ISC网络安全法治论坛：白帽子漏洞挖掘应有豁免条件

8月16日，第四届中国互联网安全大会（ISC 2016）暨全球互联网安全精英峰会在北京国家会议中心召开，本届会议以“协同联动，共建安全+命运共同体”为主题，来自全球70多个国家的近百位专家就网络安全形势、网络空间战略、产业方向、行业趋势、技术未来、产业合作、投资创业、人才培养、安全攻防实战等九大方向进行了深入探讨。

当日下午，在网络安全与法治论坛上，公安部第三研究所网络安全法治研究中心主任、副研究员黄道丽发表了《白帽子漏洞挖掘法律风险研究报告》主题演讲。

传统印象中，在互联网安全领域，非法入侵和窃取数据的是幕后黑客，而站在黑客对立面、热爱并维护网络安全的技术高手通常被尊称为“白帽子”。然而，由于我国相关法律尚未形成成熟的体系，白帽子的漏洞挖掘行为很容易触碰法律边界，对企业发展和安全防护产生负面效应。

去年12月，一白帽黑客向国内某知名漏洞平台提交了其发现的婚恋交友网站系统漏洞，经该网站确认、修复了漏洞并按漏洞平台惯例向漏洞提交者致谢后，事情突然转折。该婚恋网站以“网站数据被非法窃取”为由报警，4月份，提交此漏洞的白帽黑客被捕。

论坛上，黄道丽主任提到，以白帽子为首的技术人员们从事的漏洞治理工作已经成为网络安全保障的基础性环节，《国家信息化发展战略纲要》也提到，需提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作。尽管如此，从事漏洞挖掘工作的白帽子们却常常处于灰色地带。

对此，黄道丽主任分析了白帽子挖掘漏洞的法律风险来源，包括法律遵从风险和内外部风险两大部分，存在关键（信息）基础设施基本范围不清、白帽子和众测平台法律地位不明确、众测平台及企业管理制度不完善、安全漏洞法律属性不清晰、白帽子行为边界模糊、白帽子法律意识淡薄等因素。

根据分析白帽子挖掘漏洞的风险来源，黄道丽主任对构建国家层面网络安全命运共同体的对策提出了几点建议：政府加强有效监管、企业增强社会责任感、众测平台规范管理流程、白帽子提高法律意识。同时黄道丽主任也为关键信息基础设置内涵和外延界定、相关主体概念和法律地位、白帽子的权利和义务规范、众测平台的协调监督义务、漏洞挖掘的豁免条件提出了实质建议。

据悉，在安全协同联动时代，网络安全与法治论坛旨在探讨通过怎样的法制创新，才能即保证政府、企业、和个人履行必要的责任和义务，又保护其能正当行使必要的权力；探讨法制创新在安全人才培养中的积极作用以及国内外在此方面的先进经验。