分是没有达到犯罪程度的，司法机关无法从刑法角度对此类行为进行评价，难以追究其刑事责任。但是，这种法律现状间接地造就、支持了无数此类违法犯罪行为的恶意公布、售卖计算机安全漏洞行为，由于只能作为此类行为的帮助行为进入刑法的评价视野，这直接导致司法机关也无法对具有巨大社会危害性的恶意公布、售卖安全漏洞行为进行刑法评价。这是真正的司法困境所在。

　 3．不进行处理的原因之三：侦查取证困难

　 虽然恶意公布、售卖安全漏洞行为人对后续黑客网络犯罪大多持间接故意，但是仍然存在持直接故意的行为人，那么为何没有出现行为人被作为帮助犯处理的案例呢？此外，共同犯罪的理论通说认为，帮助犯的故意包括直接故意和间接故意，帮助犯明知他人准备犯罪或者正在犯罪，而对其进行帮助的，就构成帮助犯，而无论帮助者是否知道具体犯罪性质、犯罪的时间、地点、方式、对象等。这一学说也是大陆法系和前苏联的通说{21}。如果按照此种通说理论，大部分恶意公布、售卖安全漏洞行为因为构成后续黑客犯罪的帮助犯可以被追诉，但这就更加令人疑惑，为何至今也没有对恶意公布、售卖安全漏洞行为进行处理的案例呢？经过分析可以发现，这里存在着更为重要的理由，即在对作为黑客犯罪帮助犯的恶意公布、售卖安全漏洞行为进行定罪处罚时，存在巨大的侦查取证困难。

　 根据共犯从属性理论，对恶意公布、售卖安全漏洞行为追究刑事责任的前提是：利用该漏洞实施的黑客攻击行为被认定为犯罪，所以对恶意公布、售卖安全漏洞行为侦查取证的困难，首先是因为对黑客行为的侦查取证方面。利用安全漏洞的黑客犯罪行为可能包括几乎所有的网络犯罪，网络犯罪作为一种新型的犯罪类型，对其展开调查取证要克服很多困难：第一，网络犯罪发生在互联网的虚拟空间，无传统刑法上的“犯罪现场”之说，黑客犯罪分子可能跨省，甚至跨国实施犯罪行为，这就给公安机关的侦查取证造成很大的困难，由于必须通过国际合作展开联合行动才能奏效，这就使公安机关的反应变得迟缓，从而错失良机；第二，网络犯罪具有极大的隐蔽性，犯罪分子可以充分利用网络空间的无线延伸性隐藏自己，例如，利用网吧等实施攻击，司法机关很难找到线索；第三，对网络犯罪的侦查过程就是与犯罪分子展开一场围绕着计算机技术进行的较量过程，由于网络犯罪所涉及的领域广、技术要求各异，而侦查人员很难掌握其全部技能，这客观上也增加了网络犯罪的侦查难度与取证难度{22}第四，电子证据易于损坏，不宜提取，往往在保存之后存在取信于法庭的困难{23}。所以，大部分网络犯罪难以被追诉，甚至难以被发现，“据美国联邦调查局国家计算机犯罪侦查队估计，85%－97％的计算机侵入犯罪没有被发现，犯罪黑数非常大”{22}42-46，在我国当前很难找到这方面的统计数据，但是形势肯定不容乐观。如果这种作为实行行为的黑客攻击网络犯罪行为没有被发现，或者即使被发现但因为证据不足而不能让法官采信的话，那么对恶意公布、售卖安全漏洞的危害行为就不能作为犯罪处理。

　 即使颇费周折地收集到了从事攻击行为的黑客的犯罪证据，也会碰到另外一个棘手的问题，即需要找到恶意公布、售卖安全漏洞的行为人并且证明其实施了该行为；此外，还要证明其恶意公布、售卖安全漏洞行为与后来的黑客网络攻击行为存在刑法意义上的因果联系等。这一系列问题都让司法机关的侦查行为举步维艰，司法机关往往没有足够的精力去调查和取证，或者即使有足够的精力也很难在侦查阶段取得实质性进展，从而在客观上导致司法机关对恶意公布、售卖安全漏洞的危害行为很少在刑法层面上对其进行处理。

　 4．作为犯罪处理时往往量刑过低，其直接原因是受制于从犯制度

　 根据共同犯罪理论和我国刑法典的体例，犯罪的实行行为是由刑法分则明确规定的，而其他犯罪行为只能依托于实行行为，进而根据共同犯罪制度进行定罪处罚。恶意公布、售卖安全漏洞行为如果没有触犯特定的刑法分则条文，例如，故意泄露国家秘密罪等，就只能依托相关的刑法分则罪名按照非实行犯处理。实际上根据其行为特点，一般只能将其作为帮助行为，即对恶意公布、售卖安全漏洞的行为人作为特定实行犯的帮助犯予以定罪处罚。

　 现行《刑法》第27条规定：“在共同犯罪中起次要或者辅助作用的，是从犯。对于从犯，应当从轻、减轻处罚或者免除处罚。”从理论上讲，虽然帮助犯没有被排除认定为主犯的可能性，但是一般情况下，在我国刑事司法实践中，帮助犯会被认定为从犯，进而在从犯制度的制约下，对于此种恶意公布、售卖安全漏洞的行为只能作为网络黑客犯罪的从犯，对其从宽处罚。

　 （三）恶意公布、售卖安全漏洞行为陷入司法困境的本质原因：作为帮助犯的障碍

　 有相当一部分学者已经认识到，“目前打击网络犯罪的压力的确很大，但是现行刑事立法不能适应信息技术和网络发展的特征规律，明显滞后，不能为公安机关提供有效的法律依据”{19}。综合上述4种直接原因可以发现，之所以在司法实践中对恶意公布、售卖安全漏洞行为不作为犯罪处理或者即使作为犯罪处理也处刑较轻，其根本原因是根据现行《刑法》规定，此种具有巨大社会危害性的行为只能作为相关网络犯罪的帮助犯来处理：(1)把恶意公布、售卖安全漏洞的行为作为相关网络犯罪帮助犯，导致了在刑事诉讼过程中，司法机关不仅必须证明相关网络犯罪的存在，而且必须证明恶意公布、售卖安全漏洞行为作为刑法意义上的帮助行为也存在。这就使该行为的定罪面临两大难题，即实体方面上主观的间接故意阻却共犯的成立，以及诉讼方面要面临巨大的侦查取证困难。如果不把其作为相关网络犯罪的帮助犯，那么上述诉讼中的侦查取证难题就基本上不复存在了。(2)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯，导致了这样一种结果，即只有作为实行行为的某种相关网络黑客行为构成犯罪，该行为才有可能构成犯罪。而在现实中，大量利用安全漏洞实施黑客攻击的行为没有达到入罪的程度，从而导致引发黑客违法行为的恶意公布、售卖安全漏洞的行为被阻却在刑法评价范畴之外。(3)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯，即使可以作为犯罪处理，也会在量刑上受制于从犯制度。换句话说，即使通过复杂艰难的诉讼程序证明恶意公布、售卖安全漏洞行为构成犯罪，但是在从犯制度下，对于实施该行为的犯罪分子也只能作为相关网络犯罪的从犯定罪并且从宽处罚，进而导致刑法评价的不公平。

　 五、恶意公布、售卖计算机安全漏洞行为入罪化的模式

　 通过对恶意公布、售卖安全漏洞行为的司法困境之分析，可以发现一种有效遏制此种具有巨大社会危害性行为的途径渐渐明晰起来，即通过“共犯行为的正犯化模式”，将此种行为直接独立入罪，规定为一种独立犯罪的实行行为。

　 （一）恶意公布、售卖安全漏洞行为应当“实行犯化”

　 笔者认为，在当今网络时代，恶意公布、售卖安全漏洞行为应当“实行犯化”，这不仅是朴素的公平正义观念和罪刑相适应的刑法基本原则的要求，也是网络背景下刑法转型的必要措施。

