“白帽”黑客的法律边界亟待明确

    “白帽”黑客和安全漏洞，这两个原来有些陌生而神秘的名词，正在被越来越多的人了解。“白帽”黑客这个群体，及其挖掘、披露漏洞的行为也正在被人们重新认识。

    自从7月20日，国内最大的漏洞报告平台乌云网突然“停摆”以来，无法恢复平静的不仅是漏洞报告平台，还有许多“白帽”黑客。更早之前的“袁炜事件”给很多“白帽”黑客带来了更为直接的影响。这些“圈内事”让不少“白帽”黑客担心，“袁炜事件”会不会在自己身上重演。

    与此同时，在更广大的网络安全和互联网法律领域，对“白帽”黑客挖掘、披露网络漏洞的行为也有了更多讨论：以渗透、测试网站的方式来挖掘漏洞并披露究竟是否合适？“白帽”黑客与网络漏洞的法律边界在哪里？未来对“白帽”黑客和网络漏洞的治理应该按照怎样的原则开展？在8月16~17日举行的第四届中国互联网安全大会（ISC）上，这些问题再度成为热门话题。

    网络漏洞和“白帽”黑客的两面性

    “‘白帽子’发现漏洞并不是为了牟利，但这存在一个悖论，尽管他发现漏洞的初心是好的，但方法却是灰色的，有的企业可能接受不了。”8月16日上午，在ISC的开幕演讲中，360公司董事长周鸿的这番话或许能概括目前网络漏洞和“白帽”黑客所面临的灰色处境。

    在“白帽”黑客群体中，模拟攻击是尝试发现漏洞经常采用的手段，而这种模拟攻击大多都发生在企业并不知情的情况下。由于方法隐蔽且难以定性，过程难以监管、透明，“白帽”黑客和他们挖掘、披露网络漏洞的行为一直备受争议。

    此外，由于“白帽”黑客与“黑帽”黑客从技术上可以互相转化，因此在“袁炜事件”和乌云网“停摆”之后，很多人对“白帽”黑客和网络漏洞也产生了更多的担心。周鸿说：“最极端的情况是，如果‘白帽’黑客一直以不合法的身份做事情，那有可能他们会反而转向黑色产业链。”

    但在种种担心和疑虑之外，业内对“白帽”黑客和网络漏洞的另一面更加看重。

    在ISC网络安全与法治论坛上，公安部第三研究所网络安全法律研究中心主任黄道丽提出，网络安全漏洞具有很强的资源属性，已经成为网络空间的秘密武器。漏洞治理已经成为网络安全保障的基础性环节。

    在北京邮电大学互联网治理与法律研究中心常务副主任谢永江看来，网络安全漏洞本质上是一种缺陷信息，也是威胁人身财产的危险，是当前科技水平无法消灭的。因此漏洞具有两面性：一方面，漏洞被利用会给黑客提供攻击的机会，会给网络所有人以及用户造成很大损失；另一方面，发现漏洞、弥补漏洞的过程也提高了我们的网络安全，维护用户的利益。

    西安交通大学信息安全法律研究中心主任马民虎也表示,漏洞已经成为各国争先抢夺的战略资源的博弈资本，安全漏洞攻击构成全球最严重的网络安全威胁，“白帽”黑客是网络安全领域不可或缺的补充力量。

    一个实际的案例是，今年4月18日到5月12日，美国国防部举行了名为“来黑五角大楼”的网络安全漏洞竞赛。“白帽”黑客受邀，抢在真正黑客发动恶意攻击之前，在五角大楼5个对外开放网站中发现并堵住网络漏洞。比赛吸引了超过1400人参加，竞赛结束后，参赛者共报告1189项薄弱点,其中138项被认定为“独特、有效”。

    漏洞的法律“漏洞”

    既是网络安全的威胁，又是网络安全保护的重要力量，“白帽”黑客的双重属性让企业和网络安全管理部门对他们的感情十分复杂。在业内专家们看来，在“白帽”黑客群体及挖掘、披露漏洞领域内，现有的法律规定落后于实际情况，仍有许多法律“漏洞”需要弥补。

    在具体实践中，“白帽”黑客发现漏洞后大多会向乌云等漏洞平台披露。谢永江提醒，这种漏洞披露的方式目前还没有法律依据，如果漏洞的披露没有得到企业授权的话，也会带来法律风险。

