摘要：酒店開房記錄被泄露,、第三方支付網(wǎng)站漏洞被曝光……在安全事件層出不窮的網(wǎng)絡(luò)上,，有一群志愿抗擊黑客攻擊、幫助企業(yè)修復(fù)安全漏洞的網(wǎng)絡(luò)安全專家,。這些被稱為“白帽子”的專業(yè)人士,，在維護(hù)網(wǎng)絡(luò)安全的同時，自身也面臨著法律風(fēng)險,。

袁煒事件

“我兒子袁煒檢測出‘世紀(jì)佳緣’的漏洞讓對方修復(fù),，‘世紀(jì)佳緣’卻報警抓了他。從3月8日被抓進(jìn)去,，至今已有半年,，我們家人到今天還弄不清楚，袁煒到底犯了什么罪,？”雙鬢斑白的袁冠陽近日在接受記者采訪時連連嘆息,。

今年64歲的袁冠陽，原本對互聯(lián)網(wǎng)一竅不通,，兒子袁煒出事后,，他多方請教專家，想弄明白兒子究竟犯了多大的事,。袁冠陽告訴記者,，袁煒是互聯(lián)網(wǎng)漏洞報告平臺——“烏云網(wǎng)”上的一名“白帽子”，2015年12月,，袁煒檢測發(fā)現(xiàn)了婚戀交友網(wǎng)站——“世紀(jì)佳緣”的系統(tǒng)漏洞,，并在烏云網(wǎng)上提交了系統(tǒng)漏洞,。“世紀(jì)佳緣”先是確認(rèn),、修復(fù)了漏洞,，并向烏云網(wǎng)和袁煒致謝。但在“世紀(jì)佳緣”以“網(wǎng)站數(shù)據(jù)被非法竊取”報警之后,，警方經(jīng)調(diào)查拘留了袁煒,。

所謂“白帽子”，是指識別計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的網(wǎng)絡(luò)安全技術(shù)人員,。他們活躍在漏洞披露平臺,、企業(yè)應(yīng)急安全響應(yīng)平臺上。與出售安全漏洞,、盜取他人信息的網(wǎng)絡(luò)黑客不同的是,，他們只是檢測漏洞，并不惡意去利用漏洞,?！鞍酌弊印蓖ㄟ^向相關(guān)平臺或者廠家反饋、發(fā)布漏洞,，以敦促廠家在漏洞被黑客攻擊利用之前將其修復(fù)完善,，維護(hù)計算機(jī)和互聯(lián)網(wǎng)安全。在生活中,，他們是普通的網(wǎng)絡(luò)工程師,、安全實驗室的程序員，甚至僅僅是大學(xué)計算機(jī)專業(yè)的學(xué)生,。

“白帽子”袁煒檢測并提交了“世紀(jì)佳緣”的漏洞,；而“世紀(jì)佳緣”出于保護(hù)用戶隱私安全考慮，報警抓人,。其中孰是孰非,，目前司法尚無定論，但多位網(wǎng)絡(luò)安全業(yè)內(nèi)人士和法律專家在接受記者采訪時均認(rèn)為,，袁煒事件或?qū)⒊蔀榛ヂ?lián)網(wǎng)安全史上一個標(biāo)志性的“分水嶺”,。

“白帽子”袁煒被抓事件發(fā)生后，引起了公眾尤其是程序員們的熱烈關(guān)注,。如何定義“白帽子”,？在進(jìn)行網(wǎng)絡(luò)安全測試時要遵循哪些規(guī)范？漏洞平臺是否有權(quán)公布企業(yè)安全漏洞,？這些問題也引起法學(xué)專家的關(guān)注,。

“目前‘白帽子’的定義很少出現(xiàn)在各國的法律和標(biāo)準(zhǔn)中，一則因為‘白帽子’是最近十幾年才盛行起來的，二則因為‘白帽子’還屬于尚未擁有法律地位的民間技術(shù)團(tuán)體,。實踐中普遍將‘白帽子’與‘灰帽子’‘黑帽子’聯(lián)系在一起,，認(rèn)為‘白帽子’是黑客的一種。與之相近的概念稱為‘道德黑客’,，即模擬黑客攻擊,，幫助客戶了解自己網(wǎng)絡(luò)的弱點，并為客戶提出改進(jìn)建議的網(wǎng)絡(luò)安全專家,?！惫膊康谌芯克⑿畔⒕W(wǎng)絡(luò)安全公安部重點實驗室二級警督黃道麗副研究員告訴記者,。

