一、问题的提出

（一）网络安全漏洞挖掘关乎国家安全

互联网正在逐渐摆脱其最初的工具、渠道、平台属性，逐渐转变为异常复杂的网络空间。按照搜索引擎爬虫是否可以检索或通过超链接的形式访问，互联网分为表网（Surface Web）和暗网（Dark Web）两层，作为互联网“蛮荒地带”的暗网中充斥着大量待价而沽的高风险网络安全漏洞一些著名网络安全公司雇员甚至沦为“数据掮客”，以贩卖高风险漏洞给其他国家和极端组织作为营利手段。网络安全漏洞利用已经成为国家间网络安全攻击行为的暗战场。

所谓网络安全是指“保护信息和信息系统不受未经授权的访问、使用、披露、破坏、修改或者销毁”，以确保信息的完整性、保密性和可用性。网络安全包含信息系统权限获取和数据泄露两个层面，

网络安全漏洞治理在网络安全保护中居于牵一发而动全身的核心地位，贯穿了国家、社会、个人多个层次法律利益，其泄露势必对国家安全、公共安全及社会稳定造成极大的破坏和挑战。因此，无论是出于对关键基础设施保护目的，还是国家安全战略的需求，网络安全漏洞治理必将是各国网络安全治理与立法的核心命题。

（二）网络安全漏洞的概念分析

网络安全漏洞（Computer vulnerability）指的是存在于计算机网络系统中、可能对系统组成部分和数据造成损害的一切因素，其存在于硬件、软件、协议的具体实现或系统安全策略多个维度。当前学术界、产业界并未对其概念达成共识，学界多有从系统安全、主体安全、物理缺陷的角度分析漏洞的属性。

（三）我国现行法的对网络安全漏洞挖掘的否定性态度——以袁炜案为例

网络安全漏洞主要通过渗透测试的方式获取，当前世界范围内，漏洞挖掘以黑客群体为主，黑客分为善意黑客（Certified Ethical Hacker）和恶意黑客。善意黑客又被称为“白帽子”，指识别计算机系统或者应用安全漏洞的网络安全技术人员。其由来自社会不同背景的黑客技术网络安全精英组成。“白帽子”采取渗透技术手段和黑客攻击方法寻找系统中存在的漏洞，在发现漏洞后向平台和被测主体反馈并发布，敦促被测主体尽快修补漏洞，维护网络安全。“白帽子”群体正在逐渐成为我国网络安全漏洞挖掘的主力军，据《2016年中国互联网安全报告》，民间“白帽子”黑客的组织所挖掘的漏洞比高达45%。

通过“白帽子”袁炜挖掘漏洞被抓、乌云平台被关闭可窥知，我国现行法对漏洞规制尤其是作为关键环节的漏洞挖掘持否定性评价，对民间善意黑客（白帽子）自发组织的漏洞挖掘行为呈现出一种重刑主义的倾向。

二、网络安全漏洞挖掘的规制路径反思

（一）对既有挖掘规范的适用分析

我国《网络安全法》对漏洞问题的专门配套立法尚付阙如,当前我国漏洞挖掘的法律规制体系不健全，从表面来看已经形成了以《治安管理处罚法》与《刑法》为核心的二元制裁体系，但事实上仅有《网络安全法》、《国家安全法》、《刑法》、《治安管理处罚法》寥寥数个条文而已，体系零散，且对作为漏洞治理核心的漏洞挖掘行为规制的操作性不强，实践中多通过《刑法》285条适用加以规制。

我国《刑法》285条与《刑法》286条分别规定破坏计算机信息系统罪和拒不履行信息网络管理义务罪两款罪名，“白帽子”袁炜不同于传统黑客，传统黑客往往会基于其特殊的打击目的对计算机系统及内容进行修改和破坏，“白帽子”多以检测并获取漏洞为目标，一般不会对计算机系统造成致命打击，因此其行为多不涉及286条。所以可以将视野聚焦，对善意漏洞挖掘行为直接相关刑事法律规定为《刑法》285条前两款。表面上来看，对《刑法》285条、286条的适用逻辑非常清晰，但司法实践中的态度却令人匪夷所思，笔者在检索裁判文书网后分析了自2008-2016年383个相关案例后发现，绝大部分黑客专门利用网络安全漏洞从事系统破坏行为，司法实践多直接适用《刑法》第286条加以规制是否具有合理性?

小编认为，当前我国与漏洞挖掘相关的法律规范太过强调事后救济，多以禁止性规定为中心，将情节和后果作为认定犯罪的依据，并不考虑袁炜漏洞挖掘行为人的社会危害性，这显然并不符合《刑法》的谦抑性特点。需要在考虑漏洞挖掘特殊目的的基础之上，对于白帽子的身份属性、漏洞挖掘行为的边界加以明确。

（二）漏洞挖掘行为规制的域外经验

欧盟对“白帽子”漏洞挖掘行为同样表示支持和肯定，2013年通过《欧盟议会和理事会第40号指令》规定，认为“白帽子”对于网络攻击以及此相关的信息系统所造成的威胁和风险进行识别和报告的行为非常有助于有效应对网络攻击并提高信息系统安全。

采用法律许可的方式对白帽子的漏洞挖掘行为予以规范，比较典型的例子是Heackerone平台与美国国防部合作发起“Hack the Pentagon”的漏洞奖励计划。事实上，美国绝大部分互联网公司均在Heackerone平台注册，授权“白帽子”对于其公司的安全系统进行渗透测试。相应的，配套立法对这样的挖掘渗透行为予以明确，赋予”白帽子”黑客漏洞挖掘权限，豁免”白帽子”的善意挖掘行为，将漏洞挖掘人造成破坏的社会危害性纳入是否入罪的判断标准。

2015年修订的《计算机欺诈和滥用法》第1030条规定，与计算机有关的欺诈及类似威胁活动包含的若干情形均以故意、违法和超出授权为核心。同年美国最新通过的《网络安全信息共享法案》，在 “网络安全威胁指标”项下明确了网络安全漏洞的类型、利用方法以及诱导信息系统合法用户在不知情的情况下造成安全控制或者系统被利用的情形。

欧美国家采用的“合同授权，法律配套保障”的方案，主要是考虑到“白帽子”群体并无恶意破坏系统、获取数据的犯罪动机和社会危害性。不同于欧美国家公私合作模式，在我国，被测试系统软件所有者并未与测试平台之间签订合同授权“白帽子”的挖掘行为，这意味着只有“白帽子”将漏洞提交给测试平台或者被测试系统所有者时，被测试主体方知晓该漏洞挖掘行为，此时被测主体享有是否追认的绝对权。若被测试主体拒绝追认，这直接导致挖掘行为人受制于《刑法》285条的规制。吊诡的是，即便测试平台与被测试系统所有者签订挖掘授权合同，仍然存在违法的风险，因为该合同会因触犯《合同法》54条第五款中：“违反法律、行政法规的强制性规定”特殊规定而归于无效。易言之，无论被测试系统软件所有者是否与平台签订合同，抑或事后是否追认该挖掘行为，均不影响“白帽子”受《刑法》285条的规制，这使得双方处于极其不对等的法律关系中，这也正是使得袁炜案备受诟病的核心原因。