漏洞战争:“白帽子”法律之争

实践中，白帽子作为技术人员，对法律知识知之甚少，当前较为迫切的问题是立法规范引导白帽子，为其创造合适的法律环境

点

击漏洞提交平台乌云网的主页，出现的是一份“升级公告”，还有一句意味深长的“与其听信谣言，不如相信乌云”。这是个曝光过国内知名技术社区CSDN的600余万用户资料泄露漏洞的网站，最近一条新闻则是注册白帽子ID为ledoo的袁炜因自己发现的漏洞被立案的消息。

袁炜是互联网漏洞报告平台乌云网上的一名白帽子，2015年12月，袁炜检测发现了婚恋交友网站“世纪佳缘”的系统漏洞，并在乌云网上提交了系统漏洞。世纪佳缘也联系了他，并对他表示了感谢。

事件的转折点发生在世纪佳缘以“网站数据被非法窃取”报警之后。警方经调查发现袁炜使用入侵软件获取世纪佳缘网站数据信息，并以涉嫌非法获取计算机信息系统数据罪将其刑事拘留。世纪佳缘网站CEO吴琳光称，事先并不知晓本次网站攻击事件来自袁炜，案件发生后，因进入司法程序，世纪佳缘也只能等待司法机关调查。

“白帽子”袁炜被抓事件发生后，引发公众尤其是程序员们的热烈关注。如何定义白帽子，在进行网络安全测试时要遵循哪些规范，漏洞平台是否有权公布企业安全漏洞等问题也引发法学专家们的讨论。

“目前白帽子的定义很少出现在各国的法律和标准中，一则因为白帽子是最近十几年盛行起来的，二则因为白帽子还属于尚未拥有法律地位的民间技术团体。实践中普遍将白帽子与灰帽子、黑帽子联系在一起，认为白帽子是黑客的一种。与之相近的概念称为道德黑客，即模拟黑客攻击，帮助客户了解自己网络的弱点，并为客户提出改进建议的网络安全专家。”公安部第三研究所、信息网络安全公安部重点实验室二级警督黄道丽副研究员告诉《方圆》记者。

“一般所理解的白帽子不以挖掘漏洞为生，其对各个网站进行安全测试的动机主要是维护网络安全。但是如何在法律上界定白帽子，如何认定挖掘行为的法律性质，如何判断漏洞细节的危险性，目前在法律上还处于模糊地带。” 北京邮电大学互联网治理与法律研究中心常务副主任谢永江说。

白帽子背后的法律风险

在袁炜案中，获取网站信息成为其被捕的重要原因。世纪佳缘一方委托了一家司法鉴定所对其服务器日志进行鉴定，鉴定意见显示，世纪佳缘网在2015年12月3日17时许至2015年12月4日10时许，被“124.160.67.131”等11个IP地址非法访问，入侵者对网站数据库进行了读取操作，涉及读取操作的数据库数据信息为932条。

在袁炜案引发的讨论中，很多程序员认为白帽子挖掘漏洞涉及读取信息，善意获取不违法。对此，黄道丽表示，“我国刑法规范的是所有未经授权访问计算机信息系统的行为，这些并非直接针对漏洞挖掘行为的规定。任何主体若利用系统安全漏洞实施了入侵行为，均可能触犯刑法规定，都要追责。未经授权侵入计算机信息系统也是各国刑事立法共同打击的行为。”

在认定标准上，黄道丽解释道，根据最高院司法解释，获取网络金融服务的身份认证信息以外的其他身份认证信息五百组就构成刑法所规定的“情节严重”，入侵者面临三年以下有期徒刑或者拘役，并处或者单处罚金。这一量化标准在制定过程中肯定经过了大量的实证检验和研讨论证，规定本身没有问题。有人争议袁炜作为白帽子当中的“新人”多获取了一些数据无可厚非不是法律上定罪应当考虑的因素。

实践中，还存在白帽子使用和黑客相同的软件进行漏洞测试的情况，比如袁炜就使用了一款名为SQLmap的安全测试软件，这个软件自带缓存功能，会自动将测试信息存储到本地的一个隐藏文件夹。