“一般所理解的‘白帽子’不以挖掘漏洞為生，其對各個網(wǎng)站進(jìn)行安全測試的動機(jī)主要是維護(hù)網(wǎng)絡(luò)安全,。但是如何在法律上界定‘白帽子’,，如何認(rèn)定挖掘行為的法律性質(zhì)，如何判斷發(fā)布漏洞細(xì)節(jié)的危險性,，目前在法律上還處于模糊地帶,。”北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江說,。

檢測漏洞的法律邊界在哪

在袁煒案中,，獲取網(wǎng)站信息成為其被捕的重要原因?！笆兰o(jì)佳緣”一方委托了一家司法鑒定所對其服務(wù)器日志進(jìn)行鑒定,，鑒定意見顯示，“世紀(jì)佳緣”網(wǎng)在2015年12月3日17時許至2015年12月4日10時許,，被“124.160.67.131”等11個IP地址非法訪問,，入侵者對網(wǎng)站數(shù)據(jù)庫進(jìn)行了讀取操作，涉及讀取操作的數(shù)據(jù)庫數(shù)據(jù)信息為932條,。

在袁煒案引發(fā)的討論中,，很多程序員認(rèn)為“白帽子”挖掘漏洞涉及讀取信息，善意獲取不違法,。對此,，黃道麗表示，“我國刑法規(guī)范的是所有未經(jīng)授權(quán)訪問計算機(jī)信息系統(tǒng)的行為,，這些并非直接針對漏洞挖掘行為的規(guī)定,。任何主體若利用系統(tǒng)安全漏洞實施了入侵行為，均可能觸犯刑法規(guī)定,，都可能被追責(zé),。未經(jīng)授權(quán)侵入計算機(jī)信息系統(tǒng)也是各國刑事立法共同打擊的行為。”在認(rèn)定標(biāo)準(zhǔn)上,，黃道麗解釋道,，根據(jù)兩高司法解釋，獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息以外的其他身份認(rèn)證信息500組以上就構(gòu)成刑法所規(guī)定的“情節(jié)嚴(yán)重”,，入侵者將面臨三年以下有期徒刑或者拘役,，并處或者單處罰金?！斑@一量化標(biāo)準(zhǔn)在制定過程中經(jīng)過了大量的實證檢驗和研討論證,，規(guī)定本身沒有問題。有人認(rèn)為袁煒作為‘白帽子’當(dāng)中的‘新人’多獲取了一些數(shù)據(jù)無可厚非,，但這不是定罪應(yīng)當(dāng)考慮的因素,。”

實踐中,，還存在“白帽子”使用和黑客相同的軟件進(jìn)行漏洞測試的情況,，比如袁煒就使用了一款名為SQLmap的安全測試軟件，這個軟件自帶緩存功能,，會自動將測試信息存儲到本地的一個隱藏文件夾,。

“如果‘白帽子’在挖掘漏洞過程中使用的自動化工具導(dǎo)致獲取的數(shù)據(jù)量觸犯刑法，他們應(yīng)考慮調(diào)整功能或使用其他規(guī)范化工具,?！秉S道麗告訴記者，實踐中,，“白帽子”作為技術(shù)人員,，對法律知識知之甚少，當(dāng)前較為迫切的問題是立法規(guī)范,、引導(dǎo)“白帽子”,，為其創(chuàng)造合適的法律環(huán)境。

“當(dāng)前,，并沒有法律對挖掘漏洞行為進(jìn)行具體規(guī)范,，刑法主要從行為的角度進(jìn)行規(guī)制。在認(rèn)定‘白帽子’是否善意破解,、測試漏洞時,，主要強調(diào)結(jié)果。因為當(dāng)事人當(dāng)時的主觀意志無法客觀鑒定,，既有可能是測試的疏忽,，也可能是一念之差，故意留存了數(shù)據(jù),?！敝x永江表示，在法律不明確的情況下，“白帽子”挖掘漏洞行為本身帶有風(fēng)險,，而現(xiàn)有的法律規(guī)范傾向于保護(hù)企業(yè)利益,。如果袁煒的行為確實構(gòu)成了法律規(guī)定的獲取信息的定罪標(biāo)準(zhǔn)，仍然需要承擔(dān)相應(yīng)的法律責(zé)任,。

目前我國對“白帽子”善意挖掘漏洞的法律規(guī)范并沒有形成系統(tǒng)的法律體系,，比較零散地體現(xiàn)在一些法律法規(guī)以及部門規(guī)章里，例如保守國家秘密法,、治安管理處罰法,、刑法等，這些法律并沒有明確劃定“白帽子”的行為邊界,。黃道麗強調(diào),，在新的法律和配套規(guī)定出臺前，現(xiàn)有法律和司法解釋的規(guī)定,，應(yīng)成為“白帽子”實施挖掘行為必須接受和前置考慮的一個客觀要求,。

