核心提示

酒店开房记录被泄露、第三方支付网站漏洞被曝光……在安全事件层出不穷的网络上，有一群志愿抗击黑客攻击、帮助企业修复安全漏洞的网络安全专家。这些被称为“白帽子”的专业人士，在维护网络安全的同时，自身也面临着法律风险——

检测漏洞却被报警拘留

“我儿子袁炜检测出‘世纪佳缘’的漏洞让对方修复，‘世纪佳缘’却报警抓了他。从3月8日被抓进去，至今已有半年，我们家人到今天还弄不清楚，袁炜到底犯了什么罪？ ”谈起儿子，双鬓斑白的袁冠阳连连叹息。

64岁的袁冠阳，原本对互联网一窍不通，儿子袁炜出事后，他多方请教专家，才明白儿子袁炜是互联网漏洞报告平台——“乌云网”上的一名“白帽子”，2015年12月，袁炜检测发现了婚恋交友网站——“世纪佳缘”的系统漏洞，并在乌云网上提交了系统漏洞。“世纪佳缘”先是确认、修复了漏洞，并向乌云网和袁炜致谢。但在“世纪佳缘”以“网站数据被非法窃取”报警之后，警方经调查拘留了袁炜。

袁炜检测并提交了“世纪佳缘”的漏洞；而“世纪佳缘”出于保护用户隐私安全考虑，报警抓人。多位网络安全业内人士和法律专家在接受记者采访时均认为，袁炜事件或将成为互联网安全史上一个标志性的“分水岭”。

链接：所谓“白帽子”，是指识别计算机系统或网络系统中安全漏洞的网络安全技术人员。他们活跃在漏洞披露平台、企业应急安全响应平台上，仅是检测漏洞，并不恶意去利用漏洞，并通过向相关平台或者厂家反馈、发布漏洞，以敦促厂家在漏洞被黑客攻击利用之前将其修复完善，维护计算机和互联网安全。生活中，他们是普通的网络工程师、安全实验室的程序员，甚至仅仅是大学计算机专业的学生。

“白帽子”被抓引热议

袁炜被抓后，引起了公众尤其是程序员们的热烈关注。如何定义“白帽子”？在进行网络安全测试时要遵循哪些规范？漏洞平台是否有权公布企业安全漏洞？这些问题也引起法学专家的关注。

获取网站信息是袁炜被捕的重要原因。“世纪佳缘”委托了一家司法鉴定所对其服务器日志进行鉴定，鉴定意见显示，“世纪佳缘”网在2015年12月3日17时许至2015年12月4日10时许，被“124.160.67.131”等11个IP地址非法访问，入侵者对网站数据库进行了读取操作，涉及读取操作的数据库数据信息为932条。

在袁炜案引发的讨论中，很多程序员认为“白帽子”挖掘漏洞涉及读取信息，善意获取不违法。

检测漏洞的法律边界在哪

目前我国对“白帽子”善意挖掘漏洞的法律规范并没有形成系统的法律体系，比较零散地体现在一些法律法规以及部门规章里，例如保守国家秘密法、治安管理处罚法、刑法等，这些法律并没有明确划定“白帽子”的行为边界。

公安部第三研究所、信息网络安全公安部重点实验室二级警督黄道丽副研究员说，实践中，“白帽子”作为技术人员，对法律知识知之甚少，“‘白帽子’是一群崇尚自由的群体，凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞，期望从中实现不同的价值。当前较为迫切的问题是立法规范、引导‘白帽子’，为其创造合适的法律环境。 ”黄道丽认为，建立长效高额的安全漏洞奖励机制是支持和鼓励“白帽子”的最佳方式。

北京邮电大学互联网治理与法律研究中心常务副主任谢永江说：“当前，在认定‘白帽子’是否善意破解、测试漏洞时，主要强调结果。因为当事人当时的主观意志无法客观鉴定，既有可能是测试的疏忽，也可能是一念之差，故意留存了数据。”谢永江说，在法律不明确的情况下，“白帽子”挖掘漏洞行为本身带有风险，而现有的法律规范倾向于保护企业利益。

