[摘  要]在我国，安全漏洞发现行为本身存在可能产生“侵入”的刑事法律责任、“白帽子”的法律地位不明确、缺少对授权边界及构成要件的详细指引、众测平台的合规性有待强化等法律风险。应围绕安全漏洞的法律属性，界定安全漏洞合法性发现的边界，明确漏洞挖掘的授权、限制与例外情形。

[关键词]网络安全；安全漏洞；法律风险；授权；合法性边界；“白帽子”

当前全球安全漏洞数量快速增长，危险级别不断提升。利用安全漏洞绕过安全保护措施已经成为全球实施网络攻击、网络间谍或网络破坏活动的主流方法，安全漏洞发现成为各国网络安全保障领域重点关注的环节。除了企业对自身产品或服务安全漏洞的检测和修复，国内外众多主体基于不同的动机和利益驱动已开始了广泛的安全漏洞发现实践并引起了各方对其不利法律后果的关注和反思。例如，2016年发生的安全研究人员Chris Roberts因发现航空公司飞机安全系统漏洞被美国联邦调查局（FBI）调查、我国某“白帽子”因提交某公司网站漏洞被批捕和国内多个“众测平台”进入“升级”歇业状态等事件都显示出安全漏洞发现对法律规定和实践发展造成的冲击，引发立法层面和学术界对安全漏洞法律属性、众测平台商业模式规范性、“白帽子”行为边界跨越性等问题的争议。

目前学术界通常认为安全漏洞发现行为在法律后果上具有不确定性。其突出表现在于，发现漏洞的主体在决定发布时常面临法律风险，这些风险不仅涉及民事和刑事法律，还包括合同法、行政许可法、专利法以及其他相关立法。发现者会因发现漏洞的发现方式以及披露方式而处于法律的灰色地带。对于非恶意的漏洞挖掘和公布行为，如白帽黑客挖掘漏洞并告知厂商换取报酬或者通过乌云等网络安全漏洞发布平台予以公开的行为，我国现行法律法规尚无针对性的界定。《网络安全法》对行为人擅自发布系统漏洞等内容进行了规定，为安全漏洞发现规制提供了上位法支撑，但目前其实施所依据的“国家有关规定”亟需进一步规范和完善。

安全漏洞发现的合法性边界界定，需要在厘清基本概念基础上界定安全漏洞的法律属性，考察安全漏洞发现的行为模式及其实践，分析行为的法律风险，并围绕法律属性进行针对性设计，构建其行为要素框架。

美国法理学家埃德加·博登海默曾说过，概念是解决法律问题必不可少的工具，没有限定严格的专门概念，我们便不能清楚和理性地思考法律问题。法学和法律实践中的诸多混乱是由于不正确地使用概念引起的。如果精确地解释和确定法律概念的意义，就能够精确地描述法律现象，正确地进行法律推理。在研究问题和解决对策之前，研究信息安全理解上的原初漏洞相关概念与成果，观测其向网络安全演进中的过程变化，具有初始意义。

安全漏洞的相关概念

在传统信息安全术语和风险管理（控制）理论中，已经赋予了安全漏洞（Vulnerability）清晰明确的技术定义，在此基础上发展出了包括NIST 800指南系列、ISO/IEC 27000标准系列等在内的若干具有可操作性的信息安全风险管理机制和措施，并被安全行业作为最佳实践。这些对漏洞的定义均基于安全性而非功能性，虽然描述各有侧重，但在对漏洞的缺陷本质和风险损害特性的认定上基本一致，都认可漏洞是硬件、软件、协议或使用策略上“非故意”产生的缺陷，具备能被利用而导致安全损害的特性。这些缺陷以不同形式存在于信息系统的各个层级和环节之中，一旦被主体恶意利用，就会对信息系统的安全造成损害，从而影响信息系统的正常运行。安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的安全风险，各界基本将漏洞和安全漏洞的概念混用不加区分，漏洞称之为（内在的）脆弱性，与之相对的是外部安全威胁，两者结合共同构成信息安全风险。

