检测漏洞的法律边界在哪

在袁炜案中，获取网站信息成为其被捕的重要原因。“世纪佳缘”一方委托了一家司法鉴定所对其服务器日志进行鉴定，鉴定意见显示，“世纪佳缘”网在2015年12月3日17时许至2015年12月4日10时许，被“124.160.67.131”等11个IP地址非法访问，入侵者对网站数据库进行了读取操作，涉及读取操作的数据库数据信息为932条。

在袁炜案引发的讨论中，很多程序员认为“白帽子”挖掘漏洞涉及读取信息，善意获取不违法。对此，黄道丽表示，“我国刑法规范的是所有未经授权访问计算机信息系统的行为，这些并非直接针对漏洞挖掘行为的规定。任何主体若利用系统安全漏洞实施了入侵行为，均可能触犯刑法规定，都可能被追责。未经授权侵入计算机信息系统也是各国刑事立法共同打击的行为。”在认定标准上，黄道丽解释道，根据两高司法解释，获取网络金融服务的身份认证信息以外的其他身份认证信息500组以上就构成刑法所规定的“情节严重”，入侵者将面临三年以下有期徒刑或者拘役，并处或者单处罚金。“这一量化标准在制定过程中经过了大量的实证检验和研讨论证，规定本身没有问题。有人认为袁炜作为‘白帽子’当中的‘新人’多获取了一些数据无可厚非，但这不是定罪应当考虑的因素。”

实践中，还存在“白帽子”使用和黑客相同的软件进行漏洞测试的情况，比如袁炜就使用了一款名为SQLmap的安全测试软件，这个软件自带缓存功能，会自动将测试信息存储到本地的一个隐藏文件夹。

“如果‘白帽子’在挖掘漏洞过程中使用的自动化工具导致获取的数据量触犯刑法，他们应考虑调整功能或使用其他规范化工具。”黄道丽告诉记者，实践中，“白帽子”作为技术人员，对法律知识知之甚少，当前较为迫切的问题是立法规范、引导“白帽子”，为其创造合适的法律环境。

“当前，并没有法律对挖掘漏洞行为进行具体规范，刑法主要从行为的角度进行规制。在认定‘白帽子’是否善意破解、测试漏洞时，主要强调结果。因为当事人当时的主观意志无法客观鉴定，既有可能是测试的疏忽，也可能是一念之差，故意留存了数据。”谢永江表示，在法律不明确的情况下，“白帽子”挖掘漏洞行为本身带有风险，而现有的法律规范倾向于保护企业利益。如果袁炜的行为确实构成了法律规定的获取信息的定罪标准，仍然需要承担相应的法律责任。

目前我国对“白帽子”善意挖掘漏洞的法律规范并没有形成系统的法律体系，比较零散地体现在一些法律法规以及部门规章里，例如保守国家秘密法、治安管理处罚法、刑法等，这些法律并没有明确划定“白帽子”的行为边界。黄道丽强调，在新的法律和配套规定出台前，现有法律和司法解释的规定，应成为“白帽子”实施挖掘行为必须接受和前置考虑的一个客观要求。