《网络安全法》背景下的白帽子漏洞挖掘法律规制.docx

??

?

??

《网络安全法》背景下的“白帽子”漏洞挖掘法律规制

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

一问题的提出

全球范围内因漏洞引发的网络安全事件成为“常态”，给网络空间安全带来了不可逆的危害。与此同时，漏洞具有的可交易“资源性”，独立于所依附的硬件、软件或固件的特性，使得政府、网络安全服务机构、网络产品服务厂商乃至黑市等不同主体都有获取漏洞的需求。各国政府间围绕漏洞囤积博弈升级，导致风险聚集并业已出现相关威胁或事件的真实案例[1]。无论是出于惩治恶意网络攻击的目的，还是将漏洞作为储备资源待后续利用，国际层面都开始将安全漏洞纳入网络武器范畴[2]，各国也都加强了对安全漏洞的重视，对漏洞的挖掘、披露、利用等环节加以规范。

安全漏洞治理是对漏洞挖掘、报告、披露、交易和利用等全生命周期进行治理的过程。漏洞风险来源于漏洞生命周期早期的挖掘、披露等环节的“失控”。不同主体对漏洞“资源性”的认识和需求存在差异，放大了失控状态。在获取挖掘的漏洞信息后，如何在披露中体现对网络安全、信息保障、情报执法、国防和关键基础设施保护等不同利益的关切，需要政策或立法构造安全漏洞信息披露、共享、利用等的职责和程序。2017年11月15日，特朗普政府发布了《美国政府漏洞衡平政策和程序》（VulnerabilitiesEquitiesPolicyandProcessfortheUnitedStatesGovernment）[3]。该文件详细说明了联邦政府将如何确定政府是否应向私营公司披露其产品或服务中存在的网络安全漏洞，或避免披露漏洞以便用于业务或情报收集目的的程序。此外，2018年1月9日美国众议院通过《网络漏洞披露报告法案》（CyberVulnerabilityDisclosureReportingAct），要求在该法案生效之日起240天内，国土安全部部长应向众议院国土安全委员会和参议院国土安全和政府事务委员会提交一份报告，内容包括描述为协调网络漏洞披露而制定的政策和程序。

在我国，漏洞治理成为国家网络安全保障的基础性环节。2016年某“白帽子”[4]披露世纪佳缘网站漏洞引发刑事立案，网易向未经授权擅自公开披露漏洞细节的某“白帽子”发布公开声明[5]等事件进一步凸显了安全漏洞法律规范的必要性。我国现有立法中已经开始重视漏洞治理，基本形成了《刑法》[6]禁止性规定与《网络安全法》（第22条[7]、第26条[8]和第51条[9]）规范性规定的双重约束框架，《保守国家秘密法》《治安管理处罚法》《关键信息基础设施安全保护条例（征求意见稿）》[10]中的零散条款均涉及漏洞相关行为规范，但尚未形成独立系统的法律体系，仍缺少对安全漏洞的挖掘、报告、披露、交易和利用等方面的直接规定，没有明确规定安全漏洞、“白帽子”等的定义，漏洞挖掘或披露行为的正面规范指引尚需要《网络安全法》下位配套制度或标准体系[11]的补充。

安全漏洞挖掘在漏洞生命周期中具有基础地位，在安全漏洞生成之后，安全漏洞挖掘便成为关键节点，对漏洞的交易、利用、修复、攻击等都在发现的基础上展开。[12]本文认为，在《网络安全法》规范性规定尚未配套和完善的情况下，现有漏洞挖掘“无差别”的法律适用抑制了网络安全研究和服务机构发展，“白帽子”身份认定、行为边界划定、第三方漏洞管理等方面存在的缺失或不足对该领域的发展造成不必要的阻碍。

二“白帽子”漏洞挖掘的相关实践：经验与不足

（一）企业金钱奖励计划

1995年10月，网景公司对发现并报告网景浏览器2.0测试版漏洞的行为给予现金奖励，开启了企业级漏洞悬赏计划的先河。然而，这一想法在随后的几年里并没有获得软件供应商的普遍采纳。直至2004年之后，由供应商首倡的bug赏金计划才开始日渐普遍。2004年Mozilla基金会对火狐浏览器中关键漏洞的报告者进行了现金奖励。目前Mozillabug赏金计划依然活跃，并已覆盖其旗下大部分产品。IDefense首倡应给予报告软件漏洞的发现者金钱奖励，2005年TippingPoint引入零日计划，是与IDefense的倡议计划相对应的竞争性计划。零日计划的主要目标包括：①利用他人的方法、专业知识以及时间拓展TippingPoint的安全研究组织（通过DV实验室的研究团队）；②以经济回报鼓励发现者将零日漏洞以负责任的方式报告给受影响的供应商；③在供应商开发补丁的空档，利用TippingPoint入侵防御系统保护用户。

近几年，国外大型跨国企业Google、Facebook、微软等软件厂商也推出了漏洞奖励计划，奖金根据漏洞严重程度和补丁复杂程度来做出判断。通过在BlackHat、Defcon、SyScan等安全峰会上举办安全攻防竞赛，国际软件厂商现场收购漏洞，并给