“白帽子”與漏洞披露平臺之間的另一種關系，來自于一個商業(yè)模式，安全“眾測”或稱“眾包”的模式。漏洞披露平臺接受一些互聯(lián)網(wǎng)企業(yè)的安全外包任務，平臺將任務發(fā)布給平臺上的技術高手完成項目。

　　專家告訴記者，在這種情況下，企業(yè)的安全意識成為關鍵因素。丁麗萍說，企業(yè)分成兩類，一類是歡迎挖漏洞的；另一類的態(tài)度是“我有漏洞你管得著嗎？你公布試試，你攻進來試試”。后一種態(tài)度雖然不講理，但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業(yè)責任條款。丁麗萍認為，法律對企業(yè)提出了要求，由于企業(yè)不注重信息安全防護而導致用戶數(shù)據(jù)大量泄露，需要承擔刑事責任。因此，企業(yè)可能會更歡迎“白帽子”來挖漏洞。

　　“白帽子”面臨法律風險

　　法律專家告訴記者，“白帽子”自發(fā)進行測試時，面臨著多層次的法律風險。

　　有些“白帽子”對網(wǎng)站進行測試時，并不十分了解他們使用的軟件，測試一開始就蘊藏著風險。趙占領告訴記者，有一些針對常見漏洞的檢測工具軟件在網(wǎng)上很容易找到；比較特殊或復雜的漏洞檢測工具軟件，則來自“技術社區(qū)(論壇)”分享，僅在技術愛好者圈子中流傳；還有些“白帽子”自己寫檢測程序。“白帽子”使用的軟件可能有自動緩存功能。“白帽子”在檢測過程中，主觀上沒有獲取數(shù)據(jù)的想法，但測試軟件可能會把數(shù)據(jù)存儲在電腦上。這種行為是否屬于刑法所定義的獲取數(shù)據(jù)，目前還沒有類似案例，最終還要看司法機關怎么認定。

　　趙占領告訴記者，互聯(lián)網(wǎng)企業(yè)認為“白帽子”發(fā)現(xiàn)的漏洞有價值時，可能會給予精神上的感謝或者物質上的獎勵，但這不是必須給予的。不過，如果“白帽子”拿著找到的漏洞，以公開漏洞、透露給別人或攻擊漏洞相要挾，要求互聯(lián)網(wǎng)企業(yè)支付一定的金錢，則有可能構成敲詐勒索。

　　趙占領說，“白帽子”了解最多的法律是刑法第二百八十五條、第二百八十六條關于網(wǎng)絡安全的規(guī)定，但他們常常忽略了即便沒有構成刑事犯罪，也有可能觸犯治安管理處罰法。

　　“白帽子”常忽視的，還有侵犯隱私權、知識產(chǎn)權等民事法律風險。朱巍說，“白帽子”使用插件、外掛的方式，或嵌入式的方式，把自己想要的功能加入別人的軟件之中達到他們的目的，這可能侵犯了他人的知識產(chǎn)權，嚴重的還會涉及到知識產(chǎn)權相關刑事責任。

　　“我們是搞技術的，鉆研安全漏洞，我們并不鉆研法律漏洞，對法律也是一知半解。”“白帽子”張某坦言，“白帽子”對法律的了解程度不深。不過，對于與互聯(lián)網(wǎng)企業(yè)的溝通模式，張某也有自己的想法。

　　現(xiàn)有的模式是企業(yè)發(fā)出授權，然后“白帽子”參與測試。能不能有所變化？張某給出一個模型：“白帽子”在測試前，先向企業(yè)發(fā)出申請，這個申請帶上明確個人信息。當企業(yè)認為“白帽子”的測試有問題時，馬上聯(lián)系“白帽子”終止測試。這種模式可以保護“白帽子”的主動參與積極性，同時也給互聯(lián)網(wǎng)企業(yè)保留了主動權。

　　丁麗萍建議，漏洞披露平臺和一些官方的機構合作，在獲得授權的情況下進行漏洞挖掘和披露，從而降低法律風險。在授權合作模式下，漏洞披露平臺將獲得的漏洞信息提交給公安部門，由公安部門介入處理；或提交給國家互聯(lián)網(wǎng)應急中心，由國家互聯(lián)網(wǎng)應急中心向對方發(fā)出通知，告知對方系統(tǒng)有漏洞以及可能造成大量數(shù)據(jù)泄露、國家財產(chǎn)或者群眾利益的損失等后果。