漏洞戰(zhàn)爭：“白帽子”法律之爭

徐小康+汪文濤

實踐中，白帽子作為技術人員，對法律知識知之甚少，當前較為迫切的問題是立法規(guī)范引導白帽子，為其創(chuàng)造合適的法律環(huán)境

點

擊漏洞提交平臺烏云網的主頁，出現的是一份“升級公告”，還有一句意味深長的“與其聽信謠言，不如相信烏云”。這是個曝光過國內知名技術社區(qū)CSDN的600余萬用戶資料泄露漏洞的網站，最近一條新聞則是注冊白帽子ID為ledoo的袁煒因自己發(fā)現的漏洞被立案的消息。

袁煒是互聯(lián)網漏洞報告平臺烏云網上的一名白帽子，2015年12月，袁煒檢測發(fā)現了婚戀交友網站“世紀佳緣”的系統(tǒng)漏洞，并在烏云網上提交了系統(tǒng)漏洞。世紀佳緣也聯(lián)系了他，并對他表示了感謝。

事件的轉折點發(fā)生在世紀佳緣以“網站數據被非法竊取”報警之后。警方經調查發(fā)現袁煒使用入侵軟件獲取世紀佳緣網站數據信息，并以涉嫌非法獲取計算機信息系統(tǒng)數據罪將其刑事拘留。世紀佳緣網站CEO吳琳光稱，事先并不知曉本次網站攻擊事件來自袁煒，案件發(fā)生后，因進入司法程序，世紀佳緣也只能等待司法機關調查。

“白帽子”袁煒被抓事件發(fā)生后，引發(fā)公眾尤其是程序員們的熱烈關注。如何定義白帽子，在進行網絡安全測試時要遵循哪些規(guī)范，漏洞平臺是否有權公布企業(yè)安全漏洞等問題也引發(fā)法學專家們的討論。

“目前白帽子的定義很少出現在各國的法律和標準中，一則因為白帽子是最近十幾年盛行起來的，二則因為白帽子還屬于尚未擁有法律地位的民間技術團體。實踐中普遍將白帽子與灰帽子、黑帽子聯(lián)系在一起，認為白帽子是黑客的一種。與之相近的概念稱為道德黑客，即模擬黑客攻擊，幫助客戶了解自己網絡的弱點，并為客戶提出改進建議的網絡安全專家。”公安部第三研究所、信息網絡安全公安部重點實驗室二級警督黃道麗副研究員告訴《方圓》記者。

“一般所理解的白帽子不以挖掘漏洞為生，其對各個網站進行安全測試的動機主要是維護網絡安全。但是如何在法律上界定白帽子，如何認定挖掘行為的法律性質，如何判斷發(fā)布漏洞細節(jié)的危險性，目前在法律上還處于模糊地帶。” 北京郵電大學互聯(lián)網治理與法律研究中心常務副主任謝永江說。

白帽子背后的法律風險

在袁煒案中，獲取網站信息成為其被捕的重要原因。世紀佳緣一方委托了一家司法鑒定所對其服務器日志進行鑒定，鑒定意見顯示，世紀佳緣網在2015年12月3日17時許至2015年12月4日10時許，被“124.160.67.131”等11個IP地址非法訪問，入侵者對網站數據庫進行了讀取操作，涉及讀取操作的數據庫數據信息為932條。

在袁煒案引發(fā)的討論中，很多程序員認為白帽子挖掘漏洞涉及讀取信息，善意獲取不違法。對此，黃道麗表示，“我國刑法規(guī)范的是所有未經授權訪問計算機信息系統(tǒng)的行為，這些并非直接針對漏洞挖掘行為的規(guī)定。任何主體若利用系統(tǒng)安全漏洞實施了入侵行為，均可能觸犯刑法規(guī)定，都要追責。未經授權侵入計算機信息系統(tǒng)也是各國刑事立法共同打擊的行為。”

在認定標準上，黃道麗解釋道，根據最高院司法解釋，獲取網絡金融服務的身份認證信息以外的其他身份認證信息五百組就構成刑法所規(guī)定的“情節(jié)嚴重”，入侵者面臨三年以下有期徒刑或者拘役，并處或者單處罰金。這一量化標準在制定過程中肯定經過了大量的實證檢驗和研討論證，規(guī)定本身沒有問題。有人爭議袁煒作為白帽子當中的“新人”多獲取了一些數據無可厚非不是法律上定罪應當考慮的因素。

實踐中，還存在白帽子使用和黑客相同的軟件進行漏洞測試的情況，比如袁煒就使用了一款名為SQLmap的安全測試軟件，這個軟件自帶緩存功能，會自動將測試信息存儲到本地的一個隱藏文件夾。