　 1.“实行犯化”的功利性依据：摆脱作为帮助犯的入罪依附性

　 既然把恶意公布、售卖安全漏洞行为作为后续性黑客犯罪的帮助犯的刑法评价模式是导致其刑事责任无法落实的本质原因，那么寻找对该行为进行公正刑法评价的出路就只能是在刑事立法上让它摆脱对帮助犯的依附。笔者认为，这一途径就是帮助行为的“实行犯化”，即把恶意公布、售卖安全漏洞行为直接独立化入罪，直接规定为一种独立犯罪的实行行为而进入刑法典。这样上述问题就会迎刃而解：(1)利用安全漏洞的具体后续黑客犯罪是行为不再成为行为人主观方面的具体内容，行为人无论对后续具体黑客犯罪是积极追求还是放任甚至过失，都可以对其按照“实行犯化”后的独立犯罪定罪量刑；(2)司法机关不再需要对后续黑客犯罪行为的存在，以及恶意公布、售卖安全漏洞行为和该后续黑客犯罪行为之间的因果联系承担举证责任，这就极大地便利了诉讼，避免了刑法的虚设；(3）即使后续的黑客攻击行为不构成犯罪，对于恶意公布、售卖安全漏洞行为也可以按照“实行犯化”后的独立犯罪进行定罪处罚；(4）对恶意公布、售卖安全漏洞行为人直接按照“实行犯化”后独立犯罪的法定刑量刑，不再受从犯制度下的量刑制约问题。

　 可能有人会认为，这样做犯了一个错误，即为了追求效率而简化诉讼，却使得实体正义也被消减。其实这是不必担忧的，因为：第一，实体正义并不是单独存在的，它需要程序正义的支持。实体正义和程序正义是辩证统一的，“及时，亦即效率的要求。这是司法公正的重要价值，它的基本含义是按照法律规定的期限，如期处理案件，避免久拖不决。很多时候，正义是跟一定的时间联系在一起的，所谓‘迟到的正义不是正义’，就是从这个意义上说的。正义不能及时‘运送’，有时就会变得没有意义或者其意义大打折扣。高效及时运行的司法程序不仅缩短当事人的诉讼时间，还节约国家和个人的司法成本，也有利于堵塞漏洞、防止司法腐败”{24}。第二，传统刑法理论和行为无价值理论允许行为犯的存在。我国传统刑法理论重视对犯罪主观方面和行为危险的评价，譬如，现行《刑法》总则中规定了犯罪预备、未遂、中止制度，另外，《刑法》分则中规定了大量的行为犯、情节犯、危险犯，例如，强奸犯罪和资助恐怖活动犯罪。而“一般认为，行为无价值论主张违法的本质是违反刑法背后的社会伦理规范”{25}，对于恶意公布、售卖安全漏洞行为来说，它本身就对社会造成了极大的危险，应该受到社会的否定性评价。此外，行为人也具有较大的主观恶性，因此从鱼水情节犯甚至行为犯的层面对其进行定罪量刑并不违背实体正义。

　 当前，安全漏洞的恶意公布、售卖等许多新问题随着计算机应用的深入逐渐显露出来，利用计算机网络进行网络违法犯罪之势愈演愈烈，而计算机犯罪难发现、难捕捉、难取证，难定性，完善计算机领域的法律、法规仍然任重道远{26}。因此，应当用发展的眼光看待计算机和网络犯罪的立法问题。基于诉讼效率和刑法司法适用的现实性需要，有必要对恶意公布、售卖安全漏洞的行为在《刑法》分则中进行“实行犯化”。

　 2.“实行犯化”的本质依据：帮助行为的危害性远远大于实行行为

　 恶意公布、售卖安全漏洞的行为自身具有巨大的社会危害性，此种危害往往是利用该漏洞实施的单次黑客攻击行为无法达到的。2009年2月，“瑞星发出了2009年度首个红色（一级）安全警报，由于针对ie7新漏洞（ms09-002）的病毒攻击代码在网上公布，导致利用该漏洞的新木马病毒大量出现。根据瑞星‘云安全’系统的统计，受新木马病毒的暴增影响，仅在2月19日就截获了高达866万人次的挂马网站攻击，相比前一天增加了一倍。瑞星‘恶意网站监测网’显示，近日，利用该漏洞的挂马网站拦截量直线上升，已升为目前危害最严重的漏洞。”{27}之所以会出现这种情况，是因为安全漏洞在网络上被公开恶意售卖尤其是被恶意公布后，往往会有数以万计的网络黑客立即投入相应计算机病毒和专门侵入、非法控制软件的研制中。这种高效的运作会产生巨大的“创造力”，无数种病毒会迅速产生，基于各种目的对计算机和网络的疯狂攻击也会接踵而至。可以说，一次对安全漏洞的恶意、售卖行为可能会促成上万次甚至上百万次的黑客攻击行为，在这种整体的社会危害性面前，其中一次的黑客攻击行为已经显得微不足道了。

　 基于司法的惯性等因素，恶意公布、售卖安全漏洞行为往往被评价为黑客网络攻击犯罪行为的帮助型从犯，因而导致对于行为人的处罚往往会远轻于实施黑客攻击行为的实行犯；但是，如果由恶意公布、售卖安全漏洞行为造成、引起的数起甚至数十起网络黑客攻击犯罪行为被司法机关同时追诉，那么恶意公布、售卖安全漏洞行为人所受的刑罚就可能大于单次黑客犯罪行为人所受的刑罚，此时，就不会再存在从犯制度的制约问题，似乎恶意公布、售卖安全漏洞行为人得到了应有的刑罚制裁，在此种情况下，还会存在刑罚评价不全面和量刑过低的问题吗？笔者认为，答案是肯定的，其理由是：(1)网络犯罪的隐蔽性导致其很难被发现，而一次安全漏洞恶意公布、售卖行为引起的数起乃至数万起网络犯罪同时被发觉的可能性近乎等于零；(2）即使数起乃至数万起网络犯罪被同时发现，仍然会有因恶意公布、售卖同一漏洞引起的数以十万、百万计的其它黑客攻击行为被深深地隐藏起来。这就说明，对于恶意公布、售卖安全漏洞行为作为帮助行为予以定性，仍然存在明显的刑法评价不足和量刑过低问题。因此，对于此种帮助行为的社会危害性明显大于实行行为的情况，惟有将帮助行为直接规定在刑法分则中，对其单独进行刑法评价并设定独立、适当的法定刑，才能做到量刑均衡。

　 （二）帮助行为“实行犯化”模式的实证法考察

　 刑法分则并不是各种条文的的简单累加，而是一个由规定各种具体犯罪的条文按照犯罪类型组成的有机整体。那么，恶意公布、售卖安全漏洞行为的“实行犯化”应当如何在刑法分则中实现呢？观察我国现行刑法典的立法模式，可以发现帮助行为实行化的基本模式有以下几种：

　 1．紧挨实行行为条文在同一类罪中规定为独立犯罪

　 在刑法分则中，很多帮助行为“实行犯化”是采用这种模式的。例如，《刑法》第358条第3款规定：“协助组织他人卖淫的，处5年以下有期徒刑，并处罚金；情节严重的，处5年以上10年以下有期徒刑，并处罚金。”协助组织卖淫行为实质上是组织卖淫行为的帮助行为，在现行刑法典中被“实行犯化”后规定为独立的犯罪；再如，经《刑法修正案（七）》修正后的《刑法》第285条第3款规定：“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”认真分析可以发现，提供侵入、非法控制计算机信息系统程序、工具的行为，本质上是一种帮助型行为，但是在这里被“实行犯化”为独立的提供侵入、非法控制计算机信息系统程序、工具犯罪。