    黄道丽表示，我国还没有建立与“白帽子”相关的系统法律制度，相应的规范只是零散地体现在一些法律法规以及部门规章里。从现有政策来看，“白帽子”挖掘、披露漏洞的行为很容易触犯法律，并且对企业发展和安全防护产生负面效应。

    在她看来，漏洞的挖掘和披露主要面临着三个方面的法律风险：安全漏洞的法律属性不明晰，“白帽”黑客的行为边界不明确，“白帽”黑客的法律意识淡薄。而在法律遵从方面，关键的信息基础设施范围不明确，漏洞平台以及企业的管理制度不完善等问题，也给安全漏洞的治理带来了极大的挑战。

    在上述论坛上，西安交通大学信息安全法律研究中心和360法律研究院联合发布了《“白帽子”安全漏洞挖掘法律风险分析报告》（简称《报告》）。该《报告》参考了国外漏洞挖掘、披露的实践后认为，一些国家在立法上，对关键基础设施的漏洞挖掘绝对禁止，并对合法漏洞挖掘的授权作出了扩大解释，对出于特殊目的（比如安全）的漏洞挖掘给与一定程度的豁免，并注重对“白帽”黑客身份的认可和招募。

    反观国内，由于漏洞报告、披露机制的流程和制度不规范，乌云、漏洞盒子、补天等漏洞众测平台还不能够为企业和“白帽子”之间创造有效的信任环境。由于“白帽”黑客身份隐蔽、漏洞挖掘方式不透明、担心数据信息泄露等原因，大多数企业对“白帽”黑客挖掘、披露自身网络安全漏洞的行为并不欢迎。

    对此，《报告》建议规范“白帽”黑客的权利和义务，提出设立“白帽”黑客的注册备案制度，以注册平台的运营模式为基础规范白帽子的行为，通过行业规范强化白帽子的职业道德和职业操守，明确法律行为的边界，并对白帽子展开相关的法律知识的培训

    《报告》指出，对于“白帽”黑客和网络安全漏洞，政府应该实现由行政监管为主向法治监管为主的转型，强化以法制为基础的市场监管，建立评估监测机制，监督众测平台对漏洞的商业管理模式，定期进行透明度审查，并向社会不特定人群发布报告。

    “政策和立法的思路应该是疏导和阻断并行的。”黄道丽认为，法律应该给与“白帽”黑客和漏洞平台合法地位，通过适当的衡量标准将其纳入网络安全产业中。同时，“白帽”黑客挖掘、披露漏洞的行为也要遵循现有的法律框架，“规范是必不可少的”。

    “让大家知道自己的边界”

    虽然有关安全漏洞的法律法规仍不完善，但安全漏洞市场已经起步，并且赢得了一些大型互联网公司的垂青。

    据媒体报道，美国Uber公司在今年5月推出一个“捉虫奖励”（bug bounty）计划，让世界各地“白帽”黑客查找Uber系统中的漏洞，然后报告给该公司，小型漏洞赏金在数千美元，重大的安全漏洞可以赚取高达1万美元的奖金，发现4个以上漏洞的黑客将额外获得10%的奖金。

    事实上，“捉虫奖励”计划（bug bounty）并不是一件新鲜事，不少硅谷的科技公司，如谷歌、Facebook等，对于“白帽”黑客帮忙找到漏洞都会给与一定的奖励。

    虽然漏洞市场已经有了一定的发展空间，但在更为广大的社会范围内，漏洞平台仍面临着争议及不信任。

    对此，360公司董事长周鸿认为，“白帽”黑客在中国仍属于新生事物，或许需要一定的规范和引导，应该以一种善意的目光去看待他们。未来企业应该自己有意识地去聘请安全顾问，“白帽”黑客以后可以和企业签订安全服务协议，得到企业的授权和许可后再挖掘漏洞，而这种发现漏洞并提供解决方案的方式是可以收费的。

    谢永江则呼吁，不能以禁止挖掘漏洞的方式来维护网络安全，否则漏洞将无法弥补。他还提到，漏洞市场客观存在，应该得到培育，可以通过将安全漏洞提交给企业授权的漏洞平台，或者是国家漏洞信息库一类政府机构的办法，把“白帽”和企业连接起来。

    但他也提醒，网络安全漏洞的披露、交易应当受到严格的限制，尤其是涉及社会公共利益的更加不能随意交易。“这需要国家尽快出台网络漏洞挖掘、披露、利用、交易规则，让大家知道自己的边界”。