较低的漏洞奖励金额，黑市交易的高额回报显然更具诱惑力，这也是黑市产业链形成和发展的关键因素。黄道丽表示，“‘白帽子’是一群崇尚自由的群体，凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞，期望从中实现不同的价值，所以‘白帽子’不会因为商业化而消失。因此，建立长效高额的安全漏洞奖励机制是支持和鼓励‘白帽子’的最佳方式。”

国外“白帽子”如何免责

实际上，国内外都有大量的数据泄露安全事件发生。只不过，一方面，知晓漏洞曝光或数据泄露需要用户本身具有一定的技术能力，另一方面，是否采取法律行动需要相应法律能力和成本。黄道丽表示，目前“白帽子”单纯因为漏洞挖掘被立案的新闻并不多，但并不表示违反法律的挖掘行为没有或较少发生。如何通过法律规范“白帽子”行为，成为一项值得研究的重要课题。

从各国法律来看，对于挖掘安全漏洞的行为，一般会根据主体与行为动机规定不同的法律后果。比如美国，早在1998年《数字千年版权法》中就规定了安全测试（包括“白帽子”）的界限：安全漏洞信息的获取和利用，仅以保障被测试计算机系统的所有人或运营人的安全为目的。

对于“白帽子”等团队或个人合法获取的漏洞信息，美国《网络安全法》还规定了未取得厂商授权时的披露规则：首先，披露者应采取适当措施，保护所掌握的漏洞信息；其次，披露时应当去除可以用于识别特定人的信息；第三，不得使用漏洞信息获得不公平的竞争优势。同时，“白帽子”可以以“善意辩护”豁免挖掘漏洞的法律责任。

在漏洞检测和披露问题上，11月7日刚刚公布的《中华人民共和国网络安全法》规定：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”黄道丽表示，网络安全法的出台，为可能涉及民间自发的漏洞挖掘和公布内容的下位法的制定做了铺垫。

漏洞信息或成战略资源

《中国互联网站发展状况及其安全报告（2016）》显示：截至2015年12月底，中国网站总量达到426.7万余个；而由于各种各样安全漏洞的存在，网站面临着黑客以瘫痪目标业务系统、窃取用户有价值信息等为主要目的的攻击威胁，公共互联网环境仍面临较为严峻的安全态势。

“信息技术的迅速发展促进了计算机规模的膨胀，增加了个人、企业乃至社会和国家对网络安全的需求。‘黑帽子’‘灰帽子’等利用漏洞进行攻击的事件层出不穷，且手段愈发多样化和高明，网络风险的泛在性使得安全成为普遍性的问题，‘白帽子’因其道德和伦理偏向成为企业甚至政府机构获取漏洞、升级系统的重要途径，在维护信息系统方面的作用不可替代。”黄道丽说。

国家互联网应急中心运行部副主任严寒冰也表示，2009年以后，多家漏洞报告平台的陆续成立，如补天平台、乌云网、漏洞盒子，“白帽子”发现并上报漏洞已经成为整个漏洞发现处置体系中的重要环节。

网络安全漏洞关系到企业和个人的信息安全，甚至涉及国家安全。“发达国家早已把漏洞信息当作一种战略资源。”谢永江表示。

比如2013年，世界主要工业设备和武器制造国在常规武器及其民用技术协定《瓦森纳协定》中规定，零日（0day）漏洞（指被发现后立即被恶意利用的安全漏洞）也属于危险武器出口条约的规范对象。不仅漏洞信息本身被禁止用于犯罪或出口至“专制政权”，相应的用于入侵计算机系统的软件、硬件设备和组件也受到同等限制。2015年5月20日，美国工业与安全局发布一份《瓦森纳协定》的落实草案，其中就规定，禁止在不同的国家之间互通漏洞信息。据此，美国企业或个人向境外厂商报告漏洞情况被视为一种出口行为，需预先申请政府许可，否则将被视为非法。

“漏洞信息本身具有一定的应用价值，我认为，可以在国家层面建立漏洞信息库，收购企业以及包括’白帽子‘在内的个人发现的漏洞，在网络战争日益成为现实的情况下，未雨绸缪，做好技术储备工作。”谢永江建议。

漏洞信息的挖掘与保护也得到了我国政府的关注。4月19日，国家主席习近平在网络安全和信息化工作座谈会上强调，“要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来，龙头企业要带头参加这个机制。”漏洞发现还被作为“提升全天候全方位感知网络安全态势能力”的重要内容，写入我国《国家信息化发展战略纲要》。

谢永江透露，中国网络空间安全协会目前正在筹建中，将来也会成立分会，对包括“白帽子”问题、安全漏洞的法律定位等进行专门研究。