核心提示

酒店開房記錄被泄露、第三方支付網站漏洞被曝光……在安全事件層出不窮的網絡上，有一群志愿抗擊黑客攻擊、幫助企業修復安全漏洞的網絡安全專家。這些被稱為“白帽子”的專業人士，在維護網絡安全的同時，自身也面臨著法律風險——

檢測漏洞卻被報警拘留

“我兒子袁煒檢測出‘世紀佳緣’的漏洞讓對方修復，‘世紀佳緣’卻報警抓了他。從3月8日被抓進去，至今已有半年，我們家人到今天還弄不清楚，袁煒到底犯了什么罪？ ”談起兒子，雙鬢斑白的袁冠陽連連嘆息。

64歲的袁冠陽，原本對互聯網一竅不通，兒子袁煒出事后，他多方請教專家，才明白兒子袁煒是互聯網漏洞報告平臺——“烏云網”上的一名“白帽子”，2015年12月，袁煒檢測發現了婚戀交友網站——“世紀佳緣”的系統漏洞，并在烏云網上提交了系統漏洞。“世紀佳緣”先是確認、修復了漏洞，并向烏云網和袁煒致謝。但在“世紀佳緣”以“網站數據被非法竊取”報警之后，警方經調查拘留了袁煒。

袁煒檢測并提交了“世紀佳緣”的漏洞；而“世紀佳緣”出于保護用戶隱私安全考慮，報警抓人。多位網絡安全業內人士和法律專家在接受記者采訪時均認為，袁煒事件或將成為互聯網安全史上一個標志性的“分水嶺”。

鏈接：所謂“白帽子”，是指識別計算機系統或網絡系統中安全漏洞的網絡安全技術人員。他們活躍在漏洞披露平臺、企業應急安全響應平臺上，僅是檢測漏洞，并不惡意去利用漏洞，并通過向相關平臺或者廠家反饋、發布漏洞，以敦促廠家在漏洞被黑客攻擊利用之前將其修復完善，維護計算機和互聯網安全。生活中，他們是普通的網絡工程師、安全實驗室的程序員，甚至僅僅是大學計算機專業的學生。

“白帽子”被抓引熱議

袁煒被抓后，引起了公眾尤其是程序員們的熱烈關注。如何定義“白帽子”？在進行網絡安全測試時要遵循哪些規范？漏洞平臺是否有權公布企業安全漏洞？這些問題也引起法學專家的關注。

獲取網站信息是袁煒被捕的重要原因。“世紀佳緣”委托了一家司法鑒定所對其服務器日志進行鑒定，鑒定意見顯示，“世紀佳緣”網在2015年12月3日17時許至2015年12月4日10時許，被“124.160.67.131”等11個IP地址非法訪問，入侵者對網站數據庫進行了讀取操作，涉及讀取操作的數據庫數據信息為932條。

在袁煒案引發的討論中，很多程序員認為“白帽子”挖掘漏洞涉及讀取信息，善意獲取不違法。

檢測漏洞的法律邊界在哪

目前我國對“白帽子”善意挖掘漏洞的法律規范并沒有形成系統的法律體系，比較零散地體現在一些法律法規以及部門規章里，例如保守國家秘密法、治安管理處罰法、刑法等，這些法律并沒有明確劃定“白帽子”的行為邊界。

公安部第三研究所、信息網絡安全公安部重點實驗室二級警督黃道麗副研究員說，實踐中，“白帽子”作為技術人員，對法律知識知之甚少，“‘白帽子’是一群崇尚自由的群體，憑借自身對技術的追求或對網絡安全的維護之心等挖掘漏洞，期望從中實現不同的價值。當前較為迫切的問題是立法規范、引導‘白帽子’，為其創造合適的法律環境。 ”黃道麗認為，建立長效高額的安全漏洞獎勵機制是支持和鼓勵“白帽子”的最佳方式。

北京郵電大學互聯網治理與法律研究中心常務副主任謝永江說：“當前，在認定‘白帽子’是否善意破解、測試漏洞時，主要強調結果。因為當事人當時的主觀意志無法客觀鑒定，既有可能是測試的疏忽，也可能是一念之差，故意留存了數據。”謝永江說，在法律不明確的情況下，“白帽子”挖掘漏洞行為本身帶有風險，而現有的法律規范傾向于保護企業利益。

