“白帽子”與漏洞披露平臺(tái)之間的另一種關(guān)系，來(lái)自于一個(gè)商業(yè)模式，安全“眾測(cè)”或稱“眾包”的模式。漏洞披露平臺(tái)接受一些互聯(lián)網(wǎng)企業(yè)的安全外包任務(wù)，平臺(tái)將任務(wù)發(fā)布給平臺(tái)上的技術(shù)高手完成項(xiàng)目。

　　專家告訴記者，在這種情況下，企業(yè)的安全意識(shí)成為關(guān)鍵因素。丁麗萍說(shuō)，企業(yè)分成兩類，一類是歡迎挖漏洞的；另一類的態(tài)度是“我有漏洞你管得著嗎？你公布試試，你攻進(jìn)來(lái)試試”。后一種態(tài)度雖然不講理，但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業(yè)責(zé)任條款。丁麗萍認(rèn)為，法律對(duì)企業(yè)提出了要求，由于企業(yè)不注重信息安全防護(hù)而導(dǎo)致用戶數(shù)據(jù)大量泄露，需要承擔(dān)刑事責(zé)任。因此，企業(yè)可能會(huì)更歡迎“白帽子”來(lái)挖漏洞。

　　“白帽子”面臨法律風(fēng)險(xiǎn)

　　法律專家告訴記者，“白帽子”自發(fā)進(jìn)行測(cè)試時(shí)，面臨著多層次的法律風(fēng)險(xiǎn)。

　　有些“白帽子”對(duì)網(wǎng)站進(jìn)行測(cè)試時(shí)，并不十分了解他們使用的軟件，測(cè)試一開始就蘊(yùn)藏著風(fēng)險(xiǎn)。趙占領(lǐng)告訴記者，有一些針對(duì)常見漏洞的檢測(cè)工具軟件在網(wǎng)上很容易找到；比較特殊或復(fù)雜的漏洞檢測(cè)工具軟件，則來(lái)自“技術(shù)社區(qū)(論壇)”分享，僅在技術(shù)愛好者圈子中流傳；還有些“白帽子”自己寫檢測(cè)程序。“白帽子”使用的軟件可能有自動(dòng)緩存功能。“白帽子”在檢測(cè)過(guò)程中，主觀上沒(méi)有獲取數(shù)據(jù)的想法，但測(cè)試軟件可能會(huì)把數(shù)據(jù)存儲(chǔ)在電腦上。這種行為是否屬于刑法所定義的獲取數(shù)據(jù)，目前還沒(méi)有類似案例，最終還要看司法機(jī)關(guān)怎么認(rèn)定。

　　趙占領(lǐng)告訴記者，互聯(lián)網(wǎng)企業(yè)認(rèn)為“白帽子”發(fā)現(xiàn)的漏洞有價(jià)值時(shí)，可能會(huì)給予精神上的感謝或者物質(zhì)上的獎(jiǎng)勵(lì)，但這不是必須給予的。不過(guò)，如果“白帽子”拿著找到的漏洞，以公開漏洞、透露給別人或攻擊漏洞相要挾，要求互聯(lián)網(wǎng)企業(yè)支付一定的金錢，則有可能構(gòu)成敲詐勒索。

　　趙占領(lǐng)說(shuō)，“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關(guān)于網(wǎng)絡(luò)安全的規(guī)定，但他們常常忽略了即便沒(méi)有構(gòu)成刑事犯罪，也有可能觸犯治安管理處罰法。

　　“白帽子”常忽視的，還有侵犯隱私權(quán)、知識(shí)產(chǎn)權(quán)等民事法律風(fēng)險(xiǎn)。朱巍說(shuō)，“白帽子”使用插件、外掛的方式，或嵌入式的方式，把自己想要的功能加入別人的軟件之中達(dá)到他們的目的，這可能侵犯了他人的知識(shí)產(chǎn)權(quán)，嚴(yán)重的還會(huì)涉及到知識(shí)產(chǎn)權(quán)相關(guān)刑事責(zé)任。

　　“我們是搞技術(shù)的，鉆研安全漏洞，我們并不鉆研法律漏洞，對(duì)法律也是一知半解。”“白帽子”張某坦言，“白帽子”對(duì)法律的了解程度不深。不過(guò)，對(duì)于與互聯(lián)網(wǎng)企業(yè)的溝通模式，張某也有自己的想法。

　　現(xiàn)有的模式是企業(yè)發(fā)出授權(quán)，然后“白帽子”參與測(cè)試。能不能有所變化？張某給出一個(gè)模型：“白帽子”在測(cè)試前，先向企業(yè)發(fā)出申請(qǐng)，這個(gè)申請(qǐng)帶上明確個(gè)人信息。當(dāng)企業(yè)認(rèn)為“白帽子”的測(cè)試有問(wèn)題時(shí)，馬上聯(lián)系“白帽子”終止測(cè)試。這種模式可以保護(hù)“白帽子”的主動(dòng)參與積極性，同時(shí)也給互聯(lián)網(wǎng)企業(yè)保留了主動(dòng)權(quán)。

　　丁麗萍建議，漏洞披露平臺(tái)和一些官方的機(jī)構(gòu)合作，在獲得授權(quán)的情況下進(jìn)行漏洞挖掘和披露，從而降低法律風(fēng)險(xiǎn)。在授權(quán)合作模式下，漏洞披露平臺(tái)將獲得的漏洞信息提交給公安部門，由公安部門介入處理；或提交給國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心向?qū)Ψ桨l(fā)出通知，告知對(duì)方系統(tǒng)有漏洞以及可能造成大量數(shù)據(jù)泄露、國(guó)家財(cái)產(chǎn)或者群眾利益的損失等后果。