一提到黑客，许多人都会想到个人的信息被盗和网络欺诈。但是也有这样的一群黑客，他们以发现网站的程序漏洞为职业，必要的时候甚至会破解一些恶意黑客程序来攻击他们的网站，于是这些酷似网络侠客的电脑高手，有了一个专门的称呼叫“白帽子”。

一、黑客被归为三种类型

1.黑帽子：他们研究攻击技术唯一的目的就是惹是生非。

2.灰帽子 ：他们擅长攻击技术，但不轻易造成破坏，他们精通攻击与防御，同时头脑里具有信息安全体系的宏观意识。

3.白帽子：描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞。

二、认识白帽子

诚如上文所述，所谓“白帽子”是指识别计算机系统或网络系统中安全漏洞的网络安全技术人员。他们活跃在漏洞披露平台、企业应急安全响应平台上，仅是检测漏洞，并不恶意去利用漏洞，并通过向相关平台或者厂家反馈、发布漏洞，以敦促厂家在漏洞被黑客攻击利用之前将其修复完善，维护计算机和互联网安全。生活中，他们是普通的网络工程师、安全实验室的程序员，甚至仅仅是大学计算机专业的学生。

三、白帽子的聚集地——乌云网

提到白帽子不得不提到乌云网。

乌云网是中国最早的漏洞报告平台，成立于2010年5月，主要创始人之一为百度前安全专家方小顿——1987年出生的国内知名黑客“剑心”，因在2010年2月和百度创始人兼董事长李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。如家酒店等开房信息泄露、13万条铁路售票网站网站12306用户数据泄露、腾讯7000万QQ群用户数据泄露等一系列曾经轰动社会的泄漏事件，均最早在乌云网上由白帽子报告并引起平台方的重视。

四、袁炜事件引热议

袁炜是“乌云网”上的一名白帽子。

2015年12月3日，袁炜检测发现了婚恋交友网站——“世纪佳缘”的系统漏洞；当天晚上，为了验证漏洞，他又通过发现的漏洞浏览了世纪佳缘的部分数据，确认漏洞存在；次日上午，袁炜向乌云提交该漏洞，同一天乌云通知世纪佳缘；12月7日，在完成漏洞修复后，世纪佳缘在乌云平台确认漏洞的页面向该漏洞提交者表示感谢。2016年1月18日，世纪佳缘报警称有4000余条实名注册信息被不法分子窃取。2016年3月8日，袁炜遭到警方刑事拘留，并于4月12日被批准逮捕。

获取网站信息是袁炜被捕的重要原因。“世纪佳缘”委托了一家司法鉴定所对其服务器日志进行鉴定，鉴定意见显示：“世纪佳缘”网在2015年12月3日17时许至2015年12月4日10时许，被“124.160.67.131”等11个IP地址非法访问，入侵者对网站数据库进行了读取操作，涉及读取操作的数据库数据信息为932条。

“袁炜事件”引发了IT业内和法律届内关于“白帽子”黑客行为边界的大讨论。“袁炜事件”的走向、判罚等将成为白帽子群体和漏洞报告平台“命运”的关键节点。

1.程序员认为：白帽子挖掘漏洞涉及读取信息，善意获取不违法。白帽子虽在未授权情况下对某网站或服务器的渗透测试，其和真正准备盗取数据的黑客所做的准备工作一样。但区别于在发现漏洞后的处置上，是报告给管理者，还是盗走数据卖掉。如果袁炜最终判定构成犯罪，将对整个白帽子群体造成极大的震慑，没有白帽子还敢去给网站寻找、发现漏洞，这对于企业的商业利益以及用户的信息安全都是非常不利的。另外，如果乌云无法为白帽子提供相应的保护、辅导、支持、规范、自律等措施，白帽子黑客被捕之后也没有提供法律支援等措施，那么乌云只是保留作为漏洞报告平台的工具属性，但其社群属性就被淡化了。

2.法学专家认为：法律并没有明确白帽子的定位，以渗透、测试网站的方式来挖掘漏洞并披露究竟是否合适？在无法控制黑客主观思想，亦没有法律约束的情况下，白帽子在进行网络安全测试时要遵循哪些规范？漏洞平台不经企业允许的情况下，是否有权公布企业安全漏洞？未来对白帽子黑客和网络漏洞的治理应该按照怎样的原则开展？

五、白帽子的法律边界在哪里

1、现有法律约束

A 国内：目前我国对“白帽子”善意挖掘漏洞的法律规范并没有形成系统的法律体系，比较零散地体现在一些法律法规以及部门规章里，例如保守国家秘密法、治安管理处罚法、刑法等，这些法律并没有明确划定“白帽子”的行为边界。如：《刑法》第二百八十五条第二款：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。达到“情节严重”才是犯罪，那什么是情节严重呢？在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中是这样说的：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；（三）非法控制计算机信息系统二十台以上的；（四）违法所得五千元以上或者造成经济损失一万元以上的；（五）其他情节严重的情形。实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；（二）其他情节特别严重的情形。明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

B 国外：对于“白帽子”等团队或个人合法获取的漏洞信息，美国《网络安全法》规定了未取得厂商授权时的披露规则：首先，披露者应采取适当措施，保护所掌握的漏洞信息；其次，披露时应当去除可以用于识别特定人的信息；第三，不得使用漏洞信息获得不公平的竞争优势。同时，“白帽子”可以以“善意辩护”豁免挖掘漏洞的法律责任。

2、白帽子存在的利与弊

利：漏洞发现被作为“提升全天候全方位感知网络安全态势能力”的重要内容，写入我国《国家信息化发展战略纲要》，漏洞已经成为各国争先抢夺的战略资源的博弈资本，安全漏洞攻击构成全球最严重的网络安全威胁，白帽子黑客是网络安全领域不可或缺的补充力量。如果厂商在接到漏洞报告后不修复漏洞，导致用户信息因该漏洞泄露，白帽子的漏洞报告就可以成为厂商不履行网络安全管理义务、在用户信息泄露事件上存在过失的证据，用户因此产生的损失就可以索赔。

弊：安全漏洞的法律属性不明晰，“白帽”黑客的行为边界不明确，“白帽”黑客的法律意识淡薄。而在法律遵从方面，关键的信息基础设施范围不明确，漏洞平台以及企业的管理制度不完善等问题，也给安全漏洞的治理带来了极大的挑战。

六、白帽子的未来何去何从

原则：不能以禁止挖掘漏洞的方式来维护网络安全，否则漏洞将无法弥补。

制定行业准则：法律永远滞后于技术发展。召集专业人士通过行业协会制定“白帽子”挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定“白帽子”的注册标准，规范使用工具，对挖掘行为的边界形成行业共识，统一挖掘漏洞的授权规则。

在2016年8月16~17日在北京举行的第四届中国互联网安全大会（ISC）暨全球互联网安全精英峰会上，西安交通大学信息安全法律研究中心和360法律研究院联合发布了《“白帽子”安全漏洞挖掘法律风险分析报告》。该报告提出了诸多建议，也为白帽子的法制建设提供了有利建议：1.对“白帽”黑客身份进行认可和招募；2.规范“白帽”黑客的权利和义务，设立“白帽”黑客的注册备案制度，以注册平台的运营模式为基础规范白帽子的行为，通过行业规范强化白帽子的职业道德和职业操守，明确法律行为的边界，并对白帽子展开相关的法律知识的培训；3.政府由行政监管为主向法治监管为主的转型，强化以法制为基础的市场监管，建立评估监测机制，监督众测平台对漏洞的商业管理模式，定期进行透明度审查，并向社会不特定人群发布报告；4.企业应该自己有意识地去聘请安全顾问，“白帽”黑客以后可以和企业签订安全服务协议，得到企业的授权和许可后再挖掘漏洞，而这种发现漏洞并提供解决方案的方式是可以收费的。

每一朵乌云都有一道金边，每一顶白帽都有一道黑边。希望“白帽子”能受到法律的确立和保护，自律的同时他律限制；希望企业能做好网站，保护好用户信息的同时保护好自己。