他只有十七岁,个子不高,脸上还有几颗青春痘。第一次在看守所会见他,他低着头,手指不停地转着衣角,眼神里混着不安与倔强。他叫小杨,被警方认定是某省“企业数据泄露事件”的主犯。而所谓“数据泄露”,是一家上市公司内网被攻破,客户信息被删除、拷贝,还被留下了一个英文署名:“BugHunter X”。警方循着这串ID找到了他。案发时是深夜,整个网络安全部直到第二天早上才发现问题。技术部门几乎炸锅,法务立刻报警。
我是他父母在慌乱中请来的辩护人。当我看到案件材料时,心头“咯噔”一下。网络攻击、数据信息破坏、非法控制计算机系统、非法获取数据——这些法条背后的关键词我太熟悉了,每一项都可能让这个未成年的孩子,在看守所外遥遥无期地等待成年。
技术少年与刑法之间隔着一堵理解的墙
《中华人民共和国刑法》第二百八十五条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”第二百八十六条继续延伸,针对破坏计算机系统的行为,量刑最高可以达到七年。小杨侵入的虽然不是军事系统,但被控破坏的是企业的运营数据,而该企业恰恰是某政府采购的主要服务商。
但问题也正出在这里:小杨不是为了勒索,不是为了破坏业务,不是商业报复。他只是“太想证明自己行了”。他说:“我只是想找个漏洞,把它修好,顺便留个记号,像国外那些白帽子黑客一样。”他曾在Github上参与开源项目,也曾在学校的信息奥赛中拿奖。他不是罪犯,他是个没有渠道表达天赋的技术孩子。
在这类网络犯罪案件中,主观动机是关键。如果行为人没有非法获利、恶意破坏的目的,其行为在刑法上该如何界定?我们提交了大量小杨在网络社区上与他人交流的证据,表明他长期活跃于白帽黑客社区,其攻击行为常伴有漏洞反馈。他“闯入”的公司系统,仅仅是他练习中的一个目标。他没卖数据,也没删库跑路,更没有敲诈。他留ID,是他自认为“黑客荣誉”的一部分。
但我们必须面对现实——即便无恶意,非法侵入也属于犯罪。关键就在于,是否能将其行为界定为“情节轻微”或“情节显著不严重”,以获得从轻甚至不起诉的可能。
一个检察官的意外理解改变了案件走向
审查起诉阶段,承办检察官本已倾向起诉,理由是“社会影响大”,该公司股价因此大跌,引发投资者恐慌。但一次延长审查期限的机会让我得以详细汇报我们掌握的材料,并让检察官见了小杨本人。
那天会见室的气氛很安静。小杨并没有为自己辩解,只是低声说:“我以后再也不碰不该碰的东西了。”他补了一句:“但我还是想学这个,以后做安全测试员。”
这个细节打动了检察官。
我们提供了来自网络安全实验室的一份书面推荐意见,指出小杨具备较高的网络安全潜力,如果能正向引导,完全可能成为合法的白帽子技术人员。我们还提供了多份企业在招聘安全技术员时主动寻找“业余黑客”的广告截图,试图论证:这一行为群体在行业中并非异类,而是被制度、机制、教育所遗忘的一群人。
最终,检察院决定对小杨作出附条件不起诉决定,条件是接受为期六个月的网络法治教育、参与社区安全项目并完成不少于一百小时的公共技术服务。这一决定,不仅保住了小杨的未来,也给这起案件留下了空间——不是所有技术少年都应该一棍子打死。
法律之剑不应只用来惩罚也应懂得引导
网络犯罪的边界,往往模糊而复杂。在数字社会中成长的一代人,用代码表达青春、用技术证明自我,他们的表达方式,和他们父母、老师、法律人理解的完全不同。他们不偷不抢,却会“闯”入别人的系统;他们无意破坏,却因一串代码触犯刑法。这不是借口,而是时代所带来的新命题。
《刑法》第三十七条之二提出了附条件不起诉的制度,而未成年人犯罪的处理,更需体现“教育为主,惩罚为辅”的基本精神。如果刑法只是冷冰冰地处罚,他们的人生就可能因为一次“太想证明自己”的夜晚,被永远改变。但如果我们能看到他们行为背后的动机——那份对技术的执念、对成就感的渴望——法律也可以成为引导他们成长的一盏灯。
小杨如今正在一家网络安全公司实习,做测试。他的主管告诉我:“这孩子,脑子太快了,就是以前没人告诉他界限在哪。”我想,法律也许正是我们该告诉他们的第一道边界,而不是最后一道封锁。
黑夜中,有人按下回车键改变了命运,也有人,在法律的引导下,从键盘前站起来,走上了光明的路。