实践中经常将漏洞与“后门”混淆，有必要区分清楚。“后门”也叫做陷阱门，是访问程序、在线服务的一种秘密方式。通过安装后门，攻击者可保持一条秘密的通道，不必每次都要登录到目标主机重新实施攻击才能完成。“后门”对系统安全的威胁是潜在的、不确定的。漏洞与“后门”有联系也有区别，安全漏洞是因技术局限引发的难以避免的事实，后门是行为人安装或留有的技术通道。两者的联系在于：其存在都可能引发未经授权访问、更改、删除、披露或使用的风险，后门有可能是利用漏洞安装的。其根本区别在于：漏洞是非故意行为，而后门是人为的故意行为，两者在结果产生的行为动机上有着本质的不同。我国2007年颁布的《信息安全等级保护管理办法》(公通字[2007]43号)规定“第三级以上信息系统应当选择使用‘产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能’的信息安全产品”，这一规定存在和实践类似的混淆错误，将漏洞与后门都等同于故意行为，体现了法律层面对技术事实的认知需要逐步深入。

现有国内外立法尚未对安全漏洞有明确的法律界定，但2015年美国《网络安全信息共享法案》第一次从立法层面明确“网络安全目的”是保护信息系统或者系统中存储、处理或传输的信息免受安全漏洞的影响，从后果角度进行了关联。

本文认为，技术或管理术语中的漏洞概念，已经揭示了漏洞的某些本质特征。法律对安全漏洞的定义应当体现其能够有效区别于其他概念和状态的特殊性，单一规则无法实现漏洞范围的全覆盖，可以结合漏洞相关行为、后果及因果关系等要素进行定义。本文尝试将安全漏洞的法律概念定义为：（1）系统中存在的缺陷或弱点；（2）存在能够获取缺陷或弱点的潜在威胁（如黑客）；（3）利用缺陷或弱点可能导致信息网络安全危害/损害的法律结果。

一般来说，漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。挖掘属于发现阶段，技术上是指“对源代码、二进制代码、中间语言代码中的漏洞，特别是未知漏洞进行主动发现的过程”。从语境上分析，挖掘强调主动实施行为，其目的在于发现；发现更多强调的是结果，即找到或者没有找到；挖掘是发现的技术过程和方式之一。基于实践和技术中对“发现”、“挖掘”（或称“发掘”）往往混用，因此本文这里不做明确区分。

安全漏洞的法律属性

作为发现这一行为的直接作用对象，安全漏洞的法律属性决定了发现行为的法律后果，直接影响到以此为基础的相关法律关系解决。学术界对安全漏洞法律属性的界定尚未形成一致的观点。

1.安全漏洞的“缺陷”属性

安全漏洞是信息技术的天然存在，在特定时间和技术条件下不能完全予以排除。因此可以说，缺陷是安全漏洞的技术本质属性。有学者基于市场法的产品缺陷理论，建议通过普通法侵权行为或颁布基于过失或产品责任观念的法律规范解决因漏洞缺陷造成的损害。如软件安全经济学者认为，软件缺陷属于市场失灵，建议通过产品风险规范模型和法律规制创设，以达到避免“柠檬市场”和最佳实践规范的立法目标。也有学者对市场失灵的观点持反对态度，认为这在很大程度上掩盖了软件技术的动态属性、底层设计或编程缺陷以及其他非市场失灵的外部性影响，市场失灵成为市场解决方案的万能药，但是掩盖了软件漏洞的必然性。国内有学者主张建立以产品责任制度为核心的软件漏洞风险分担机制，如果软件存在缺陷，即存在危及人身、他人财产安全的不合理的危险，并由此造成损失的，由软件公司对此承担责任。

本文认为，缺陷无疑是研究安全漏洞法律属性的最初起点，但由于网络空间的虚拟性、交互性、广域性、即时性等特征，传统单一漏洞所附属的产品具有了面向不特定多数用户的特征，这直接导致经典的产品质量缺陷监管体系在适用于安全漏洞时面临困境。具体表现为：（1）产品和服务的复制成本降低，发布和取得渠道多样化，产品和服务普遍易得，产生漏洞（信息）的不对称性使得挖掘安全漏洞成为普遍可能。（2）以产品和服务提供者作为安全漏洞唯一或主要的挖掘、披露和修复主体，变得不再具有成本效益优势，甚至不堪重负。（3）产品和服务提供者以产品或服务的知识产权主张对漏洞的权利归属或以商业秘密为依据的限制披露，与安全漏洞在网络空间中不特定放大的损害/危害后果相悖，即产品和服务提供者一方面主张权利，另一方面不完全承担责任的矛盾无法得到理论和实务的支持。从实践来看，受限于自身拥有的技术和人力资源，产品和服务提供者适度放开挖掘和披露日益成为行业的最佳实践，如苹果、谷歌、惠普等公司均开始公开施行漏洞悬赏计划。（4）产品缺陷理论和制度设计的主要目的在于，产品存在缺陷导致损害时用户如何通过缺陷法律寻求救济，属于私法的范畴。但《网络安全法》解决的是“潜在”或“批量”脆弱性的安全保障问题，更倾向于公法的性质。