　 此外，某种类罪之下若干种具体犯罪的帮助行为也可以被“实行犯化”为一种独立的犯罪。例如，《刑法》第107条规定：“境内外机构、组织或者个人资助境内组织或者个人实施本章第102条、第103条、第104条、第105条规定之罪的，对直接责任人员，处5年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处5年以上有期徒刑。”资助危害国家安全犯罪活动行为实质上是背叛国家等6种危害国家安全行为的帮助行为，在现行刑法典中被“实行犯化”为独立的资助危害国家安全犯罪活动犯罪。

　 在此种模式中，被“实行犯化”的帮助行为和实行行为被规定在同一类罪名之下，两者针对同一犯罪客体，在法益侵害性上具有同质性，在行为的内涵和外延上是一种并列关系，在适用上是相互排斥的关系，因此，在定罪量刑时直接适用“实行犯化”后的独立犯罪及其罪名，不再适用《刑法》总则中关于共同犯罪的规定。对这种犯罪的帮助行为“实行犯化”有以下合理性：(1)实现对帮助行为的刑法直接评价，即使由于某种具体情形导致了实行行为自身不够成犯罪，也可以对具有较大社会危害性的帮助行为定罪处罚；(2)在立法上对帮助行为直接规定法定刑，从而对司法权进行一定的限制，避免量刑畸轻。

　 但是，此种“实行犯化”模式也具有一定的局限性：一方面，在司法适用的时候，往往仍然是在将其作为特定类型实行行为的帮助行为层面上进行犯罪事实认定，因此，在证据的搜集和举证程序方面并没有得到简化；另一方面，这仅仅是对某一种或某几种特定具体犯罪的帮助行为的“实行犯化”，因此，如果实施其它类似犯罪的帮助行为，就难以适用这一“实行犯化”后的罪名去单独定罪。例如，只有为他人实施组织卖淫犯罪提供帮助的，才能适用《刑法》第358条规定的协助组织卖淫罪；为他人实施强迫卖淫罪提供帮助的，就无法套用独立化后的新罪名进行评价。

　 2．跨越实行行为类罪规定为独立犯罪

　 此种帮助行为的“实行犯化”模式具有一定的隐蔽性，其中的帮助行为在“实行犯化”前是作为实行犯的帮助犯形态出现的，但是一旦被“实行犯化”，似乎就与原来的实行犯脱离了实质上的共犯关系。例如，我国《刑法》第128条第2款和第3款规定了非法出租、出借枪支犯罪，即“依法配备公务用枪的人员，非法出租、出借枪支的，依照前款的规定处罚。依法配置枪支的人员，非法出租、出借枪支，造成严重后果的，依照第一款的规定处罚。”有的学者根据刑法的体系解释得出了以下结论：“行为人明知他人使用枪支实施杀人、伤害、抢劫、绑架等犯罪行为，而出租、出借枪支给他人的，与他人成立相应犯罪的共犯。”{28}根据这一结论，似乎这种情况并不适用该条的规定，也就是说作为故意杀人、伤害等犯罪帮助行为的非法出租、出借枪支行为并不是《刑法》第128条第2款和第3款规定的行为。笔者认为，仅从该条文看，行为人出租、出借枪支，不但可以基于为他人提供非犯罪使用的目的，而且可以基于对结果放任的心态，更可以基于为他人提供犯罪使用的目的。如果行为人明知他人使用枪支实施故意杀人、故意伤害等犯罪行为，而依然出租、出借枪支的，那么行为人的行为就同时构成非法出租、出借枪支罪和故意杀人罪、故意伤害罪等其他犯罪（帮助犯），根据想象竞合犯理论，对其择一重罪处罚。一般会认定为“与他人成立相应犯罪的共犯”，这样在逻辑上才是合理的。所以在该种情形下，该条款规定的犯罪行为在实质意义上就是故意杀人、故意伤害等实行行为的帮助行为，只不过被立法者“实行犯化”了。当然跨越类罪加以“实行犯化”后，非法出租、出借枪支犯罪就具有了独立的内涵，它不仅可以作为众多具体犯罪的帮助行为，而且还包括基于非犯罪目的而出租、出借枪支的行为。通过以上分析可以看出，立法者之所以要将非法出租、出借枪支的行为在《刑法》分则中“实行犯化”为独立的犯罪，很可能是考虑到非法出租、出借枪支行为的目的不限于为他人提供犯罪帮助，它本身就具有独立的较大的社会危害性，具有区别于后续犯罪的特殊的法益侵害性—危害枪支管理秩序和公共安全—需要刑法对其进行单独评价。此外，这也使得特定情况下对该危害行为的追诉更加便利，因为在无法证明行为人实施该行为的目的是为其他犯罪行为提供帮助时，也可以对其进行追诉，这种诉讼的便利其实是公平正义的要求。

