國外“白帽子”如何免責

實際上，國內外都有大量的數據泄露安全事件發生。只不過，一方面，知曉漏洞曝光或數據泄露需要用戶本身具有一定的技術能力，另一方面，是否采取法律行動需要相應法律能力和成本。黃道麗表示，目前“白帽子”單純因為漏洞挖掘被立案的新聞并不多，但并不表示違反法律的挖掘行為沒有或較少發生。如何通過法律規范“白帽子”行為，成為一項值得研究的重要課題。

從各國法律來看，對于挖掘安全漏洞的行為，一般會根據主體與行為動機規定不同的法律后果。比如美國，早在1998年《數字千年版權法》中就規定了安全測試(包括“白帽子”)的界限：安全漏洞信息的獲取和利用，僅以保障被測試計算機系統的所有人或運營人的安全為目的。

對于“白帽子”等團隊或個人合法獲取的漏洞信息，美國《網絡安全法》還規定了未取得廠商授權時的披露規則：首先，披露者應采取適當措施，保護所掌握的漏洞信息；其次，披露時應當去除可以用于識別特定人的信息；第三，不得使用漏洞信息獲得不公平的競爭優勢。同時，“白帽子”可以以“善意辯護”豁免挖掘漏洞的法律責任。

在漏洞檢測和披露問題上，11月7日剛剛公布的《中華人民共和國網絡安全法》規定：“開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規定。”黃道麗表示，網絡安全法的出臺，為可能涉及民間自發的漏洞挖掘和公布內容的下位法的制定做了鋪墊。