论文部分内容阅读
网站安全漏洞挖掘、报告、披露和利用是网络安全领域的重要课题,其中“白帽子”作为一类特殊的网络主体,在网络安全的维护中发挥着不可替代的作用,但目前理论界对其行为界定并不清晰。理论研究往往倾向于特征明显的“黑帽子”,现有刑法对其涉及的计算机网络犯罪规定往往比较明确,行为研究重点也比较集中。反观“白帽子”,他们为维护被测主体系统安全挖掘、披露漏洞,却又广受被测主体诟病。与“白帽子”相关的文章多以报道的形式见诸报刊,而目前理论上鲜少对其行为进行规范性体系性的研究,故本文对其行为体系化的进行讨论确有必要。鉴于此,本文对“白帽子”群体的漏洞挖掘和披露行为展开讨论,共分为以下四个部分:第一部分是“白帽子”行为概述。通过介绍“白帽子”、网络安全漏洞的含义,厘清其与相关概念的区别,对目前网络漏洞处理过程中可能涉及的三方主体及关系进行梳理。在此基础上,对我国“白帽子”行为的立法规制现状和司法适用现状进行分析,通过典型案例,提出具体存在的问题,认清刑法规制“白帽子”行为的必要性。第二部分是“白帽子”行为的刑事法律风险分析。第一个层次具体分析漏洞挖掘行为的法律风险,即可能产生“侵入”的法律风险、导致“获取”数据的法律后果。第二个层次则具体讨论漏洞披露行为的法律风险,主要体现在对披露行为方式和安全性的质疑、对披露行为法律依据欠缺的质疑和不同披露主体披露过程存在风险的质疑。第三部分针对第二部分提出的法律风险和争议,对“白帽子”的行为进行了具体的分析。对于漏洞挖掘行为,通过对“侵入”和“获取数据”的认定,分析其是否构成《刑法》第二百八十五条非法获取计算机信息系统数据罪,并试图在现有法律规制的范围内寻找争议解决的路径。对于漏洞披露行为,依据实际披露模式进行分类,对不同披露主体即第三方漏洞平台和“白帽子”的责任进行探讨。第四部分是对“白帽子”行为的合法性边界分析和具体风险防控路径的思考。在判断“白帽子”行为合法与否时,应在现有规定的基础上进一步明确主体边界、授权边界和法律规制边界。为此,既要在非法律层面通过加强技术治理、完善制度建设、强化行业自律和人员监管,又要完善和细化实施《网络安全法》,充分发挥其在网络安全方面的指引作用,同时更要完善网络环境下的刑事立法,正确发挥《刑法》的规制作用。