­　　世紀(jì)佳緣袁煒事件形成三大陣營(yíng)

­　　據(jù)搜狐科技了解，世紀(jì)佳緣袁煒事件發(fā)生后，安全圈內(nèi)部引起了廣泛的討論，并形成了三大陣營(yíng)。

­　　一大陣營(yíng)認(rèn)為，目前絕大多數(shù)測(cè)試行動(dòng)都是在沒有得到廠商授權(quán)的情況下進(jìn)行的，因此，以后的所有安全滲透測(cè)試，都需要提前得到廠商的授權(quán)。但這只是理想狀態(tài)，如果廠商不授權(quán)，也就意味著白帽黑客的探測(cè)，都涉嫌違法犯罪。

­　　另一陣營(yíng)認(rèn)為，世紀(jì)佳緣的做法屬于“釣魚”，恩將仇報(bào)。以后如果再發(fā)現(xiàn)相關(guān)廠商的漏洞，就不再給其提交，而是轉(zhuǎn)入黑產(chǎn)，進(jìn)行拖庫。這種想法明顯是在與相關(guān)廠商賭氣，因?yàn)槿绻l(fā)現(xiàn)漏洞后進(jìn)一步獲取更多數(shù)據(jù)，甚至拖庫、交易數(shù)據(jù)的行為，已經(jīng)觸犯刑法285、286條文規(guī)定。

­　　再有就是中間派，這一陣營(yíng)占了大多數(shù)。中間派別認(rèn)為，這一事件中，各方的做法都有欠妥的地方。企業(yè)的做法不像是一個(gè)公司對(duì)付安全漏洞正確的態(tài)度，只會(huì)讓事情走向反面；黑客測(cè)試過程中由于各種原因可能下載了較多的數(shù)據(jù)，需要相關(guān)部門評(píng)判；烏云等平臺(tái)方一般與企業(yè)之間也有商業(yè)合作關(guān)系，也應(yīng)該規(guī)范白帽子的行為。

­　　在這類事件中，平臺(tái)方出于自身的利益，可能也較難處理與廠商的關(guān)系。平臺(tái)方弱勢(shì)的話對(duì)自身不利，強(qiáng)勢(shì)的話又像是在利用漏洞進(jìn)行勒索。

­　　但不管如何，各方在這個(gè)過程中，不能違法是底線。江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)、公安部網(wǎng)絡(luò)安全專家童瀛就表示，網(wǎng)警在執(zhí)法過程中，會(huì)根據(jù)法律規(guī)定嚴(yán)格執(zhí)法。白帽黑客也要牢記相關(guān)條文中限定的數(shù)字，千萬不要跨過這些線。童瀛表示，WEB安全的入門教程比較多，入門門檻較低，安全問題也較多。從以往相關(guān)案件的處理情況來看，執(zhí)行滲透入侵的當(dāng)事人會(huì)是“主犯”，要負(fù)責(zé)主要責(zé)任，因此，白帽黑客在做測(cè)試時(shí)一定要自律。在突破屏障后，多數(shù)人都是有好奇心的，只要越線，就會(huì)受到法律的處罰。

­　　行走在法律邊緣需明確邊界

­　　龐大的網(wǎng)絡(luò)用戶群體，成為網(wǎng)絡(luò)違法犯罪行為的溫床。根據(jù)此前騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》顯示，公安部2014年11月公布的網(wