“白帽子”面臨法律風險
法律專家告訴記者,“白帽子”自發進行測試時,面臨著多層次的法律風險。
有些“白帽子”對網站進行測試時,並不十分了解他們使用的軟件,測試一開始就蘊藏著風險。趙占領告訴記者,有一些針對常見漏洞的檢測工具軟件在網上很容易找到;比較特殊或複雜的漏洞檢測工具軟件,則來自“技術社區(論壇)”分享,僅在技術愛好者圈子中流傳;還有些“白帽子”自己寫檢測程序。“白帽子”使用的軟件可能有自動緩存功能。“白帽子”在檢測過程中,主觀上沒有獲取數據的想法,但測試軟件可能會把數據存儲在電腦上。這種行為是否屬於刑法所定義的獲取數據,目前還沒有類似案例,最終還要看司法機關怎麼認定。
趙占領告訴記者,互聯網企業認為“白帽子”發現的漏洞有價值時,可能會給予精神上的感謝或者物質上的獎勵,但這不是必須給予的。不過,如果“白帽子”拿著找到的漏洞,以公開漏洞、透露給別人或攻擊漏洞相要挾,要求互聯網企業支付一定的金錢,則有可能構成敲詐勒索。
趙占領說,“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關於網絡安全的規定,但他們常常忽略了即便沒有構成刑事犯罪,也有可能觸犯治安管理處罰法。
“白帽子”常忽視的,還有侵犯隱私權、知識產權等民事法律風險。朱巍說,“白帽子”使用插件、外掛的方式,或嵌入式的方式,把自己想要的功能加入別人的軟件之中達到他們的目的,這可能侵犯了他人的知識產權,嚴重的還會涉及到知識產權相關刑事責任。
“我們是搞技術的,鑽研安全漏洞,我們並不鑽研法律漏洞,對法律也是一知半解。”“白帽子”張某坦言,“白帽子”對法律的了解程度不深。不過,對於與互聯網企業的溝通模式,張某也有自己的想法。
現有的模式是企業發出授權,然後“白帽子”參與測試。能不能有所變化?張某給出一個模型:“白帽子”在測試前,先向企業發出申請,這個申請帶上明確個人信息。當企業認為“白帽子”的測試有問題時,馬上聯繫“白帽子”終止測試。這種模式可以保護“白帽子”的主動參與積極性,同時也給互聯網企業保留了主動權。
丁麗萍建議,漏洞披露平台和一些官方的機構合作,在獲得授權的情況下進行漏洞挖掘和披露,從而降低法律風險。在授權合作模式下,漏洞披露平台將獲得的漏洞信息提交給公安部門,由公安部門介入處理;或提交給國家互聯網應急中心,由國家互聯網應急中心向對方發出通知,告知對方系統有漏洞以及可能造成大量數據洩露、國家財產或者群眾利益的損失等後果。‘’
(來源:法制日報)
|