正如西蒙•惠特克在《欧洲产品责任与智力产品》一书中所说，尚无一项规则可以适用于有缺陷的智力产品的观念所涵盖的内容。对于新的信息技术产品，应当根据其设计或制造的不同方式有所区别。本文认为，安全漏洞不同于一般的产品缺陷，现有的产品质量法无法涵盖其风险预判和后果救济。对基于安全漏洞缺陷特征利用而可能导致的攻击损害，用户根据产品销售或服务合同无法得到有效救济，产品和服务提供者、网络运营者等利益相关者只能采取检测、披露、告知、补丁发布等有限补救措施，利益相关者无法承担安全漏洞导致的所有风险。因此，“缺陷”虽是安全漏洞的技术本质，但其无法适用产品缺陷的传统规制方式。

2.安全漏洞的“资源”属性

本文认为，可以考虑漏洞挖掘行为的动机、目的，从资源的角度来探讨安全漏洞的法律属性问题。资源角度的思考也使得对漏洞的研究契合了问题导向的需求，即：为何产生如此众多的挖掘行为以发现漏洞？

首先，安全漏洞具有相对独立于载体（具有知识产权的产品或服务）的特殊物的使用价值和交换价值。安全漏洞无论是作为硬件、软件或是协议、使用策略上产生的缺陷，其本身并不当然产生知识产权，只有对其修复或利用时才有可能形成新的智力成果，如补丁软件和入侵软件。在此意义上，安全漏洞发现行为成为形成新价值（包括无形价值）的基础活动。此外，安全漏洞本身也具有经济价值，如漏洞发现者通过与厂商的交易获取奖励或报酬，通过黑市交易实施入侵获取非法利益等。

其次，安全漏洞符合资源的以下特性：（1）稀缺性，安全漏洞具有特定时限挖掘数量有限性的特性。（2）价值性，安全漏洞能够通过货币化衡量和交易，这一点在安全漏洞黑市交易的存在和繁荣中得到验证，其价值受到法律政策的影响；如政府部门作为漏洞采购方，将活跃安全漏洞挖掘，并推高安全漏洞市场价格；如果漏洞市场交易规范化，则会“挤压”漏洞黑市交易。(3)系统性，安全漏洞存在并伴随技术和网络空间进化而长期存在。

再次，从实践考察，安全漏洞确已成为各国争先抢夺的战略资源和博弈资本，具体表现为以下四个方面：（1）各国均建立了大量的国家级漏洞平台，中国比较有代表性的有中国国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）、国家计算机网络入侵防范中心漏洞库（NCNIPC）等，国际上有美国国家漏洞数据库（NVD）、美国应急响应小组（US-CERT）、日本国家计算机应急响应协调中心（JPCERT/CC）、日本漏洞库（JVN）、韩国信息安全机构（KISA）等。（2）近年来，美国认识到“安全漏洞的存在和利用是实现密码恢复政策需要的重要手段，考虑到科技公司业界与政府政策层面的长期对抗，必须通过提升执法机构研究和破解能力等方式保持安全漏洞的挖掘和利用能力，以丰富协助执法和国家安全的实现机制”，开始从国家安全和协助执法角度衡量漏洞利用的战略意义。（3）美国五角大楼和欧盟两年一度的网络压力测试，均表明漏洞测试超越了单纯的企业对其软硬件安全性能的探索性工具价值，上升为国家之间网络主权和利益博弈的重要途径。（4）国际层面开始将安全漏洞纳入网络武器范畴。2013年《瓦森纳协定》正式将入侵软件纳入网络战争工具清单，监管国家之间的漏洞信息互通和跨国厂商之间的漏洞协作，安全漏洞正式成为“数字武器”。

综上可以看出，安全漏洞是网络空间系统构建的一个必然结果，随着产品和服务的不断延伸，安全漏洞从早期需要修复的对象，逐渐演变为在网络空间中特定时限内稀缺，长期存在又可以预期被发现，可以依附于不同载体的有价值的特殊客体，呈现出非传统缺陷和资源的双重特性。

安全漏洞发现是对潜在漏洞进行识别或挖掘的行为。发现在漏洞生命周期中具有基础地位，在安全漏洞生成之后，安全漏洞发现便成为首当其冲的关键节点，对漏洞的交易、利用、修复、攻击等都在发现的基础上展开。安全漏洞处理流程开始于漏洞发现者，国家标准《信息安全技术信息安全漏洞管理规范》（GB/T 30276-2013）将“漏洞发现者”定义为“发现信息系统中潜在漏洞的个人或组织”。任何使用信息系统及软件的个人或组织都可能成为漏洞的发现者。

从我国安全行业安全漏洞发现的实践来看，安全漏洞发现行为的模式直接对应于漏洞发现者基于不同动机实施的发现行为。发现主体、发现方式和发现后的后续处理行为等形成了不同的模式。

只要不存在完美的安全软件，漏洞信息的优化配置对于网络社会的稳定性仍是重要要素。产品和服务提供者内部的研究工作人员专门负责检测其开发的产品中的安全漏洞，发现后会提供修复程序，通过自动更新或者发布公告的形式让用户安装最新版本，消除安全风险；用户在产品使用过程中也可能发现产品安全漏洞，并反馈给产品和服务提供者做处理。这是早期较为普遍至今仍在持续的两种安全漏洞发现模式。近年来，漏洞挖掘的主体和目的日益多样化。挖掘主体已经扩大到安全公司、政府、黑客、恐怖组织、“白帽子”等，目的包括安全研究、安全服务、售卖、攻击等，不同主体具有不同的目的。挖掘安全漏洞的行为也因主体与行为动机的不同而具有了不一样的性质与地位。黑客们关注和挖掘安全漏洞，是为了利用安全漏洞实施攻击；而维护网络安全的专家们关注和挖掘安全漏洞，是为了在黑客发现安全漏洞之前修复漏洞，使计算机软、硬件能够在安全的环境下使用，避免发生网络安全事件。在国内，从实践来看，挖掘安全漏洞并加以恶意公布和售卖，已经成为病毒“产业链”中重要的一环。 

作为漏洞发现者的一种，“白帽子”最近十几年开始盛行，他们进入受保护的计算机系统和网络，测试和评估他们的安全。“白帽子”利用他们的技能来提高网络的安全性，在被恶意黑客（被称为黑帽黑客）检测和利用之前披露漏洞。“白帽子”一般在众测平台实施安全漏洞挖掘活动。众测平台，国外学者将其称为“漏洞经纪人”（Vulnerability brokers）或“漏洞共享圈”（Vulnerability sharing circles）。这些平台作为独立组织，主要是个人或私营实体创建，对提供新漏洞的报告者提供奖金，只有诚信的通过审核的人才能注册加入平台成为漏洞发现者。这里所说的漏洞发现者就是“白帽子”，而赏金则是由注册企业承担。在国内，较为知名的众测平台有乌云网、补天漏洞响应平台、漏洞盒子等。众测平台以商业模式或者近似于公益模式运转，主要管理义务包括审核、保密和通知、发放赏金、发布漏洞等。审核是指审核注册的企业和“白帽子”的信誉、提交漏洞的等级和价值等；保密则是要遵守行业自律，保守漏洞的相关信息和“白帽子”的身份，通知厂商漏洞的存在；按照漏洞可能对企业造成的危害后果收取赏金并按一定规则发给“白帽子”；发布漏洞则是实施透明度要求的一项重要内容，按照漏洞的危害性、漏洞的性质等决定漏洞发布的顺序和信息量。此外，为了保持透明度，众测平台一般会定期公布发现的漏洞数量、响应的奖励额等事项。总体来说，国内众测平台属于民间自发组织，仅依靠平台自己制定的规范或者非强制性的行业自律规则来约束各方行为主体。近年来，借助众测平台和“白帽子”的力量及时修补漏洞或直接的漏洞奖励计划成为企业，尤其是大型跨国企业降低安全事件和持续运营的最佳实践。如谷歌、惠普、微软、苹果等跨国企业发起了高额的漏洞挖掘激励计划，谷歌、惠普等企业还赞助全球性的黑客大会，我国腾讯、360、百度、阿里等国内企业设置了金额不等的漏洞奖励计划。

政府作为漏洞发现者的动机在于掌控网络空间战的战略资源和博弈资本，提升国家层面的威胁态势感知和执法保障能力。我国政策层面已经开始高度重视安全漏洞的发现工作，亟需底层设计的落实。从国外来看，美国政府公开方式采购漏洞和入侵软件成为执法常态，其主张利用漏洞出现和修复间的时间差进行执法调查，并试图修改《通信协助执法法》确定漏洞监听的合法地位。此外，美国还在规范授权发现、解决法律问题基础上，积极组织对政府部门信息系统安全漏洞的发现活动。2016年3月2日，美国国防部就宣布有偿招募“白帽黑客”，测试性攻击五角大楼部分网站，以发现安全漏洞并提出补救措施，该项目称之为“黑掉五角大楼”。项目要求参与的白帽黑客必须是美国公民，在注册申请、接受背景审核并通过后才可以入侵指定系统，项目所涉网站不包含敏感信息或员工个人资料。美国国防部部长认为“漏洞众测减少了美国在漏洞挖掘上的开销，仅用很小的一部分成本，增加了美国对网络空间威胁的防御能力，同时从根本上提升了国家安全。” 

安全漏洞发现行为的法律风险

从法律层面来看，我国目前缺少对安全漏洞发现的直接规定，相关的零散规定分布在《计算机信息网络国际联网安全保护管理办法》《互联网电子邮件服务管理办法》《电子银行业务管理办法》《治安管理处罚法》《刑法》《网络安全法》等法律法规中。

《公安部关于执行<计算机信息网络国际联网安全保护管理办法>中有关问题的通知》中要求“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织”将网络安全漏洞检测纳入安全保护管理制度中。《电子银行业务管理办法》中将漏洞扫描作为检查手段以检查金融机构电子银行业务的安全。《互联网电子邮件服务管理办法》规定了互联网电子邮件服务提供者及时处置发现安全漏洞的安全防范措施。《治安管理处罚法》《刑法》侧重于非授权访问行为的刑事打击和治安处罚角度，规定了惩戒性条款。《刑法》第285 条、第286 条规定了“非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；破坏计算机信息系统罪”。如漏洞发现者利用系统安全漏洞实施了相关行为，则可能触犯这两条。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》进一步明确了以上罪名中“情节严重”“后果严重”“情节特别严重”的判定依据。对于尚未触犯《刑法》第285条、第286条的违法行为，《治安管理处罚法》第29条规定了拘留的治安处罚。《刑法修正案(九)》第286条之一新增了“拒不履行信息网络安全管理义务罪”，强化了网络服务者的管理责任，也可适用于漏洞隐患致用户个人信息泄露而网络服务提供者不作为的情况。

《网络安全法》第一次从网络安全保障基本法的高度认识漏洞这一客观存在，其第22条、25条和26条分别对产品和服务提供者对自身产品漏洞的告知补救义务、网络运营者及时处置系统漏洞的安全保护义务、行为人擅自发布系统漏洞这三项内容进行了规定。第26条目前的规定实施性不强，属于预留接口的条款，为下位法制定或出台做了铺垫。

总体上看，我国法律没有明确界定安全漏洞、漏洞发现、“白帽子”等概念，也缺少漏洞发现行为的规范指引。现有立法的模糊性造成安全漏洞发现行为缺少必要的可预期性判断，容易出现漏洞发现行为超出合理边界侵犯他人合法权益的事实。

