安全漏洞发现的合法边界授权模式下的行为要素框架.PDF

２０１７年３月　　　　　　　　　 西安交通大学学报（社会科学版）　　　　　　　　　　 Ｍａｒ．２０１７ 第３７卷第２期（总１４２期）　　ＪｏｕｒｎａｌｏｆＸｉ′ａｎＪｉａｏｔｏｎｇＵｎｉｖｅｒｓｉｔｙ（ＳｏｃｉａｌＳｃｉｅｎｃｅｓ） Ｖｏｌ．３７（ＳｕｍＮｏ．１４２） ＤＯＩ：１０．１５８９６／ｊ．ｘｊｔｕｓｋｘｂ．２０１７０２０１０ 安全漏洞发现的合法性边界：授权模式下的行为要素框架 １，２ １ 黄道丽 ，马民虎 （１．西安交通大学 法学院，陕西 西安７１００４９；２．公安部 第三研究所，上海２０１２０４） ［摘　要］　不规范或非法的安全漏洞发现行为对网络安全实践发展造成冲击，凸显法律规定的灰色地带。 安全漏洞具备非传统缺陷和资源的双重属性，传统缺陷理论和刑法单一惩治不能体现和承载双重属性所展 现的复杂性。目前，限于法律规定的模糊性，安全漏洞发现行为本身存在可能产生“侵入”的刑事法律责任、 “白帽子”的法律地位不明确、缺少对授权边界及构成要件的详细指引、众测平台的合规性有待强化等法律风 险。为此，应围绕安全漏洞的法律属性，界定安全漏洞合法性发现的边界，明确漏洞挖掘的授权、限制与例外 情形。 ［关键词］　网络安全；安全漏洞；法律风险；授权；合法性边界；“白帽子” ［中图分类号］　Ｄ９２２．８　　［文献标识码］　Ａ　　［文章编号］　１００８２４５Ｘ（２０１７）０２００６７０９ ② 　　当前全球安全漏洞数量快速增长，危险级别不断 统漏洞被美国联邦调查局（ＦＢＩ）调查 、我国某“白帽 提升。利用安全漏洞绕过安全保护措施已经成为全球 ③ ④ 子” 因提交某公司网站漏洞被批捕 和国内多个“众 实施网络攻击、网络间谍或网络破坏活动的主流方法， ⑤ 测平台”进入“升级”歇业状态等事件都显示出安全 安全漏洞发现成为各国网络安全保障领域重点关注的 漏洞发现对法律规定和实践发展造成的冲击，引发立 ① 环节 。除了企业对自身产品或服务安全漏洞的检测 法层面和学术界对安全漏洞法律属性、众测平台商业 和修复，国内外众多主体基于不同的动机和利益驱动 模式规范性、“白帽子”行为边界跨越性等问题的 已开始了广泛的安全漏洞发现实践并引起了各方对其 争议。 不利法律后果的关注和反思。例如， 目前学术界通常认为安全漏洞发现行为在法律后 ２０１６年发生的安 全研究人员ＣｈｒｉｓＲｏｂｅｒｔｓ因发现航空公司飞机安全系 果上具有不确定性。其突出表现在于，发现漏洞的主 ［收稿日期］　２０１６－０８－３０ ［基金项目］　国家社会科学基金重大项目（１５ＺＤＡ０４７）；国家社会科学基金青年项目（１４ＣＦＸ０３０）；公安理论及软科学研究计 划（２０１６ＬＬＹＪＧＡＳＳ０２０）；信息网络安全公安部重点实验室开放课题（Ｃ１５６０５） ［作者简介］　黄道丽（１９８０－　），女，西安交通大学法学院博士研究生；马民虎（１９５８－　），男，西安交通大学法学院教授。 ①２０１６年《国家信息化发展战略纲要》明确提出“提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工 作”，２０１６年我国首份《国家网络空间安全战略》也明确要求“做好漏洞发现等基础性工作”。 ②ＯｎｅＷｏｒｌｄＬａｂｓ的安全研究专家ＣｈｒｉｓＲｏｂｅｒｔｓ于２０１５年乘坐美国航空公司航班