　 可见，把实质上的帮助行为跨类罪“实行犯化”为独立的犯罪，是现行刑法典的已有模式。很明显，这种帮助行为“实行犯化”模式的优点是：（1)已经完全脱离实行行为对于帮助行为进行刑法评价，这种“实行犯化”后的帮助行为已经独立为较为纯粹的实行行为，从而真正实现对帮助行为的单独评价；(2)诉讼便利，极大地缩短了刑事证明的因果链条。

　 需要指出的是，刑法典中上述两种帮助行为的“实行犯化”模式本身并没有优劣之分，只是在针对某种具体帮助行为加以实行化时，存在适合与否的问题。

　 （三）恶意公布、售卖安全漏洞行为独立人罪化的模式

　 在对于帮助行为的“实行犯化”模式进行实证考察之后，综合考虑恶意公布、售卖安全漏洞行为的特性和推动其实行犯化的因素，可以看出，恶意公布、售卖安全漏洞行为的实行犯化应当采取下列模式：

　 1．跨越各种黑客犯罪规定为独立犯罪

　 如前所述，恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多，而且在攻击的时间上也大幅度地提前，导致黑客行为的社会危害性被无限放大。而此种无限放大的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性，也使得它具有了超过单次黑客行为的独立的巨大社会危害性；另外，利用公布或者售卖的漏洞进行网络攻击的单个黑客行为可能因情节轻微不构成犯罪；但是，由于网络的无限延伸性和开放性，恶意公布、售卖安全漏洞所造就、引发的网络病毒和网络恶意攻击行为在数量上却是巨大的，这更加说明了它具有黑客犯罪之外的独立社会危害性。这种独立的社会危害性具有很广泛的外延，它不仅是单次黑客犯罪无法包容的，也是利用安全漏洞实施的非法入侵计算机系统犯罪、盗窃犯罪等某一类网络黑客犯罪无法包容的。例如，一次安全漏洞恶意公布行为可能会导致无数起非法侵入计算机信息系统犯罪、非法获取计算机信息系统数据犯罪、非法控制计算机信息系统犯罪和网络盗窃犯罪等各种网络黑客犯罪行为，这就排除了适用第一种模式的正当性。另外，第一种模式也无法解决侦查取证和刑事司法证明极为困难的司法难题。而采用第二种“实行犯化”模式，即把恶意公布、售卖安全漏洞行为跨越各种黑客犯罪在刑法分则中规定为一种独立的犯罪显然是可取的，这不仅实现了对具有较大独立社会危害性的恶意公布、售卖安全漏漏洞行为的全面准确评价，而且也大大地简化了刑事司法证明，使刑事诉讼能够真正得以进行。

　 如果采用第二种“实行犯化”模式，那么还存在另外一个问题，即应当规定在哪个章节呢？计算机和网络发展到今天，已经开始以独特的方式承载巨大的社会利益，同时相关的计算机和网络犯罪无论种类还是数量都日益剧增，除了与计算机有关的传统犯罪以外，计算机和网络犯罪不仅数量日益增多，而且具有独特的犯罪客体，需要刑法在该独特犯罪客体层面上进行单独评价，即需要将计算机和网络犯罪刑事法规单列为一章增加到原刑法典中去，法国和俄国就是采用这种立法模式{29}。所以，笔者认为，应设立单独的“计算机和网络犯罪”章节，并且把恶意公布、售卖安全漏洞行为规定于其中。