應(yīng)盡快制定行業(yè)標(biāo)準(zhǔn)

“法律永遠(yuǎn)滯后于技術(shù)發(fā)展?！弊鳛橹袊W(wǎng)絡(luò)空間安全協(xié)會理事的謝永江表示,，召集專業(yè)人士通過行業(yè)協(xié)會制定“白帽子”挖掘漏洞,、提交漏洞的行業(yè)標(biāo)準(zhǔn)更為快捷,。行業(yè)準(zhǔn)則可以制定“白帽子”的注冊標(biāo)準(zhǔn)，規(guī)范使用工具,，對挖掘行為的邊界形成行業(yè)共識,，統(tǒng)一挖掘漏洞的授權(quán)規(guī)則。黃道麗也認(rèn)為,，法律規(guī)范需要進(jìn)一步完善并合理化,，具體的技術(shù)規(guī)范則可以交給市場優(yōu)化解決。

對比烏云網(wǎng)的對公眾強制披露制度,、只對廠商內(nèi)部披露的補天模式以及國家信息安全漏洞共享平臺模式,，謝永江認(rèn)為，漏洞平臺對公眾強制披露漏洞,，存在著現(xiàn)實和法律風(fēng)險：首先,，公眾對漏洞細(xì)節(jié)不一定了解，遑論采取相對應(yīng)的防范措施,；其次,，披露漏洞細(xì)節(jié)可能引來“黑帽子”的攻擊，加重漏洞的危害,。不過,，如果廠商在接到漏洞報告后不修復(fù)漏洞，導(dǎo)致用戶信息因該漏洞泄露，“白帽子”的漏洞報告就可以成為廠商不履行網(wǎng)絡(luò)安全管理義務(wù),、在用戶信息泄露事件上存在過失的證據(jù),，用戶因此產(chǎn)生的損失就可以索賠。

西安交通大學(xué)法學(xué)院與360公司曾就“白帽子”挖掘漏洞的獎勵模式進(jìn)行了專題研究,，并發(fā)布了《白帽子安全漏洞挖掘風(fēng)險報告》,。當(dāng)前多種漏洞披露平臺具有一定的嘗試和探索意義?！皬哪壳皣鴥?nèi)外漏洞平臺的發(fā)展階段看,，似乎也不存在一種單一的模式?！眳⑴c撰寫該報告的黃道麗告訴記者,。

報告顯示，“臉書”（Facebook）僅在2015年就給210名“白帽子”發(fā)放了93.6萬美元的漏洞獎勵,。漏洞賞金計劃,、漏洞購買計劃（VPPs）以及漏洞獎勵計劃吸引更多“白帽子”加入安全防護(hù)研究，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域司空見慣的事情,。

在國外漏洞眾測平臺“第一黑客”（HackerOne）上,，由眾測企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎勵，“第一黑客”則從企業(yè)獎勵中抽取20%的費用,?！暗谝缓诳汀边€向企業(yè)提供付費服務(wù)模式，如漏洞訂閱服務(wù),、漏洞披露指導(dǎo),、安全咨詢等。目前,，“第一黑客”已幫助500多家企業(yè)找出2萬多個漏洞,，向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵，單個漏洞獎勵最多達(dá)到3萬美元,。從國際實踐來看,，相比目前我國企業(yè)較低的漏洞獎勵金額，黑市交易的高額回報顯然更具誘惑力,，這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關(guān)鍵因素,。黃道麗表示，“‘白帽子’是一群崇尚自由的群體,，憑借自身對技術(shù)的追求或?qū)W(wǎng)絡(luò)安全的維護(hù)之心等挖掘漏洞,，期望從中實現(xiàn)不同的價值，所以‘白帽子’不會因為商業(yè)化而消失,。因此,，建立長效高額的安全漏洞獎勵機(jī)制是支持和鼓勵‘白帽子’的最佳方式,。”

國外“白帽子”如何免責(zé)

實際上,，國內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生,。只不過，一方面,，知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力,，另一方面，是否采取法律行動需要相應(yīng)法律能力和成本,。黃道麗表示,，目前“白帽子”單純因為漏洞挖掘被立案的新聞并不多，但并不表示違反法律的挖掘行為沒有或較少發(fā)生,。如何通過法律規(guī)范“白帽子”行為,，成為一項值得研究的重要課題。

