國(guó)外“白帽子”如何免責(zé)

實(shí)際上，國(guó)內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生。只不過(guò)，一方面，知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力，另一方面，是否采取法律行動(dòng)需要相應(yīng)法律能力和成本。黃道麗表示，目前“白帽子”單純因?yàn)槁┒赐诰虮涣傅男侣劜⒉欢?，但并不表示違反法律的挖掘行為沒(méi)有或較少發(fā)生。如何通過(guò)法律規(guī)范“白帽子”行為，成為一項(xiàng)值得研究的重要課題。

從各國(guó)法律來(lái)看，對(duì)于挖掘安全漏洞的行為，一般會(huì)根據(jù)主體與行為動(dòng)機(jī)規(guī)定不同的法律后果。比如美國(guó)，早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測(cè)試(包括“白帽子”)的界限：安全漏洞信息的獲取和利用，僅以保障被測(cè)試計(jì)算機(jī)系統(tǒng)的所有人或運(yùn)營(yíng)人的安全為目的。

對(duì)于“白帽子”等團(tuán)隊(duì)或個(gè)人合法獲取的漏洞信息，美國(guó)《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時(shí)的披露規(guī)則：首先，披露者應(yīng)采取適當(dāng)措施，保護(hù)所掌握的漏洞信息；其次，披露時(shí)應(yīng)當(dāng)去除可以用于識(shí)別特定人的信息；第三，不得使用漏洞信息獲得不公平的競(jìng)爭(zhēng)優(yōu)勢(shì)。同時(shí)，“白帽子”可以以“善意辯護(hù)”豁免挖掘漏洞的法律責(zé)任。

在漏洞檢測(cè)和披露問(wèn)題上，11月7日剛剛公布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定：“開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定?！秉S道麗表示，網(wǎng)絡(luò)安全法的出臺(tái)，為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊。