6月下旬，第四屆中國網絡安全大會在北京舉行。其間，一封來自某“白帽黑客”父親的公開信意外在網絡信息安全圈內外掀起不小波瀾。

“白帽黑客”與“黑帽黑客”相對，指正面的黑客。他們能識別出計算機或網絡系統中的漏洞，將其公布給廠商修復，以免“黑帽黑客”從中盜取信息、牟利。

公開信作者、浙江杭州的袁先生稱，其子袁某就是一名“白帽黑客”。2015年12月4日，袁某使用第三方漏洞報告平臺烏云網賬號提交了一份關于世紀佳緣網的漏洞報告，隨后，世紀佳緣確認并修復了該漏洞，并致謝烏云網及袁某。

4個月后，北京警方卻以涉嫌非法獲取計算機信息系統數據將袁某刑事拘留。原來，世紀佳緣網今年1月報警稱有4000余條實名注冊信息被竊取。目前案件處于審查階段，未有結論。袁先生在公開信中稱，其子檢測漏洞并無意圖或主動下載數據。

“白帽黑客”檢測漏洞是否構成犯罪?有業內專家指，維護網絡安全的“白帽黑客”群體實則游走在法律的邊緣地帶。

妻子：漏洞檢測為維護安全

6月26日，南都記者聯系到袁某妻子戴女士，她表示公開信內容客觀真實。她回憶，被警方帶走前丈夫曾兩次提起世紀佳緣網的漏洞。

南都記者調查發現，袁某的烏云網賬號“ledoo”注冊于2015年10月19日，共提交11份不同網站的漏洞報告，其中，最后提交的世紀佳緣漏洞報告時間是2015年12月4日。

戴女士稱，提交完報告一段時間后，世紀佳緣曾通過烏云網聯系袁某，說要饋贈禮物表達感謝，戴女士表示丈夫并沒有收下禮物。她介紹，袁某熱愛網絡安全領域，經?？磿@研到深夜，絕非貪圖禮物。

“怎么會出事呢?”戴女士認為，丈夫做“白帽黑客”以來一直未出現問題，提交漏洞報告也是為幫助世紀佳緣網維護安全。不解的戴女士聯系世紀佳緣網詢問，對方的回應是袁某或與該網站資料泄露事件有關。對于世紀佳緣公司的報案，戴女士稱：“感覺就像被背叛，太冤屈了。”

自3月8日袁某被警方帶走后，袁某家屬至今未能與其見面。如今，該案已進入檢方審查階段。

世紀佳緣CEO：撰文否認“釣魚”一說

目前“白帽黑客”提交漏洞的途徑主要有兩種：一是通過烏云網、360補天平臺等漏洞平臺;二是通過各廠商自己設立的安全應急響應中心。不過，國內廠商對網絡安全的重視程度不一，也并非每家廠商都設有安全應急響應中心，仍有不少“白帽黑客”通過漏洞平臺提交報告。

作為業內知名的第三方漏洞平臺，烏云網擁有注冊的“白帽黑客”上萬人。此外，第三方漏洞平臺和各企業也存在合作關系。本案涉及的世紀佳緣2012年就與烏云網建立了合作關系。

公開信引發的討論不斷發酵，但世紀佳緣官方卻一直沒回應。直到6月29日，世紀佳緣首席執行官(CEO)吳琳光在某論壇發文回應此事。但他表示因案件尚在公訴期間，文章內容僅代表個人觀點。

吳琳光稱，2015年12月3日晚，公司安全人員發現有多個IP地址對其網站進行SQ L注入攻擊(注：SQ L注入攻擊是黑客對數據庫進行攻擊的常用手段之一)。隨后，安全人員通過技術手段阻斷了部分攻擊。次日，烏云網通知世紀佳緣其網站存在漏洞。該輪攻擊持續到12月4日晚上，直至安全人員將其完全修復。事后，世紀佳緣方面統計發現，攻擊總次數累計4000余次，共有900多條有效數據被攻擊者獲取。“出于對用戶數據和信息安全的擔憂，我們還是選擇了報警。”吳琳光稱。

吳琳光否認了“釣魚”一說。他表示，在警方披露調查結果前，世紀佳緣并不知道提交漏洞的“白帽子”和攻擊者是否同一人，“報警不針對任何個人或群體，公司也沒有聯系過袁某”。

IT法律律師：道義和法律不沖突

不過，吳琳光的回應并沒能平息網絡安全圈內的爭論。南都記者了解到，早在袁案發生之前，圈內已有對此話題的激烈爭論。

“白帽黑客”自行檢測行為，應該“講道義”還是“講法律”?多名互聯網法律方面的律師向南都記者表示，相關法律對于“白帽黑客”群體留有空間。中國電子商務協會政策法律委員會委員、互聯網法律專家于國富介紹，我國刑法對于“非法侵入”行為構成犯罪規定了非常窄的范圍，侵入“國家事務、國防建設、尖端科學技術領域的計算機信息系統”等特定信息系統的才會成立。

對于普通的廠商計算機信息系統，僅僅實施了侵入行為，沒有破壞、控制、竊取數據等造成嚴重后果行為，不構成犯罪。這意味著，“白帽黑客”在檢測漏洞時，只要不觸碰系統數據，在發現漏洞后立即提交報告給廠商，就不涉及犯罪。“法律這一方面在尺度設計上是合理的，也給善意的‘白帽黑客’以一定的發揮能力和實施公益的空間。”于國富說。

游走在鋼絲上的“白帽黑客”

法律給“白帽黑客”的行動劃定了紅線，但在現實中突破紅線的現象卻并不少見。一名從事網絡安全10余年的專家介紹，部分“白帽黑客”不止于發現漏洞，有時會通過漏洞進入系統越界操作，隨后向廠商提交漏洞報告，自稱“白帽黑客”———這在圈內被戲稱為“洗白”。

值得注意的是，這種“洗白”并無法律依據。于國富介紹，在犯罪行為后實施補救措施并不影響犯罪性質，而是否追究責任取決于企業的決策。

南都記者注意到，吳琳光在個人回應中提到，袁某在檢測漏洞時使用的sqlmap是網絡黑客工具。據一名網絡安全從業人員介紹，sqlmap是安全圈內常用的工具之一，它會自動將測試信息存儲到本地的一個隱藏文件夾，其中也包括一些敏感信息。另一名業內人士則透露，一直以來網絡信息安全圈內并沒有對安全工具和黑客工具加以區分，“其實是一套”。

根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，獲取網絡金融服務的身份認證信息10組以上，或其它身份認證信息500組以上的，認定為非法獲取計算機信息系統數據。

這意味著，“白帽黑客”在使用諸如sqlm ap一類具有緩存功能的安全測試工具時，可能不經意間就將自己置于法律風險中。

本案中世紀佳緣網信息遭竊是否與袁某使用的sqlm ap工具有關?因案件還在審查階段，多名網絡安全圈內人士均不予置評。