目前，我國法律尚未涉及到安全漏洞、“白帽子”、眾測平臺等一些新興概念，也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規(guī)定

烏云網(wǎng)停擺狀態(tài)還在持續(xù)，“白帽子”這一群體的的罪與罰話題，依舊是網(wǎng)絡(luò)安全界討論的熱點。

“對‘白帽子’的身份要給予正確說法，在我看來，‘白帽子’是網(wǎng)絡(luò)安全領(lǐng)域不可或缺的補充力量。”在8月16日第四屆中國互聯(lián)網(wǎng)安全大會的網(wǎng)絡(luò)安全與法治論壇上，西安交通大學信息安全法律研究中心主任馬民虎給出了如此看法。

然而，馬民虎也指出，為了使“白帽子”在網(wǎng)絡(luò)社會中能夠更多地發(fā)揮積極價值，而不是走上歧途，需要社會為其成長提供一個暢通渠道，并且從法律和政策上提供保障與支持。

“白帽子”成解決漏洞問題重要環(huán)節(jié)

《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016)》的統(tǒng)計數(shù)據(jù)顯示：截至2015年12月底，中國網(wǎng)站總量達到426.7萬余個；而由于各種各樣安全漏洞的存在，網(wǎng)站面臨著黑客以癱瘓目標業(yè)務(wù)系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴峻的安全態(tài)勢。

“可以說，所有網(wǎng)絡(luò)安全問題的產(chǎn)生，以及網(wǎng)絡(luò)安全威脅的存在，都和漏洞有緊密關(guān)系。”國家互聯(lián)網(wǎng)應(yīng)急中心運行部副主任嚴寒冰介紹，近些年來，隨著人們對安全漏洞的越發(fā)重視，尤其從2009年以后多家漏洞報告平臺的陸續(xù)成立，如補天平臺、烏云網(wǎng)、漏洞盒子，以及各大互聯(lián)網(wǎng)企業(yè)內(nèi)部成立的安全應(yīng)急響應(yīng)中心等，讓解決網(wǎng)絡(luò)安全問題有了越來越多民間力量的參與；而“白帽子”發(fā)現(xiàn)并上報漏洞，已經(jīng)成為整個漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

法治周末記者了解到，如家酒店等開房信息遭泄露、12306鐵路售票網(wǎng)用戶數(shù)據(jù)遭泄露等曾經(jīng)轟動一時的網(wǎng)絡(luò)安全事件，最早都是由民間“白帽子”提交給漏洞報告平臺，才引起社會廣泛關(guān)注的。

嚴寒冰介紹，“白帽子”會去挖掘相關(guān)單位的漏洞，并上報到漏洞報告平臺；這些漏洞報告平臺擔負著搜集漏洞、處置漏洞的相關(guān)任務(wù)，“白帽子”發(fā)現(xiàn)的這些漏洞會經(jīng)由分發(fā)體系發(fā)到各個設(shè)施單位去，然后由設(shè)施單位對漏洞進行修復處理。

“漏洞報告平臺的存在，是整個漏洞發(fā)現(xiàn)處置體系的一個核心。”嚴寒冰說。

漏洞挖掘易觸犯法律

盡管“白帽子”在發(fā)現(xiàn)漏洞方面的作用有目共睹，但由于其身份和行為在合法性上尚模糊，也因此面臨著不可忽視的法律風險。

4月12日，“白帽子”袁煒因其檢測世紀佳緣網(wǎng)系統(tǒng)漏洞的相關(guān)行為，而被警方以涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪逮捕；7月19日至20日，漏洞盒子、烏云網(wǎng)等多家漏洞報告平臺陷入無法正常訪問的狀態(tài)，網(wǎng)上有媒體報道稱因白帽子模式游走在法律邊界，相關(guān)漏洞報告平臺被介入調(diào)查，目前處于停業(yè)整頓的狀態(tài)。