在现有法律框架下，我国安全漏洞发现行为面临的主要法律风险包括：

第一，漏洞发现可能产生“侵入”的刑事法律责任。漏洞发现需要经过漏洞扫描、渗透测试和漏洞验证等过程才能确认漏洞的存在，且往往会使用具有侵入功能的工具。侵入是指非法用户调取、访问计算机信息系统内的系统资源的行为。漏洞扫描、渗透测试和漏洞验证的技术特征决定了非常有可能引发侵入计算机信息系统或造成计算机信息系统数据外泄、计算机信息系统被非授权控制的事实或事件。而对计算机信息系统及其数据的非授权访问历来是各国刑事法律打击的重点。我国《刑法》第285条和第286 条即以侵入行为为要件，界定了“非授权侵入”的一系列法律后果。因此，漏洞发现可能产生“侵入”的刑事法律责任。

第二，“白帽子”的法律地位不明确。我国现有法律缺乏“白帽子”法律地位的认定，现实中，“白帽子”和黑客的界限本不清晰。如果无法确认“白帽子”的身份，很难确保其发现漏洞的动机和合法用途。

第三，缺少对授权边界及构成要件的详细指引。如前所述，安全漏洞的发现和验证过程，很可能直接对计算机信息系统造成损害。如果缺少明确的授权，漏洞发现行为的违法性难以避免。目前，我国缺少对授权边界及其构成要件的详细指引，导致“白帽子”与众测平台之间的协议往往处于“不周延”“想当然”状态，无法对“白帽子”的发现行为作出明确约束和相对保护，也引发了发现过程中的隐私和漏洞信息泄露、黑客攻击等安全风险。

第四，众测平台的合规性有待强化。尽管众测平台具有某些先天缺陷，但作为从“白帽子”个体到安全企业之间的必经环节，其存在与规范化具有重要意义。目前的众测平台普遍存在保密义务有待加强、激励方式单一、企业和“白帽子”身份核验不规范、透明度不高、有效争议解决机制缺乏等问题。

安全漏洞具备的非传统缺陷和资源双重法律属性导致对其发现所产生的行为后果具有多重法律意义，无论是传统缺陷理论，还是刑法单一惩治，都不能体现和承载双重属性所展现的复杂性和多样性。安全漏洞之上集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或“白帽子”等多方利益相关者及其协调关系。从安全漏洞双重属性视角考量，在进行安全漏洞发现的法律规制时，一方面需最大限度减少利用安全漏洞产生的危害，提高应对网络攻击的防御能力，惩治危害网络安全的行为；另一方面也要合理疏导基于资源利用必然产生的各种利益冲突，通过政策引导和立法的持续性保持安全漏洞的合法发现、跟踪、创新与突破，以确保能力差异和利益冲突不会妨害提升网络安全这一总目标的实现。

安全漏洞发现的主体边界

如前所述，只有主观上维护网络安全实施的漏洞发现行为才可能合法。从我国安全行业安全漏洞发现的实践来看，主要以个体（如“白帽子”）直接挖掘，或者通过实名注册方式与众测平台等网络安全服务机构建立协议关系，或者设立专门性的网络安全服务机构的方式实施漏洞发现。这些不同的主体（组合）模式，体现出不同程度的合法性问题。由于个体发现的匿名性及众测平台法律地位不明确等现实问题，专门性的网络安全服务机构未来可能成为安全漏洞发现的主要合法形式，但个体和众测平台模式具有的灵活性、成本效益优势使得其仍将成为合法漏洞发现主体的有益补充。但个体和众测平台发现主体身份的合法化必须建立在进一步规范的基础上。

为了有效引导“白帽子”在合法范围内进行安全众测活动，本文认为，可以考虑建立“白帽子”官方加密保护的实名身份认证注册制度，准予注册后为其颁发唯一识别的代号，“白帽子”凭识别代号进行众测活动；此外，还可通过行业规范强化“白帽子”的道德感和职业操守，明确其行为的法律边界。

规范发展的众测平台在企业和“白帽子”间起着重要的枢纽和链接功能。本文认为，众测平台应完善漏洞报告、披露机制的流程和制度，提高透明度，严格遵守信息保密原则，同时强化其协调监督作用，监督并引导“白帽子”在法律框架内进行漏洞发现工作。

安全漏洞发现的授权边界

对于安全漏洞发现而言，是否经由授权在归责上具有决定性意义，甚至超越了对主观故意要件的考虑。《刑法》并未直接界定何为授权，《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》反复引用授权但又未作明确定义。