　 2．规定为情节犯且法定刑不宜太高

　 根据我国刑法理论，《刑法》分则规定的既遂犯可以分为行为犯、情节犯、结果犯等犯罪类型，那么恶意公布、售卖安全漏洞行为在《刑法》分则中应当规定为何种类型的犯罪呢？

　 前文已经指出，该行为“实行犯化”的重要推动因素之一是诉讼便利的需要，即通过该行为的“实行犯化”，免除司法机关对一系列相关问题的证明责任。如果采用结果犯的犯罪类型，司法机关同样很难克服由此带来的侦查取证和证明难题，达不到诉讼便利的目的，所以“结果犯”的模式不可取。此外，“在现实中，犯罪并不是那么容易威慑的，要威慑所有无效率的犯罪几乎是不可能达到的目标”{29}。在当今社会，由于各种原因，网络犯罪非常猖撅，已经成为了普遍存在的现实，恶意公布、售卖安全漏洞的行为也不例外。为了缩小刑法的打击面进而发挥刑法的效用，有必要设置一定的犯罪“门槛”，而且并不是所有的恶意公布、售卖安全漏洞行为都具有很大的社会危害性，如果公布的只是轻微的安全漏洞，利用其从事的网络黑客行为就不能对计算机和网络造成很大的冲击，因此，也不具有较大的社会危害性，所以没有必要把其划定在犯罪圈之内。综上所述，在将恶意公布、售卖安全漏洞行为的“实行犯化”而独立入罪之时，将其设定为“情节犯”可能是比较合适的。

　 对于恶意公布、售卖安全漏洞行为法定刑的设置，需要从罪刑均衡的角度进行考量。恶意公布、售卖安全漏洞一般具有较大的社会危害性，对网络安全造成巨大的冲击。但是，仅仅以恶意公布、售卖安全漏洞行为为依据，基于计算机和网络承载的抽象社会利益受损而适用重刑（尤其是无期徒刑，甚至死刑）是非常草率的。非法出租、出借枪支罪的最高法定刑也只有7年有期徒刑，因此，恶意公布、售卖安全漏洞行为加以“实行犯化”和独立入罪后的法定刑不宜太高，以有期徒刑为限。如果恶意公布、售卖安全漏洞行为导致极其恶劣的黑客犯罪，例如，数额特别巨大的网络盗窃犯罪（可能判处无期徒刑）；又如，利用国防网络系统的安全漏洞实施的为境外窃取、刺探国家秘密、情报犯罪并且对国家和人民危害特别严重、情节特别恶劣（可能判处死刑），那么完全可以运用想象竞合犯理论，根据“从一重罪处罚”的规则，认定为盗窃罪和为境外窃取、刺探国家秘密、情报罪而适用无期徒刑或者死刑。

　 （四）恶意公布、售卖安全漏洞行为独立入罪化之前的司法对策

　 “由于立法程序的民主化和科学化程度的影响，有效率的结果并不必然出现，但是经过时间和历史的淘洗，以及不同法系、不同国家在立法制度、程序、内容上的相互影响，有效率的法律原则、制度总会更容易产生。”{30}88但是，任何法律的制定和修改都具有一定的滞后性，恶意公布、售卖安全漏洞行为“实行犯化”也是如此。该行为可能在以后相当长的一段时间内都会以黑客犯罪帮助犯的形式出现于法律上。虽然刑事立法有缺陷，但是根据罪刑法定原则，司法机关必须在刑事法律规定的范围之内进行定罪量刑，并且要在自由裁量权范围内尽可能做到刑事判决结果的公正。

　 在恶意公布、售卖安全漏洞行为独立入罪化之前，司法实践中在处理恶意公布、售卖安全漏洞行为时，往往会出现无法入罪或者量刑过轻的问题。笔者认为，为了尽可能避免这些问题的出现，司法机关应当在遵守罪行法定原则的前提下采取以下对策：第一，如果对恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上无法入罪，那么就要考虑其他入罪视角，例如，故意泄露国家秘密罪等；第二，如果对于恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上能够入罪，那么在量刑时只能“从轻”处罚，不能“减轻”更不能“免除”处罚；第三，如果对于恶意公布、售卖安全漏洞行为具有对黑客犯罪教唆的刑法解释余地，那么就应力求按照相应犯罪的教唆型主犯处理；第四，如果恶意公布、售卖安全漏洞行为引起的黑客攻击行为危害重大公私财产或者重大公共利益安全，那么就要进行扩张解释，在恰当的时候可以考虑按照以危险方法危害公共安全罪处理。