“白帽子”和漏洞報告平臺的行為準則和邊界問題，日益成為業(yè)界關(guān)注的重點領(lǐng)域。在論壇上，公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任、副研究員黃道麗發(fā)布了西安交通大學信息安全法研究中心和360法務(wù)團隊共同編制的《白帽子安全漏洞挖掘法律風險分析報告》(以下簡稱“《報告》”)，指出目前我國法律尚未涉及到安全漏洞、“白帽子”、漏洞眾測平臺等一些新興概念，也缺少對漏洞挖掘行為和漏洞挖掘報告的交易和利用等方面的直接規(guī)定。

“我國并沒有建立與‘白帽子’相關(guān)的系統(tǒng)法律制度，相應(yīng)的規(guī)范只是零散地在法律法規(guī)中得以體現(xiàn)。從現(xiàn)有規(guī)范角度來看，由于自身定義的不明確和相關(guān)行為規(guī)范的缺失，加上一些‘白帽子’的法律意識淡薄，他們的漏洞挖掘行為很容易觸犯法律。”黃道麗說。

可通過適當衡量標準納入安全產(chǎn)業(yè)

“我國急需從管理、技術(shù)和法律層面，來綜合提高應(yīng)對網(wǎng)絡(luò)攻擊的防御能力。一方面，要最大限度地減少安全漏洞可能產(chǎn)生的危害；而另一方面，我們也需要引導安全漏洞合法挖掘、報告、披露、應(yīng)用。”黃道麗指出，法律應(yīng)當將“白帽子”和漏洞報告平臺，通過適當?shù)暮饬繕藴始{入到安全產(chǎn)業(yè)當中，確實給予合法地位；通過明確的規(guī)范，將“白帽子”的漏洞挖掘行為納入法律框架中。

北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江對此表示認同。他認為，網(wǎng)絡(luò)漏洞具有雙重性，網(wǎng)絡(luò)漏洞被發(fā)掘后，不法分子可能會利用漏洞給用戶帶來損失，但從另一個角度來說，網(wǎng)絡(luò)漏洞只有被發(fā)掘才能得到修復，管理部門不能用禁止挖掘漏洞的方式來維護網(wǎng)絡(luò)安全。

“但確實應(yīng)禁止‘白帽子’挖掘國家事務(wù)、國防建設(shè)和尖端科技領(lǐng)域的計算機信息系統(tǒng)漏洞。”謝永江表示，涉及到公眾利益的漏洞是不能任意披露的，“白帽子”若要向研究機構(gòu)披露漏洞，需要基于授權(quán)。

“網(wǎng)絡(luò)漏洞既然是客觀存在的，就應(yīng)當正確地培育這個市場，構(gòu)建公開有序的漏洞發(fā)現(xiàn)、修復機制，促進網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康發(fā)展，而不能任由這個市場朝著不規(guī)范的方向發(fā)展。”謝永江表示。

嚴寒冰建議，在規(guī)范網(wǎng)絡(luò)漏洞挖掘的問題上，要完善互聯(lián)網(wǎng)設(shè)施單位、漏洞報告平臺以及“白帽子”之間的協(xié)商披露機制。

《報告》對此也提出了建議：政府應(yīng)實現(xiàn)由行政監(jiān)管為主、向法治監(jiān)管為主的轉(zhuǎn)型，強化以法治為基礎(chǔ)的市場監(jiān)管體系，建立評估監(jiān)測機制，監(jiān)督眾測平臺對漏洞合法挖掘、報告、披露、應(yīng)用的商業(yè)管理模式，定期進行透明度審查，并向社會發(fā)布報告；督促企業(yè)健康發(fā)展，鼓勵行業(yè)實施合法的漏洞獎勵計劃，適當提高獎勵金額，為企業(yè)、漏洞眾測平臺和“白帽子”群體創(chuàng)造利益平衡的支點和紐帶。

《報告》還提出，由于目前漏洞報告、披露機制的流程和制度不規(guī)范，民間漏洞眾測平臺不能夠為企業(yè)和“白帽子”之間創(chuàng)造有效的信任環(huán)境，因而民間漏洞眾測平臺要加強協(xié)調(diào)作用，監(jiān)督“白帽子”依法進行漏洞挖掘工作，嚴格遵守信息保密原則并規(guī)范披露行為，及時通知“白帽子”可能的違法犯罪行為。