链接：目前“白帽子”的定义很少出现在各国的法律和标准中，一则因为“白帽子”是最近十几年才盛行起来的，二则因为 “白帽子”还属于尚未拥有法律地位的民间技术团体。实践中普遍将“白帽子”与“灰帽子”“黑帽子”联系在一起，认为“白帽子”是黑客的一种。与之相近的概念称为“道德黑客”，即模拟黑客攻击，帮助客户了解自己网络的弱点，并为客户提出改进建议的网络安全专家。

应尽快制定行业标准

“法律永远滞后于技术发展。 ”作为中国网络空间安全协会理事的谢永江表示，召集专业人士通过行业协会制定“白帽子”挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定“白帽子”的注册标准，规范使用工具，对挖掘行为的边界形成行业共识，统一挖掘漏洞的授权规则。

谢永江认为，漏洞平台对公众强制披露漏洞，存在着现实和法律风险：首先，公众对漏洞细节不一定了解，遑论采取相对应的防范措施；其次，披露漏洞细节可能引来“黑帽子”的攻击，加重漏洞的危害。不过，如果厂商在接到漏洞报告后不修复漏洞，导致用户信息因该漏洞泄露，“白帽子”的漏洞报告就可以成为厂商不履行网络安全管理义务、在用户信息泄露事件上存在过失的证据，用户因此产生的损失就可以索赔。

链接：实际上，国内外都有大量的数据泄露安全事件发生。从各国法律来看，对于挖掘安全漏洞的行为，一般会根据主体与行为动机规定不同的法律后果。比如美国，早在1998年 《数字千年版权法》中就规定了安全测试（包括“白帽子”）的界限：安全漏洞信息的获取和利用，仅以保障被测试计算机系统的所有人或运营人的安全为目的。

对于“白帽子”等团队或个人合法获取的漏洞信息，美国《网络安全法》还规定了未取得厂商授权时的披露规则：首先，披露者应采取适当措施，保护所掌握的漏洞信息；其次，披露时应当去除可以用于识别特定人的信息；第三，不得使用漏洞信息获得不公平的竞争优势。同时，“白帽子”可以以“善意辩护”豁免挖掘漏洞的法律责任。

漏洞信息或成战略资源

《中国互联网站发展状况及其安全报告（2016）》显示：截至2015年12月底，中国网站总量达到426.7万余个；而由于各种各样安全漏洞的存在，网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁，公共互联网环境仍面临较为严峻的安全态势。

“信息技术的迅速发展促进了计算机规模的膨胀，增加了个人、企业乃至社会和国家对网络安全的需求。‘黑帽子’‘灰帽子’等利用漏洞进行攻击的事件层出不穷，且手段愈发多样化和高明，网络风险的泛在性使得安全成为普遍性的问题，‘白帽子’因其道德和伦理偏向成为企业甚至政府机构获取漏洞、升级系统的重要途径，在维护信息系统方面的作用不可替代。 ”黄道丽说。

国家互联网应急中心运行部副主任严寒冰也表示，2009年以后，多家漏洞报告平台的陆续成立，如补天平台、乌云网、漏洞盒子，“白帽子”发现并上报漏洞已经成为整个漏洞发现处置体系中的重要环节。

网络安全漏洞关系到企业和个人的信息安全，甚至涉及国家安全。“发达国家早已把漏洞信息当作一种战略资源。 ”谢永江表示。“漏洞信息本身具有一定的应用价值。”谢永江建议，“可以在国家层面建立漏洞信息库，收购企业以及包括‘白帽子’在内的个人发现的漏洞，在网络战争日益成为现实的情况下，未雨绸缪，做好技术储备工作。”

链接：漏洞信息的挖掘与保护也得到了我国政府的关注。今年4月19日，国家主席习近平在网络安全和信息化工作座谈会上强调，“要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来，龙头企业要带头参加这个机制。 ”漏洞发现还被作为“提升全天候全方位感知网络安全态势能力”的重要内容，写入我国《国家信息化发展战略纲要》。