【注释】
[1]该病毒发作时，硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失，甚至可能破坏某些类型的主板的电压，改写只读存储器的bios。
[2]2009年5月18日，我国江苏、安徽、广西、海南、甘肃、浙江等省份出现的罕见的断网故障，即为针对网络服务进行的分布式拒绝服务攻击的现实案例。


【参考文献】
{1}北京瑞星信息股份有限公司．2008年中国大陆地区电脑病毒疫情＆互联网安全报告[eb/ol]. [2008-11-18]．. {2}百度百科.安全漏洞[eb/ol]．[2008-11-24]．//baike. baidu. com/view/93544. htm. {3}微软中文网站．微软安全漏洞定义及相关声明[eb/ol]．(2008-1-30)[2008-11-18]．金融电脑，1999，(5) :36-39. {6}洪苗．浅谈网络攻击的常见方法及防范措施[j].电脑知识与技术，2009，(21）:35-42. {7}佚名黑客疯狂利用漏洞，暑期反毒首防挂马[eb/ol]．(2009-2-12) [2009-4-13]．http : //article.pchome. net/content-935652. html. {8}赫枫．黑客袭击-国内重大案例[eb/ol 1.(2008-12-1）[2009-4-3]．http : //blog. tianya. cn/blog-ger/post_show. asp? blogid ＝ 5750&postid ＝ 6410508. {9}佚名．"十一"长假网购网站纷纷被黑客挂马[eb/ol]．(2008-10-12) [2009-3-28]．//xwt. done-ws. com/donews/article/1/137417. html. {10}佚名．黑客利用银行支付系统漏洞盗领转账使其损失百万[eb/ol] . (2008-2-24) [2009-4-6]. ht-tp://it. rising. com. cn/channels/ info/securty/2004-04－22/1082597880d11951.shtml {11}佚名．金山内鬼助黑客狂盗虚拟币，公司损失700万[eb/ol]．(2007-8-29）[2008-12-5]. http : //tech. 163. com/09/0327/o1/55cj8l 65000915bf. html. {12}啸风．黑客网上叫卖wmf漏洞资料，微软发布紧急补丁[eb/ol]. (2008-5-8) [2008-11-7 ]. ht-tp://tech.qq.com/a/20060204/000033.htm {13}佚名．瑞星发布2004年度报告，病毒、黑客威胁呈四大趋势[eb/ol]. (2004-11-12)[2008-11-28].//it. rising, com. cn/channels/info/ virus/2004-12－28/1104197700d14642.shtml. {14}边歆．新趋势：病毒大量利用工具软件漏洞[n].网络世界，2009-6-8(23). {15}佚名．黑客攻击逾九成发生在网络公布24小时内[eb/ol]．(2009-4-7) [2009-5-201．论坛，2007，(5) :62-66. {25}张军．犯罪行为评价的立场选择-为行为无价值理论辩护[j]．中国刑事法杂志，2006,(6):25-31. {26}王云斌．网络犯罪[m]北京：经济管理出版社，2002:77. {27}佚名．ie7新漏洞致木马病毒剧增，瑞星发出红色警报[eb/ol]．(2008-6-6)［2009-3-21］//news. ccidnet. com/art/1032/20090224/ 1687667 1. html. {28}张明楷．刑法学[m].3版．法律出版社，2007:536. {29}许秀中．网络与网络犯罪[m]．北京：中信出版社，2003:424. {30}沈海平．寻求有效率的惩罚-对犯罪刑法问题的经济分析[m]．北京：中国人民公安大学出版社，2009:326.