白帽子:如何正确游走法律的边缘
2021-02-13 00:15:24
白帽子应严格遵守法律法规,在合法合规的框架内开展漏洞发现与报告工作,避免触碰法律红线。 以下从法律规范、操作规范、平台规范三个层面展开说明:
一、法律规范:明确行为边界,规避刑事风险白帽子的行为可能涉及多项刑法罪名,需严格避免以下行为:
- 非法侵入计算机信息系统罪:未经授权侵入国家事务、国防建设、尖端科技领域,或金融、电信、交通、能源等关键信息基础设施的计算机系统,无论是否读取数据,均构成犯罪。
- 非法获取计算机信息系统数据罪:通过技术手段(如SQL注入)获取数据,即使未篡改或删除,只要数据量达到法定标准(如身份认证信息500组以上),即构成犯罪。
- 破坏计算机信息系统罪:对系统功能进行删除、修改、增加、干扰,导致系统无法正常运行,后果严重的将面临刑事处罚。
- 提供侵入工具罪:若平台或个人向白帽子提供黑客工具(如扫描器、漏洞利用程序),可能触犯此罪。
案例警示:白帽子袁炜因通过SQL注入读取世纪佳缘900余条数据,被以“非法获取计算机信息系统数据罪”审查起诉,凸显法律对数据获取行为的严格监管。
二、操作规范:合法授权与数据区分是关键获取合法授权
优先选择已公开授权的平台(如CNNVD、CNVD、乌云网等)提交漏洞,避免直接接触未授权系统。
针对政府、金融、能源等敏感领域,必须获得书面授权后方可测试,否则即使出于善意也可能构成犯罪。
区分数据类型
禁止触碰的数据:身份认证信息(如账号、密码、数字证书)、支付结算数据、国家秘密等。根据司法解释,获取500组以上身份认证信息即达刑事立案标准。
可接触的数据:系统配置信息、非敏感业务数据等,但需确保获取方式合法(如通过公开接口或授权测试环境)。
控制测试范围
避免使用高风险工具(如暴力破解、DDoS攻击)进行测试,优先采用自动化扫描或人工验证方式。
测试完成后立即停止访问,不得长期驻留系统或留存后门。
平台管理责任
平台需对注册白帽子进行实名认证,建立行为日志审计机制,确保可追溯性。
禁止平台提供黑客工具下载或培训,避免触犯“提供侵入工具罪”。
漏洞处理流程
平台应与厂商建立授权协议,明确漏洞提交、修复、奖励的合规流程。
对政府、金融等敏感漏洞,需第一时间上报国家互联网应急中心(CNCERT),避免信息泄露。
法律支持与培训
平台可为白帽子提供法律咨询,定期组织合规培训,明确行为红线。
建立争议解决机制,如厂商对漏洞报告提出异议时,平台可介入协调或提供法律援助。
- 建立白帽子认证制度:通过国家或行业机构颁发资质证书,区分合法白帽子与黑客,减少执法误伤。
- 明确漏洞报告豁免条款:在《网络安全法》配套法规中,对获得授权的白帽子测试行为给予刑事豁免,鼓励善意漏洞披露。
- 完善奖励机制:厂商应设立合理的漏洞奖励标准,避免白帽子因经济驱动铤而走险。
结语:白帽子是网络安全的重要防线,但其行为必须在法律框架内进行。通过合法授权、数据区分、平台规范和行业制度建设,可实现“游走法律边缘”到“合规守护安全”的转变,推动行业健康发展。
热门标签
