國外“白帽子”如何免責

實際上，國內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生。只不過，一方面，知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力，另一方面，是否采取法律行動需要相應(yīng)法律能力和成本。黃道麗表示，目前“白帽子”單純因為漏洞挖掘被立案的新聞并不多，但并不表示違反法律的挖掘行為沒有或較少發(fā)生。如何通過法律規(guī)范“白帽子”行為，成為一項值得研究的重要課題。

從各國法律來看，對于挖掘安全漏洞的行為，一般會根據(jù)主體與行為動機規(guī)定不同的法律后果。比如美國，早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測試(包括“白帽子”)的界限：安全漏洞信息的獲取和利用，僅以保障被測試計算機系統(tǒng)的所有人或運營人的安全為目的。

對于“白帽子”等團隊或個人合法獲取的漏洞信息，美國《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時的披露規(guī)則：首先，披露者應(yīng)采取適當措施，保護所掌握的漏洞信息；其次，披露時應(yīng)當去除可以用于識別特定人的信息；第三，不得使用漏洞信息獲得不公平的競爭優(yōu)勢。同時，“白帽子”可以以“善意辯護”豁免挖掘漏洞的法律責任。

在漏洞檢測和披露問題上，11月7日剛剛公布的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定：“開展網(wǎng)絡(luò)安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當遵守國家有關(guān)規(guī)定?！秉S道麗表示，網(wǎng)絡(luò)安全法的出臺，為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊。