内容安全复习 6 - 白帽子安全漏洞挖掘披露的法律风险

安全漏洞的法律概念界定

• 可以被利用来破坏所在系统的网络或信息安全的缺陷或错误；被利用的网络缺陷、错误
• 任何可能有助于对安全控制造成破坏的硬件、软件、流程或者程序；用来破坏的软硬件程序
• 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。系统产生的缺陷

安全漏洞特征

• 可以利用的资源特征；
• 难以避免的缺陷属性；
• 普遍存在的属性；
• 长久存在的属性。

白帽子

• 降低经济损失；
• 促进产业创新和技术发展；
• 维护网络安全。

安全漏洞挖掘面临的法律风险

• 漏洞发现可能产生“侵入”的法律刑事责任；
• “白帽子”的法律地位不明确；
• 缺少对授权行为边界及构成要件的详细指引；
• 众测平台的合规性有待强化。

“白帽子”安全漏洞挖掘的风险根源

• 行为边界不明确；
• 法律地位缺失；
• 平台合规性有待强化。

“白帽子”的主体边界

• 建立“白帽子”官方加密保护的实名身份认证注册制度，准予注册后为其颁发唯一识别的代号，“白帽子”凭识别代号进行众测活动。注册
• 通过行业规范强化“白帽子”的道德感和职业操守，明确其行为的法律边界；职业道德、法律边界
• 规范众测平台在企业和“白帽子”间的枢纽和链接功能。规范职能

授权行为边界

• 众测平台模式下，拥有平台注册用户资格的“白帽子”身份并不视为取得当然授权；
• 平台规则并不等同于授权，应基于众测平台与企业之间签署任何委托或合同所明示的内容为授权限定范围；实际授权范围取决于合同内容，而不仅仅是大的规则。
• 漏洞挖掘并不等同于漏洞披露的授权，禁止未经众测平台同意和企业明确确认的安全漏洞披露；未经同意不能披露漏洞。
• 漏洞挖掘并不等同于漏洞修复的授权，禁止发布未经众测平台验证的漏洞修复工具/补丁；未经同意不能发布漏洞补丁。
• 授权具有时限性，禁止在现有法律和保密协议规定范围之外实施漏洞测试、评估等。

关键结论

• 只有主观上维护网络安全，且具有实名认证基础的漏洞发现者才可能成为合法主体。
• 取得合法授权是安全漏洞发现行为的合法前提，但准予漏洞发现的授权不应泛化，同样应当基于必要的限制。