“白帽子”可以成为网络安全的“红帽子”

高艳东

浙江大学光华法学院

互联网法律研究中心主任

本文主要内容曾以《维护网络安全须用好“白帽子”》为题发表于《法制日报》2018年5月24日第7版。

如今，网络安全日益成为关乎国家利益、各国竞争角逐的新战场。然而，漏洞成为了网络安全的最大威胁。数据显示，2017年1月至10月期间，国内某大型网络安全平台共扫描检测网站104.7万个，其中存在漏洞的网站69.1万个（全年去重），共扫描出1674.1万次漏洞；存在高危漏洞的网站34.5万个，占扫描网站总数的32.9%，共扫描出247.0万次高危漏洞。各种产业和群体围绕着漏洞竞争逐利，其中，“白帽子”检测漏洞，形成了特殊的民间行业。

“白帽子”又被称作正面黑客，他们通过技术手段，扫描、检测各种单位的计算机或网络系统中的安全漏洞，但不会恶意去利用，而是公布漏洞，提醒相关单位修补漏洞，以此获得报酬。按照我国法律规定，未经授权侵入他人计算机不具有合法性。因而，“白帽子”游走在法律的边缘，稍有不慎就可能触犯《网络安全法》第62条、63条等规定，或者构成《刑法》第285条“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”等罪名。在司法实践中，“白帽子”因扫描识别社交平台、政府网站的安全漏洞而被定罪的，亦不少见。

但是，笔者认为，我国网络安全理念以及“白帽子”挖掘漏洞的价值，需要重新审视。

一方面，我们要转变网络安全的防御理念。一直以来，我国奉行的是闭关主义、消极防御的静态网络安全观，“禁止入内、不许干扰”是我国网络安全的防御理念。《网络安全法》第5条规定：“国家……保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”

《刑法》也规定，侵入国家事务、国防建设、尖端科学技术领域等关键信息设施，便构成犯罪。不允许任何人接近、进入我国的关键信息设施，这是一种“御敌于国门之外”的传统国土防卫思维。例如，不少机关采用“网络隔离技术”来应对安全威胁，试图靠“物理隔绝、消极防御”来防护网络安全，这是掩耳盗铃式的安全措施。明朝“寸板不许下海”的海禁政策，貌似巩固了海防，却让中国在历次海战中一败涂地。防护思路只有从消极防御转向积极响应，从被动挨打到主动应对，才能确保网络安全。

另一方面，我们要看到“白帽子”挖掘漏洞的价值。站在国家竞争和网络战争的角度看，“白帽子”检测并挖掘关键信息设施的系统漏洞，对网络安全具有重要意义。如果这些关键信息设施存在系统漏洞，却不让我国“白帽子”去发现，那么，外国黑客就可能可以利用这些漏洞获取我国的国家秘密。不同于国土安全，网络安全没有边界和疆域。漏洞就是通行证，任何人可以从任何地方侵入并发起攻击，网络渗透与控制无处不在。显然，在威胁来源和攻击手段不断变化的信息时代，不允许黑客（准确的说是中国黑客）进入是一种自欺欺人式的网络安全思路，这种静态的网络安全观在没有疆界的网络空间，只能使关键信息设施的抗攻击性越来越差。

事实也证明，讳疾忌医式的“消极防御主义”，不能带来真正的网络安全。虽然我国对“国家事务”等关键信息设施进行特别保护——禁止“白帽子”检测，但是，我国政府网站的安全隐患令人担忧。例如，汶川地震发生后，西安大学生贾志攀侵入陕西省地震局网站并发布“陕西今晚有大震”的虚假信息，造成社会恐慌；杜天禹等人非法侵入普通高等学校招生考试信息平台网站，窃取考生个人信息64万余条并对外出售牟利，最终导致了徐玉玉案发生；2018年初又发生了黑客团伙入侵车牌选号系统，盗取全国1500万副车牌靓号倒卖牟利……需要注意，这些人只是菜鸟级业余黑客，若是国外顶级黑客侵入，我国政府网站的安全性如何，令人忧虑。

反观发达国家，其奉行开放主义、动态攻防的积极网络安全观，更契合信息时代的发展。网络系统没有绝对的安全，漏洞会随着系统升级不断出现，最好的网络安全是对抗式安全。以美国为例，它对“白帽子”实行欢迎的开放姿态，并赋予其合法地位。例如，微软公司于2002年向黑客发起挑战，以测试其软件的安全性；Facebook于2015年给210名“白帽子”发放了93.6万美元的漏洞奖励，认可其漏洞扫描成果； 2016年，美国国防部举行“来黑五角大楼”的黑客比武大赛，悬赏寻找五角大楼网站漏洞并在恶意攻击之前堵住漏洞的参赛者，参赛者共报告1189项薄弱点，其中138项被认定为有效。不仅是美国，其他许多国家都在奉行“以攻击提升安全”的动态网络安全观。2008年，北约在爱沙尼亚首都塔林设立了网络战防御中心，自2010年起举行“锁定盾牌”年度演习，让各国技术专家通过主动攻击演练发现安全漏洞。

事实上，漏洞并不可怕，可怕的是发现不了漏洞，更可怕的是不允许发现漏洞。法律应当禁止黑客攻击，但是，禁止侵入不是目的，而是维护网络安全的手段。“白帽子”检测计算机系统、善意挖掘漏洞的行为，站在动态网络安全观的视角看，有利于长久的、高级的网络安全。法律要做的，不应简单地将“白帽子”的侵入行为认定为犯罪，把技术高手送入监狱，而是引导其行为有利于网络安全。在积极网络安全理念下，法律应当设立“白帽子”的行为底线、漏洞报告制度、责任豁免条件等，使扫描漏洞的“白帽子”成为维护网络安全的“红帽子”。因此，《网络安全法》中的静态网络安全观亟需调整，《刑法》中机械保护关键基础信息系统的立法思路也要修改。

（本文观点和内容与本公众号无关）