鏈接：目前“白帽子”的定義很少出現在各國的法律和標準中，一則因為“白帽子”是最近十幾年才盛行起來的，二則因為 “白帽子”還屬于尚未擁有法律地位的民間技術團體。實踐中普遍將“白帽子”與“灰帽子”“黑帽子”聯系在一起，認為“白帽子”是黑客的一種。與之相近的概念稱為“道德黑客”，即模擬黑客攻擊，幫助客戶了解自己網絡的弱點，并為客戶提出改進建議的網絡安全專家。

應盡快制定行業標準

“法律永遠滯后于技術發展。 ”作為中國網絡空間安全協會理事的謝永江表示，召集專業人士通過行業協會制定“白帽子”挖掘漏洞、提交漏洞的行業標準更為快捷。行業準則可以制定“白帽子”的注冊標準，規范使用工具，對挖掘行為的邊界形成行業共識，統一挖掘漏洞的授權規則。

謝永江認為，漏洞平臺對公眾強制披露漏洞，存在著現實和法律風險：首先，公眾對漏洞細節不一定了解，遑論采取相對應的防范措施；其次，披露漏洞細節可能引來“黑帽子”的攻擊，加重漏洞的危害。不過，如果廠商在接到漏洞報告后不修復漏洞，導致用戶信息因該漏洞泄露，“白帽子”的漏洞報告就可以成為廠商不履行網絡安全管理義務、在用戶信息泄露事件上存在過失的證據，用戶因此產生的損失就可以索賠。

鏈接：實際上，國內外都有大量的數據泄露安全事件發生。從各國法律來看，對于挖掘安全漏洞的行為，一般會根據主體與行為動機規定不同的法律后果。比如美國，早在1998年 《數字千年版權法》中就規定了安全測試（包括“白帽子”）的界限：安全漏洞信息的獲取和利用，僅以保障被測試計算機系統的所有人或運營人的安全為目的。

對于“白帽子”等團隊或個人合法獲取的漏洞信息，美國《網絡安全法》還規定了未取得廠商授權時的披露規則：首先，披露者應采取適當措施，保護所掌握的漏洞信息；其次，披露時應當去除可以用于識別特定人的信息；第三，不得使用漏洞信息獲得不公平的競爭優勢。同時，“白帽子”可以以“善意辯護”豁免挖掘漏洞的法律責任。

漏洞信息或成戰略資源

《中國互聯網站發展狀況及其安全報告（2016）》顯示：截至2015年12月底，中國網站總量達到426.7萬余個；而由于各種各樣安全漏洞的存在，網站面臨著黑客以癱瘓目標業務系統、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯網環境仍面臨較為嚴峻的安全態勢。

“信息技術的迅速發展促進了計算機規模的膨脹，增加了個人、企業乃至社會和國家對網絡安全的需求。‘黑帽子’‘灰帽子’等利用漏洞進行攻擊的事件層出不窮，且手段愈發多樣化和高明，網絡風險的泛在性使得安全成為普遍性的問題，‘白帽子’因其道德和倫理偏向成為企業甚至政府機構獲取漏洞、升級系統的重要途徑，在維護信息系統方面的作用不可替代。 ”黃道麗說。

國家互聯網應急中心運行部副主任嚴寒冰也表示，2009年以后，多家漏洞報告平臺的陸續成立，如補天平臺、烏云網、漏洞盒子，“白帽子”發現并上報漏洞已經成為整個漏洞發現處置體系中的重要環節。

網絡安全漏洞關系到企業和個人的信息安全，甚至涉及國家安全。“發達國家早已把漏洞信息當作一種戰略資源。 ”謝永江表示。“漏洞信息本身具有一定的應用價值。”謝永江建議，“可以在國家層面建立漏洞信息庫，收購企業以及包括‘白帽子’在內的個人發現的漏洞，在網絡戰爭日益成為現實的情況下，未雨綢繆，做好技術儲備工作。”

鏈接：漏洞信息的挖掘與保護也得到了我國政府的關注。今年4月19日，國家主席習近平在網絡安全和信息化工作座談會上強調，“要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網絡安全風險發生的規律、動向、趨勢。要建立政府和企業網絡安全信息共享機制，把企業掌握的大量網絡安全信息用起來，龍頭企業要帶頭參加這個機制。 ”漏洞發現還被作為“提升全天候全方位感知網絡安全態勢能力”的重要內容，寫入我國《國家信息化發展戰略綱要》。