8月16日，第四屆中國互聯(lián)網安全大會(ISC 2016)暨全球互聯(lián)網安全精英峰會在北京國家會議中心召開，本屆會議以“協(xié)同聯(lián)動，共建安全+命運共同體”為主題，來自全球70多個國家的近百位專家就網絡安全形勢、網絡空間戰(zhàn)略、產業(yè)方向、行業(yè)趨勢、技術未來、產業(yè)合作、投資創(chuàng)業(yè)、人才培養(yǎng)、安全攻防實戰(zhàn)等九大方向進行了深入探討。

當日下午，在網絡安全與法治論壇上，公安部第三研究所網絡安全法治研究中心主任、副研究員黃道麗發(fā)表了《白帽子漏洞挖掘法律風險研究報告》主題演講。

傳統(tǒng)印象中，在互聯(lián)網安全領域，非法入侵和竊取數(shù)據的是幕后黑客，而站在黑客對立面、熱愛并維護網絡安全的技術高手通常被尊稱為“白帽子”。然而，由于我國相關法律尚未形成成熟的體系，白帽子的漏洞挖掘行為很容易觸碰法律邊界，對企業(yè)發(fā)展和安全防護產生負面效應。

去年12月，一白帽黑客向國內某知名漏洞平臺提交了其發(fā)現(xiàn)的婚戀交友網站系統(tǒng)漏洞，經該網站確認、修復了漏洞并按漏洞平臺慣例向漏洞提交者致謝后，事情突然轉折。該婚戀網站以“網站數(shù)據被非法竊取”為由報警，4月份，提交此漏洞的白帽黑客被捕。

論壇上，黃道麗主任提到，以白帽子為首的技術人員們從事的漏洞治理工作已經成為網絡安全保障的基礎性環(huán)節(jié)，《國家信息化發(fā)展戰(zhàn)略綱要》也提到，需提升全天候全方位感知網絡安全態(tài)勢能力，做好等級保護、風險評估、漏洞發(fā)現(xiàn)等基礎性工作。盡管如此，從事漏洞挖掘工作的白帽子們卻常常處于灰色地帶。

對此，黃道麗主任分析了白帽子挖掘漏洞的法律風險來源，包括法律遵從風險和內外部風險兩大部分，存在關鍵(信息)基礎設施基本范圍不清、白帽子和眾測平臺法律地位不明確、眾測平臺及企業(yè)管理制度不完善、安全漏洞法律屬性不清晰、白帽子行為邊界模糊、白帽子法律意識淡薄等因素。

根據分析白帽子挖掘漏洞的風險來源，黃道麗主任對構建國家層面網絡安全命運共同體的對策提出了幾點建議：政府加強有效監(jiān)管、企業(yè)增強社會責任感、眾測平臺規(guī)范管理流程、白帽子提高法律意識。同時黃道麗主任也為關鍵信息基礎設置內涵和外延界定、相關主體概念和法律地位、白帽子的權利和義務規(guī)范、眾測平臺的協(xié)調監(jiān)督義務、漏洞挖掘的豁免條件提出了實質建議。

據悉，在安全協(xié)同聯(lián)動時代，網絡安全與法治論壇旨在探討通過怎樣的法制創(chuàng)新，才能即保證政府、企業(yè)、和個人履行必要的責任和義務，又保護其能正當行使必要的權力;探討法制創(chuàng)新在安全人才培養(yǎng)中的積極作用以及國內外在此方面的先進經驗。