国外“白帽子”如何免责

实际上，国内外都有大量的数据泄露安全事件发生。只不过，一方面，知晓漏洞曝光或数据泄露需要用户本身具有一定的技术能力，另一方面，是否采取法律行动需要相应法律能力和成本。黄道丽表示，目前“白帽子”单纯因为漏洞挖掘被立案的新闻并不多，但并不表示违反法律的挖掘行为没有或较少发生。如何通过法律规范“白帽子”行为，成为一项值得研究的重要课题。

从各国法律来看，对于挖掘安全漏洞的行为，一般会根据主体与行为动机规定不同的法律后果。比如美国，早在1998年《数字千年版权法》中就规定了安全测试(包括“白帽子”)的界限：安全漏洞信息的获取和利用，仅以保障被测试计算机系统的所有人或运营人的安全为目的。

对于“白帽子”等团队或个人合法获取的漏洞信息，美国《网络安全法》还规定了未取得厂商授权时的披露规则：首先，披露者应采取适当措施，保护所掌握的漏洞信息；其次，披露时应当去除可以用于识别特定人的信息；第三，不得使用漏洞信息获得不公平的竞争优势。同时，“白帽子”可以以“善意辩护”豁免挖掘漏洞的法律责任。

在漏洞检测和披露问题上，11月7日刚刚公布的《中华人民共和国网络安全法》规定：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”黄道丽表示，网络安全法的出台，为可能涉及民间自发的漏洞挖掘和公布内容的下位法的制定做了铺垫。