“如果白帽子在挖掘漏洞過程中使用的自動化工具導致獲取的數據量觸犯刑法，他們應考慮調整功能或使用其他規(guī)范化工具。”黃道麗告訴《方圓》記者，實踐中，白帽子作為技術人員，對法律知識知之甚少，當前較為迫切的問題是立法規(guī)范、引導白帽子，為其創(chuàng)造合適的法律環(huán)境。

“當前，并沒有法律對挖掘漏洞行為進行具體規(guī)范，刑法主要從行為的角度進行規(guī)制。在認定白帽子是否善意破解、測試漏洞時，強調結果。因為當事人當時的主觀意志無法客觀鑒定，既有可能是測試的疏忽，也可能是一念之差，故意留存了數據。”謝永江表示，在法律不明確的情況下，白帽子挖掘漏洞行為本身帶有風險，而現有的法律規(guī)范傾向于保護企業(yè)利益。如果袁煒的行為確實構成了法律規(guī)定的獲取信息的定罪標準，仍然需要承擔相應的法律責任。

目前我國對白帽子善意挖掘漏洞的法律規(guī)范并沒有形成系統(tǒng)的法律體系，比較零散地體現在一些法律法規(guī)以及部門規(guī)章里，例如《保守國家秘密法》、《治安管理處罰法》、《刑法》以及還在審議中的《網絡安全法》，這些法律并沒有明確規(guī)定出白帽子的行為邊界。黃道麗強調，法律規(guī)定不明確導致白帽子行為仍然存在不確定性。但在新法出臺前，現有的法律和司法解釋規(guī)定，應成為白帽子實施挖掘行為必須接受和前置考慮的一個客觀要求。

國外白帽子如何免責

實際上國內外都有大量的數據泄露的安全事件發(fā)生。只不過一方面知曉漏洞曝光或數據泄露需要用戶本身具有一定的技術能力，另一方面，是否采取法律行動則需要相應法律能力和成本。黃道麗表示，目前單純因為漏洞挖掘被立案的白帽子新聞并不多，但并不表示違反法律的挖掘行為沒有或較少發(fā)生。如何通過法律規(guī)范白帽子行為成為一項值得研究的重要課題。

從各國法律來看，挖掘安全漏洞的行為一般會根據主體與行為動機予以不同的規(guī)定。

比如美國早在1998《數字千年版權法》中就規(guī)定了安全測試（包括白帽子）的界限：安全漏洞信息的獲取和利用僅以保障被測試計算機系統(tǒng)的所有人或運營人的安全為目的。

對于白帽子等團隊或個人合法獲取的漏洞信息。美國《網絡安全法》還規(guī)定了未取得廠商授權時的披露規(guī)則。首先，披露者應采取適當措施，保護所掌握的漏洞信息；其次，披露時應當去除可以用于識別特定人的信息； 第三，不得使用漏洞信息獲得不公平的競爭優(yōu)勢。同時，白帽子可以以“善意辯護”豁免挖掘漏洞的法律責任。《網絡安全法》也規(guī)定，在不違反該法的前提下，基于善意信賴，可豁免于所有的民事和刑事法律。

在漏洞檢測和披露問題上，我國的《網絡安全法（草案二次審議稿）》則在學者呼吁下增加了第二十五條規(guī)定：“開展網絡安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規(guī)定。”黃道麗表示，審議稿為可能涉及民間自發(fā)的漏洞挖掘和公布內容的下位法的制定或出臺做了鋪墊。

單個漏洞最高獎勵3萬美元

“法律永遠滯后于技術發(fā)展。”作為中國網絡空間安全協(xié)會理事之一的謝永江表示，召集專業(yè)人士通過行業(yè)協(xié)會形成白帽子挖掘漏洞、提交漏洞的行業(yè)標準更為快捷。行業(yè)準則可以制定白帽子的注冊標準，規(guī)范使用工具，包括對挖掘行為的邊界形成行業(yè)共識，統(tǒng)一挖掘漏洞的授權規(guī)則。黃道麗也認為，需要法律規(guī)范的應完善并合理化，具體的技術規(guī)范則可以交給市場優(yōu)化解決。

對比烏云網的對公眾強制披露制度、只對廠商內部披露的補天模式以及國家信息安全漏洞共享平臺模式，謝永江認為，漏洞平臺對公眾強制披露漏洞存在著現實和法律風險。首先，公眾對漏洞細節(jié)不一定了解，遑論采取相對應的防范措施。其次，披露漏洞細節(jié)可能引來黑帽子的攻擊，加重漏洞的危害。不過，如果廠商在接到漏洞報告后不修復漏洞，導致用戶信息因該漏洞泄露。白帽子的漏洞報告就可以成為廠商不履行網絡安全管理義務，在用戶信息泄露事件上存在過失的證據。用戶因此產生的損失就可以索賠。