现有的安全漏洞发现的授权来源主要包括法律明文规定、民事行为约定等方面。最为典型的即为《刑法》第285条，以非授权侵入为一般规定，以国家规定或安全测试协议约定为例外。法律明文规定的另一种情形是直接对漏洞发现的例外情形进行规定。如美国在1998《数字千年版权法》（DMCA）中就规定了安全测试的例外，包括安全漏洞信息的获取和利用仅以保障被测试计算机系统的所有人或运营人的安全为目的。欧盟2013/40/EU号指令提出，成员国应鼓励安全漏洞的报告，努力为合法的检测及安全漏洞报告提供条件和支持。这些都是对授权进行漏洞发现的法律规定。2015年美国版权局对DMCA的修订，更直接加入了针对软件安全研究的免责说明。从现有法律规定可以看出，我国现在的漏洞发现行为都不具有法律明文授权（或除外）的一般规定，因此我国众测平台和“白帽子”的漏洞发现行为缺少法律规定的天然屏障，其通过安全测试协议进行的“不周延”“想当然”授权一旦发生风险，就会从一般民事争议转化为刑事责任追究。

根据《网络安全法》第26条的衔接性规定，本文建议通过《网络安全法》的下位配套机制来明确安全漏洞发现授权的边界和构成要件等问题。值得注意的是，由于利用漏洞进行攻击会对国家安全、企业利益和个人信息造成不可逆的影响，安全漏洞挖掘授权应有限制而不是泛化。以众测平台模式为例，本文认为可做以下限制：（1）众测平台模式下，拥有平台注册用户资格的“白帽子”身份并不视为取得当然授权；（2）禁止在众测平台规则之外的挖掘和验证安全漏洞行为，同时平台规则并不等同于授权，应基于众测平台与企业之间签署任何委托或合同所明示的内容为授权限定范围；（3）漏洞挖掘并不等同于漏洞披露的授权，禁止未经众测平台同意和企业明确确认的安全漏洞披露；（4）漏洞挖掘并不等同于漏洞修复的授权，禁止发布未经众测平台验证的漏洞修复工具/补丁；（5）授权具有时限性，禁止在现有法律和保密协议规定范围之外实施漏洞测试、评估等。

对通过竞赛等非特定协议的形式实施的针对政府系统的检测和挖掘，均应视为例外情形进行特殊限定，而不应作为规范普适化。如2016年3月2日美国国防部下属国防数字服务(DDS)发起的“黑掉五角大楼”(Hack the Pentagon)项目，这些特殊类型漏洞发现的合法性需要政府部门的背书和兜底方能进行。

“网络的绝对安全不具有技术上的可能性,网络安全的破坏者与维护者之间注定是一个长期博弈的过程”。安全漏洞的发现、披露和修复是网络安全防范的重中之重，集结于安全漏洞之上的利益相关者均应肩负起应有的法律责任，共同推动网络社会的有序、合法运行。本文认为，安全漏洞发现已经成为维护国家网络安全的有效手段，但我国目前在立法方面对于安全漏洞发现的规定远远不能满足实践规制的需要，安全漏洞发现行为面临如下法律风险：第一，漏洞发现可能产生“侵入”的刑事法律责任；第二，“白帽子”的法律地位不明确；第三，缺少对授权边界及构成要件的详细指引；第四，众测平台的合规性有待强化。在综合分析安全漏洞属性和行为模式的基础上，本文提出了基于授权模式的安全漏洞发现合法性边界，建立了安全漏洞发现的行为要素框架：在主体方面，只有主观上维护网络安全，且具有实名认证基础的漏洞发现者才可能成为合法主体；在授权方面，取得合法授权是安全漏洞发现行为的合法前提，但准予漏洞发现的授权不应泛化，同样应当基于必要的限制。

作者简介：

黄道丽：西安交通大学法学院博士研究生；公安部第三研究所副研究员

马民虎：西安交通大学法学院教授，博士生导师；西安交通大学信息安全法律研究中心主任

本文发表于西安交通大学学报（社会科学版）2017年第2期，转载已经获得作者授权。为编辑需要，已隐去脚注及参考文献。