“如果白帽子在挖掘漏洞过程中使用的自动化工具导致获取的数据量触犯刑法，他们应考虑调整功能或使用其他规范化工具。”黄道丽告诉《方圆》记者，实践中，白帽子作为技术人员，对法律知识知之甚少，当前较为迫切的问题是立法规范、引导白帽子，为其创造合适的法律环境。

“当前，并没有法律对挖掘漏洞行为进行具体规范，刑法主要从行为的角度进行规制。在认定白帽子是否善意破解、测试漏洞时，强调结果。因为当事人当时的主观意志无法客观鉴定，既有可能是测试的疏忽，也可能是一念之差，故意留存了数据。”谢永江表示，在法律不明确的情况下，白帽子挖掘漏洞行为本身带有风险，而现有的法律规范倾向于保护企业利益。如果袁炜的行为确实构成了法律规定的获取信息的定罪标准，仍然需要承担相应的法律责任。

目前我国对白帽子善意挖掘漏洞的法律规范并没有形成系统的法律体系，比较零散地体现在一些法律法规以及部门规章里，例如《保守国家秘密法》、《治安管理处罚法》、《刑法》以及还在审议中的《网络安全法》，这些法律并没有明确规定出白帽子的行为边界。黄道丽强调，法律规定不明确导致白帽子行为仍然存在不确定性。但在新法出台前，现有的法律和司法解释规定，应成为白帽子实施挖掘行为必须接受和前置考虑的一个客观要求。

国外白帽子如何免责

实际上国内外都有大量的数据泄露的安全事件发生。只不过一方面知晓漏洞曝光或数据泄露需要用户本身具有一定的技术能力，另一方面，是否采取法律行动则需要相应法律能力和成本。黄道丽表示，目前单纯因为漏洞挖掘被立案的白帽子新闻并不多，但并不表示违反法律的挖掘行为没有或较少发生。如何通过法律规范白帽子行为成为一项值得研究的重要课题。

从各国法律来看，挖掘安全漏洞的行为一般会根据主体与行为动机予以不同的规定。

比如美国早在1998《数字千年版权法》中就规定了安全测试（包括白帽子）的界限：安全漏洞信息的获取和利用仅以保障被测试计算机系统的所有人或运营人的安全为目的。

对于白帽子等团队或个人合法获取的漏洞信息。美国《网络安全法》还规定了未取得厂商授权时的披露规则。首先，披露者应采取适当措施，保护所掌握的漏洞信息；其次，披露时应当去除可以用于识别特定人的信息； 第三，不得使用漏洞信息获得不公平的竞争优势。同时，白帽子可以以“善意辩护”豁免挖掘漏洞的法律责任。《网络安全法》也规定，在不违反该法的前提下，基于善意信赖，可豁免于所有的民事和刑事法律。

在漏洞检测和披露问题上，我国的《网络安全法（草案二次审议稿）》则在学者呼吁下增加了第二十五条规定：“开展网络安全认证、检测、风险评估等活动，向社会系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”黄道丽表示，审议稿为可能涉及民间自发的漏洞挖掘和公布内容的下位法的制定或出台做了铺垫。

单个漏洞最高奖励3万美元

“法律永远滞后于技术发展。”作为中国网络空间安全协会理事之一的谢永江表示，召集专业人士通过行业协会形成白帽子挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定白帽子的注册标准，规范使用工具，包括对挖掘行为的边界形成行业共识，统一挖掘漏洞的授权规则。黄道丽也认为，需要法律规范的应完善并合理化，具体的技术规范则可以交给市场优化解决。

对比乌云网的对公众强制披露制度、只对厂商内部披露的补天模式以及国家信息安全漏洞共享平台模式，谢永江认为，漏洞平台对公众强制披露漏洞存在着现实和法律风险。首先，公众对漏洞细节不一定了解，遑论采取相对应的防范措施。其次，披露漏洞细节可能引来黑帽子的攻击，加重漏洞的危害。不过，如果厂商在接到漏洞报告后不修复漏洞，导致用户信息因该漏洞泄露。白帽子的漏洞报告就可以成为厂商不履行网络安全管理义务，在用户信息泄露事件上存在过失的证据。用户因此产生的损失就可以索赔。