西安交通大學法學院與360公司曾就白帽子挖掘漏洞的獎勵模式進行了專題研究，并發(fā)布了《白帽子安全漏洞挖掘風險報告》。當前多種漏洞披露平臺具有一定的嘗試和探索意義。“從目前國內外漏洞平臺的發(fā)展階段看，似乎也不存在一種單一的模式。”參與撰寫該報告的黃道麗告訴《方圓》記者。

報告顯示，臉書（Facebook）僅在2015年就給210名白帽黑客發(fā)放了93.6萬美元的漏洞獎勵。漏洞賞金計劃、漏洞購買計劃（VPPs）以及漏洞獎勵計劃吸引更多白帽子加入安全防護研究，已經成為網絡安全領域司空見慣的事情。

在國外漏洞眾測平臺第一黑客（HackerOne）上，由眾測企業(yè)向黑客支付發(fā)現漏洞的獎勵，第一黑客則從企業(yè)獎勵中抽取20%的費用。第一黑客還向企業(yè)提供付費服務模式，如漏洞訂閱服務、漏洞披露指導、安全咨詢等。目前，第一黑客已幫助500多家企業(yè)找出2萬多個漏洞，向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵，單個漏洞獎勵最多達到3萬美元。

從國際實踐來看，相比目前我國企業(yè)較低的漏洞獎勵金額，黑市交易的高額回報顯然更具誘惑力，這也是黑市產業(yè)鏈形成和發(fā)展的關鍵因素。黃道麗表示，“白帽子是一群崇尚自由的群體，憑借自身對技術的追求或對網絡安全的維護之心等挖掘漏洞，期望從中實現不同的價值，所以白帽子不會因為商業(yè)化消失。因此，建立長效高額的安全漏洞獎勵機制是支持和鼓勵白帽子的最佳方式。”

漏洞信息或成戰(zhàn)略資源

《中國互聯(lián)網站發(fā)展狀況及其安全報告（2016）》顯示：截至2015年12月底，中國網站總量達到426.7萬余個；而由于各種各樣安全漏洞的存在，網站面臨著黑客以癱瘓目標業(yè)務系統(tǒng)、竊取用戶有價值信息等為主要目的的攻擊威脅，公共互聯(lián)網環(huán)境仍面臨較為嚴峻的安全態(tài)勢。

“信息技術的迅速發(fā)展促使了計算規(guī)模的膨脹，增加了個人、企業(yè)乃至社會和國家對網絡安全的需求。‘黑帽子、‘灰帽子等利用漏洞進行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明，網絡風險的泛在性使得安全成為普遍性的問題，白帽子因其道德和倫理偏向成為企業(yè)甚至政府機構獲取漏洞、升級系統(tǒng)的重要途徑，在維護信息系統(tǒng)方面的作用不可替代。

據國家互聯(lián)網應急中心運行部副主任嚴寒冰也表示，2009年以后，多家漏洞報告平臺的陸續(xù)成立，如補天平臺、烏云網、漏洞盒子，白帽子發(fā)現并上報漏洞已經成為整個漏洞發(fā)現處置體系中的重要環(huán)節(jié)。

網絡安全漏洞不僅僅關系到企業(yè)和個人的信息安全，甚至涉及國家安全。發(fā)達國家早已“把漏洞信息當做一種戰(zhàn)略資源”，謝永江表示。

比如2013年，世界主要工業(yè)設備和武器制造國在常規(guī)武器及其民用技術協(xié)定《瓦森納協(xié)定》中規(guī)定零日（0day）漏洞也屬于危險武器出口條約的規(guī)范對象。不僅漏洞信息本身禁止用于犯罪或出口至“專制政權”，相應的用于入侵計算機系統(tǒng)的軟件、硬件設備和組件也享受同等限制。

2015年5月20日，美國工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實草案，就規(guī)定禁止在不同的國家之間互通漏洞信息。據此，美國企業(yè)或個人向境外廠商報告漏洞情況是一種出口行為，需預先申請政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應用價值，我認為可以在國家層面成立漏洞信息庫，收購企業(yè)、包括白帽子在內的個人發(fā)現的漏洞。當前，在網絡戰(zhàn)爭日益成為現實的情況下，未雨綢繆，做好技術儲備工作。”謝永江建議。

漏洞信息的挖掘與保護也得到了我國政府的關注。“建立統(tǒng)一高效的網絡安全風險報告機制、情報共享機制、研判處置機制把企業(yè)掌握的大量網絡安全信息用起來”。國家主席習近平在網絡安全和信息化工作座談會上表示。漏洞發(fā)現也被寫入我國《國家信息化發(fā)展戰(zhàn)略綱要》，作為提升全天候全方位感知網絡安全態(tài)勢能力的一部分。謝永江表示，目前中國網絡空間安全協(xié)會也正在籌建中，將來也會成立分會對包括白帽子問題、安全漏洞的法律定位進行專門研究。