快速浏览需 2分钟；仔细阅读需 5分钟。

一、相关法律概要解读与白帽子行为建议

1、《网络安全法》的基本原则之一是“共同治理”，对白帽子在法律规范内的行为是鼓励、认可的。

2、参考对应企业SRC、行业漏洞平台、第三方漏洞平台的公告说明，在取得站点明确授权后，遵循站点公告说明以及相关协议条款，挖掘和提交对应漏洞。（对应SRC站点通常都会有明显的公告和说明）

3、 
漏洞测试挖掘过程中：注意不要影响线上系统稳定性、不要对其他用户造成危害，不要获取敏感数据。（比如不要进行DDoS拒绝服务攻击、不要尝试删除数据库等危险操作、测试SQL注入漏洞时，通过获取数据库名等基本信息能验证漏洞即可，切记不要拖取用户数据、不要篡改网站页面挂黑页等） 
漏洞提交后：不要非授权披露漏洞细节。

4、我国刑法规范的是所有未授权访问计算机信息系统的行为，这些并非直接针对漏洞挖掘行为的规定。任何主体利用系统安全漏洞实施了入侵行为，均可能触犯刑法规定，都可能被追责。

5、 《网络安全法》《国家网络空间安全战略》对白帽子的漏洞发现等基础性工作是认可、鼓励、支持的，前提是要取得企业授权。《网络安全法》明确了网络运营者要履行安全保护义务，及不履行义务的法律责任，企业从对资深网络安全建设的需要，对白帽子检测行为的态度会变的包容和欢迎，甚至认为是必须。网络运营者与白帽子逐步形成网络安全的共识，白帽子网络从业人员在挖洞、披露的过程中遵守法律规定，就可以避免触碰法律红线。

二、白帽子行为涉及的《网络安全法》条款

第一章 总则

第六条 国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

第三章 网络运行安全

第二十六条 开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

第六章 法律责任

第六十二条 违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。 
1）行政责任：尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 
2）禁入规则：违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

参考文献

1、（强烈建议观看）视频解读“白帽子行为在《网络安全法》中的规范及法律责任承担”
https://www.ichunqiu.com/course/57705

2、《网络安全法》全文 （2017.6.1已正式实施，共七章七十九条）
http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

转载请注明出处 ：sosly 菜鸟笔记