西安交通大学法学院与360公司曾就白帽子挖掘漏洞的奖励模式进行了专题研究，并了《白帽子安全漏洞挖掘风险报告》。当前多种漏洞披露平台具有一定的尝试和探索意义。“从目前国内外漏洞平台的发展阶段看，似乎也不存在一种单一的模式。”参与撰写该报告的黄道丽告诉《方圆》记者。

报告显示，脸书（Facebook）仅在2015年就给210名白帽黑客发放了93.6万美元的漏洞奖励。漏洞赏金计划、漏洞购买计划（VPPs）以及漏洞奖励计划吸引更多白帽子加入安全防护研究，已经成为网络安全领域司空见惯的事情。

在国外漏洞众测平台第一黑客（HackerOne）上，由众测企业向黑客支付发现漏洞的奖励，第一黑客则从企业奖励中抽取20%的费用。第一黑客还向企业提供付费服务模式，如漏洞订阅服务、漏洞披露指导、安全咨询等。目前，第一黑客已帮助500多家企业找出2万多个漏洞，向3200多名独立安全研究员发放了600多万美元的奖励，单个漏洞奖励最多达到3万美元。

从国际实践来看，相比目前我国企业较低的漏洞奖励金额，黑市交易的高额回报显然更具诱惑力，这也是黑市产业链形成和发展的关键因素。黄道丽表示，“白帽子是一群崇尚自由的群体，凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞，期望从中实现不同的价值，所以白帽子不会因为商业化消失。因此，建立长效高额的安全漏洞奖励机制是支持和鼓励白帽子的最佳方式。”

漏洞信息或成战略资源

《中国互联网站发展状况及其安全报告（2016）》显示：截至2015年12月底，中国网站总量达到426.7万余个；而由于各种各样安全漏洞的存在，网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁，公共互联网环境仍面临较为严峻的安全态势。

“信息技术的迅速发展促使了计算规模的膨胀，增加了个人、企业乃至社会和国家对网络安全的需求。‘黑帽子’、‘灰帽子’等利用漏洞进行攻击的事件层出不穷，且手段愈发多样化和高明，网络风险的泛在性使得安全成为普遍性的问题，白帽子因其道德和伦理偏向成为企业甚至政府机构获取漏洞、升级系统的重要途径，在维护信息系统方面的作用不可替代。

据国家互联网应急中心运行部副主任严寒冰也表示，2009年以后，多家漏洞报告平台的陆续成立，如补天平台、乌云网、漏洞盒子，白帽子发现并上报漏洞已经成为整个漏洞发现处置体系中的重要环节。

网络安全漏洞不仅仅关系到企业和个人的信息安全，甚至涉及国家安全。发达国家早已“把漏洞信息当做一种战略资源”，谢永江表示。

比如2013年，世界主要工业设备和武器制造国在常规武器及其民用技术协定《瓦森纳协定》中规定零日（0day）漏洞也属于危险武器出口条约的规范对象。不仅漏洞信息本身禁止用于犯罪或出口至“”，相应的用于入侵计算机系统的软件、硬件设备和组件也享受同等限制。

2015年5月20日，美国工业与安全局一份《瓦森纳协定》的落实草案，就规定禁止在不同的国家之间互通漏洞信息。据此，美国企业或个人向境外厂商报告漏洞情况是一种出口行为，需预先申请政府许可，否则将被视为非法。

“漏洞信息本身具有一定的应用价值，我认为可以在国家层面成立漏洞信息库，收购企业、包括白帽子在内的个人发现的漏洞。当前，在网络战争日益成为现实的情况下，未雨绸缪，做好技术储备工作。”谢永江建议。

漏洞信息的挖掘与保护也得到了我国政府的关注。“建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制把企业掌握的大量网络安全信息用起来”。国家主席在网络安全和信息化工作座谈会上表示。漏洞发现也被写入我国《国家信息化发展战略纲要》，作为提升全天候全方位感知网络安全态势能力的一部分。谢永江表示，目前中国网络空间安全协会也正在筹建中，将来也会成立分会对包括白帽子问题、安全漏洞的法律定位进行专门研究。