國外“白帽子”如何免責(zé)

實(shí)際上，國內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生,。只不過,，一方面，知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力,，另一方面，是否采取法律行動(dòng)需要相應(yīng)法律能力和成本。黃道麗表示,，目前“白帽子”單純因?yàn)槁┒赐诰虮涣傅男侣劜⒉欢啵⒉槐硎具`反法律的挖掘行為沒有或較少發(fā)生,。如何通過法律規(guī)范“白帽子”行為,，成為一項(xiàng)值得研究的重要課題。

從各國法律來看,，對于挖掘安全漏洞的行為,，一般會(huì)根據(jù)主體與行為動(dòng)機(jī)規(guī)定不同的法律后果。比如美國,，早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測試(包括“白帽子”)的界限：安全漏洞信息的獲取和利用,，僅以保障被測試計(jì)算機(jī)系統(tǒng)的所有人或運(yùn)營人的安全為目的。

對于“白帽子”等團(tuán)隊(duì)或個(gè)人合法獲取的漏洞信息，美國《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時(shí)的披露規(guī)則：首先,，披露者應(yīng)采取適當(dāng)措施,，保護(hù)所掌握的漏洞信息；其次,，披露時(shí)應(yīng)當(dāng)去除可以用于識別特定人的信息,；第三，不得使用漏洞信息獲得不公平的競爭優(yōu)勢,。同時(shí),，“白帽子”可以以“善意辯護(hù)”豁免挖掘漏洞的法律責(zé)任。

在漏洞檢測和披露問題上,，11月7日剛剛公布的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定：“開展網(wǎng)絡(luò)安全認(rèn)證,、檢測、風(fēng)險(xiǎn)評估等活動(dòng),，向社會(huì)發(fā)布系統(tǒng)漏洞,、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定?！秉S道麗表示,，網(wǎng)絡(luò)安全法的出臺(tái)，為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊,。