“白帽子”安全漏洞挖掘 法律风险分析报告 黄道丽 公安部第三研究所网络安全法律研究中心主任/ 副研究员 西安交通大学信息安全法律研究中心 博士 漏洞治理成为网络安全保障的基础性环节  习总书记4.19讲话，全天候全方位感知网络安 全态势：建立统一高效的网络安全风险报告机 制、情报共享机制、研判处置机制，准确把握 网络安全风险发生的规律、动向、趋势；建立 政府和企业网络安全信息共享机制；  《国家信息化发展战略纲要》：提升全天候全 方位感知网络安全态势能力，做好等级保护、 风险评估、漏洞发现等基础性工作。 漏洞治理成为网络安全保障的基础性环节  我国亟需从管理、技术和法律层面综合提高应 对网络攻击的防御能力，最大限度减少安全漏 洞可能产生的危害，同时引导安全漏洞的合法 挖掘、报告、披露和利用，为发展国家安全反 制能力打下基础，从整体上提升国家的网络安 全保障能力。 目 录  安全事件回顾与基本概念解析  我国漏洞挖掘的法律遵从框架及风险分析  国外安全漏洞挖掘的最佳实践及立法  “白帽子”漏洞挖掘的积极效应和法律建议  构建国家层面网络安全命运共同体的对策建议 报告图表 表 1国内外漏洞概念梳理 表 2我国“白帽子”漏洞挖掘法律遵从框架 表 3企业/众测平台的漏洞奖励金额 表 4国外漏洞挖掘的法律框架 表 5“白帽子”漏洞挖掘的法规遵从对比表 图 1漏洞的三个主要特征 图 2缩减版的安全业态 图 3“白帽子”漏洞挖掘的法律风险来源 附件1国内外众测平台梳理表 附件2国内外国家漏洞平台梳理表 附件3专业术语中英文对照表 基本概念解析 安全漏洞的概念混用  漏洞（Vulnerability）又称脆弱性，是硬件、软件、协议 或使用策略上无意产生的缺陷，具备能被利用而导致安 全损害的特性  漏洞和安全漏洞混同使用  概念解析：安全漏洞、白帽子、众测平台、国家漏洞平 台、漏洞挖掘、漏洞奖励、关键基础设施、瓦森纳协定 “白帽子”漏洞挖掘的法律遵从框架 安全漏洞的概念混用  有关我国“白帽子”漏洞挖掘的法律遵从条款，零散的 体现在《保守国家秘密法》《治安管理处罚法》《刑法》 《国家安全法》《网络安全法（草案二次审议稿）》等 法律中，尚未形成系统的法律体系。 “白帽子”漏洞挖掘的法律遵从框架  我国法律目前缺少对安全漏洞的挖掘、报告、披露、交易和 利用等方面的直接规定，针对非授权访问行为规定了惩戒性 条款，不涉及安全漏洞、“白帽子”、众测平台等概念，亦 缺少漏洞挖掘行为的正面规范指引。  从现有《刑法》《治安管理处罚法》等法律条款剖析，“白 帽子”的漏洞挖掘行为很容易碰触法律边界，对企业发展和 安全防护产生负面效应。 “白帽子”漏洞挖掘的法律遵从框架  作为我国网络安全保障基本法的《网络安全法（草案二次审 议稿）》发布，涉及漏洞的规定变更为6条，考虑到“一些 地方、部门和企业提出，当前一些个人和机构随意发布系统 漏洞等网络安全信息，对维护网络安全影响较大，应予规 范。”  “开展网络安全认证、检测、风险评估等活动，向社会发布 系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信 息，应当遵守国家有关规定。” “白帽子”漏洞挖掘的法律风险来源 法律遵从风险 侵入行为 内外部风险 攻击行为 国外安全漏洞挖掘的最佳实践  漏洞研究最佳实践：漏洞奖励/悬赏计划、企业金钱 奖励计划、政府金钱奖励计划。  企业和“白帽子”之间所持的不同利益，以及漏洞自 身具有的攻击和资源兼备性日益复杂，都呼唤中立的 第三方协调漏洞挖掘和报告行为，以确保能力差异和 利益冲突不会妨害提升网络安全这一总目标的实现。  第三方众测平台盛行，以商业经营模式扮演着协调漏 洞发现和披露的角色，美国HACKERONE众测公司。 国外安全漏洞挖掘的最佳实践  惠普诉SNOSOFT 公司研究者案件  “黑掉五角大楼”项目启动  苹果赞越狱社区对IOS安全  苹果不打算起诉FBI 国外安全漏洞挖掘的立法  1998《数字千年版权法》（第1201条）  2001年美国《爱国者法案》  2002年美国《关键基础设施信息保护法》  2012年美国《网络安全法案》  2015年美国关于修改《计算机欺诈和滥用法》的提案  2015年美国《网络安全信息共享法案》  2015年美国《国家网络安全保护增强法》  2001欧盟《网络犯罪公约》  2011年欧盟《隐私及电子通讯指令》  《2013/40/EU号针对网络攻击的指令》 国外安全漏洞挖掘的立法特点和趋势 关键信息基础设施漏洞挖掘的绝对禁止 对漏洞挖掘的授权作扩大解释 特殊目的下漏洞挖掘的豁免 注重对“白帽子”身份的认可和招募 我国“白帽子”漏洞挖掘的法律建议 建议一 关键信息基础设施的内涵和外延界定 我国“白帽子”漏洞挖掘的法律建议 建议二 相关主体概念和法律地位确定 1)众测平台属于网络信息安全测试、评估行业的服务（电商）平台 2）“白帽子”属于网络安全服务行业不特定服务的独立提供者 3）企业属于接受安全服务，并适度减轻缺陷责任的受测对象 我国“白帽子”漏洞挖掘的法律建议 建议三“白帽子”的权利和义务规范 1)以“白帽子”注册为一般、匿名为例外的备案制度是行为规 范的基本前提 2）以众测平台的运营模式为基础，规范“白帽子”行为 3）通过行业规范强化“白帽子”的道德感和职业操守，明确 其行为的法律边界 4）“白帽子”定期法律知识培训 我国“白帽子”漏洞挖掘的法律建议 建议四 众测平台的协调监督义务 1)基于身份核验的资质审查义务，以避免“白帽子”损害企 业利益 2)基于合理审慎义务，以避免企业损害“白帽子”的合法权 益 “白帽子”漏洞挖掘的法律建议 建议五 漏洞挖掘的豁免条件 1)区分受测对象的豁免与否 2)区分挖掘类型的豁免与否 “白帽子”漏洞挖掘的法规遵从对比