白帽子发布漏洞后被抓世纪佳缘否认“钓鱼”

　　不受法律保护的灰色地带

　　虽然白帽子的称谓中有一个“白”字，但他们实际处在一个灰色地带。曾经在补天平台上为白帽子们做过法律培训的北京富润律师事务所黄锦深律师介绍，按法律规定来说，只要是没有获得企业的授权，白帽子自发挖漏洞的行为都是违法的，即便是通过漏洞平台，企业注册了该平台的账号，也不能算作授权。

　　赵武称，“只是现在厂商和白帽子之间形成了一种默契，民不举官不究而已。很多白帽子并不清楚这一点，以为自己的行为是合理合法的。但是企业一

　　旦较真，白帽子的行为是不受法律保护的。”

　　黄锦深在给白帽子做法律培训时建议，白帽子找漏洞之前，最好先和企业达成协议，获得授权，但现实中这种方式几乎不具备可行性。退而求其次，黄锦深告诫白帽子，为了自我保护，行为一定要保持在企业能接受的范围内，不要越线，比如下载保存对方的数据，甚至破坏对方的数据。

　　通过袁炜事件，很多白帽子也第一次知道了一个临界点，按照我国法律规定，构成非法侵入计算机信息系统罪的认定标准中，有一条是获取身份认证信息500组以上。从这一标准来看，袁炜获取了超过900条有效数据，或许是检方批捕袁炜的主要原因。

　　“这一次我才知道还有这样的规定，以前根本没有注意过数量的问题。”作为白帽子的方明说。

　　对于袁炜案件，黄锦深认为，虽然符合立案标准，但是从目前披露的情况看，很难判断袁炜是否有主观恶意，也没有造成严重的损失，最终的判决应该不会很重。如果世纪佳缘能够对他的行为表示谅解，也有可能减轻他的处罚。

　　更好还是更坏的未来

　　“这次可能会成为白帽子史上的一个标志性事件。”赵武认为，袁炜事件的最终解决和后续影响，可能左右白帽子这个群体的今后走向，“未来白帽子的生存环境会更好或者更坏都有可能。”

　　赵武表示，以袁炜事件为契机，国内主要的漏洞响应平台应该联合起来，主动和执法部门进行沟通和研究，明确白帽子行为的界限，有一个明确的司法界定，把原来灰色的部分真正变成白色。

　　这样既能让真正的白帽子的工作有了保障，也能预防白帽子“涉黑”。

　　“这是更好的可能性。当然也有更坏的。”赵武说，如果白帽子和企业之间的对抗加深，矛盾加剧，那么从执法部门的角度考虑，很可能就会对白帽子的管理更加严苛，白帽子的活动空间就会被压缩，面临更多个人安全上的威胁。那样对白帽子整体打击会很大。

　　“不管未来如何，眼下起码有一点需要改进，那就是漏洞平台的作用。”赵武认为，像乌云这样的平台，应该为白帽子们提供更好的法律支持，而不是把白帽子推出去，让他们自己去打官司。

　　记者也了解到，将于下月召开的中国互联网安全大会上的网络安全与法治分论坛，将邀请国内、国外的相关专家就白帽子的法律边界问题进行探讨。