從各國法律來看,，對于挖掘安全漏洞的行為,，一般會根據(jù)主體與行為動機(jī)規(guī)定不同的法律后果。比如美國,，早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測試（包括“白帽子”）的界限：安全漏洞信息的獲取和利用,，僅以保障被測試計算機(jī)系統(tǒng)的所有人或運營人的安全為目的。

對于“白帽子”等團(tuán)隊或個人合法獲取的漏洞信息,，美國《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時的披露規(guī)則：首先,，披露者應(yīng)采取適當(dāng)措施，保護(hù)所掌握的漏洞信息,；其次,，披露時應(yīng)當(dāng)去除可以用于識別特定人的信息,；第三,，不得使用漏洞信息獲得不公平的競爭優(yōu)勢。同時,，“白帽子”可以以“善意辯護(hù)”豁免挖掘漏洞的法律責(zé)任,。

在漏洞檢測和披露問題上，11月7日剛剛公布的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定：“開展網(wǎng)絡(luò)安全認(rèn)證,、檢測,、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞,、計算機(jī)病毒,、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定,?！秉S道麗表示，網(wǎng)絡(luò)安全法的出臺,，為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊,。

漏洞信息或成戰(zhàn)略資源

《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報告（2016）》顯示：截至2015年12月底，中國網(wǎng)站總量達(dá)到426.7萬余個,；而由于各種各樣安全漏洞的存在,，網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅,，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢,。

“信息技術(shù)的迅速發(fā)展促進(jìn)了計算機(jī)規(guī)模的膨脹，增加了個人,、企業(yè)乃至社會和國家對網(wǎng)絡(luò)安全的需求,。‘黑帽子’‘灰帽子’等利用漏洞進(jìn)行攻擊的事件層出不窮,，且手段愈發(fā)多樣化和高明,，網(wǎng)絡(luò)風(fēng)險的泛在性使得安全成為普遍性的問題，‘白帽子’因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞,、升級系統(tǒng)的重要途徑,，在維護(hù)信息系統(tǒng)方面的作用不可替代?！秉S道麗說,。

國家互聯(lián)網(wǎng)應(yīng)急中心運行部副主任嚴(yán)寒冰也表示，2009年以后,，多家漏洞報告平臺的陸續(xù)成立,，如補天平臺、烏云網(wǎng),、漏洞盒子,，“白帽子”發(fā)現(xiàn)并上報漏洞已經(jīng)成為整個漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

網(wǎng)絡(luò)安全漏洞關(guān)系到企業(yè)和個人的信息安全,，甚至涉及國家安全,。“發(fā)達(dá)國家早已把漏洞信息當(dāng)作一種戰(zhàn)略資源,?！敝x永江表示。

比如2013年,，世界主要工業(yè)設(shè)備和武器制造國在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定,，零日（0day）漏洞（指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞）也屬于危險武器出口條約的規(guī)范對象。不僅漏洞信息本身被禁止用于犯罪或出口至“專制政權(quán)”,，相應(yīng)的用于入侵計算機(jī)系統(tǒng)的軟件,、硬件設(shè)備和組件也受到同等限制,。2015年5月20日，美國工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實草案,，其中就規(guī)定,，禁止在不同的國家之間互通漏洞信息。據(jù)此,，美國企業(yè)或個人向境外廠商報告漏洞情況被視為一種出口行為,，需預(yù)先申請政府許可，否則將被視為非法,。

“漏洞信息本身具有一定的應(yīng)用價值,，我認(rèn)為，可以在國家層面建立漏洞信息庫,，收購企業(yè)以及包括’白帽子‘在內(nèi)的個人發(fā)現(xiàn)的漏洞,，在網(wǎng)絡(luò)戰(zhàn)爭日益成為現(xiàn)實的情況下，未雨綢繆,，做好技術(shù)儲備工作,。”謝永江建議,。

漏洞信息的挖掘與保護(hù)也得到了我國政府的關(guān)注,。4月19日，國家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上強調(diào),，“要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險報告機(jī)制,、情報共享機(jī)制、研判處置機(jī)制,，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律,、動向、趨勢,。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,，把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來，龍頭企業(yè)要帶頭參加這個機(jī)制,?！甭┒窗l(fā)現(xiàn)還被作為“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢能力”的重要內(nèi)容,，寫入我國《國家信息化發(fā)展戰(zhàn)略綱要》,。

謝永江透露，中國網(wǎng)絡(luò)空間安全協(xié)會目前正在籌建中,，將來也會成立分會,，對包括“白帽子”問題、安全漏洞的法律定位等進(jìn)行專門研究,。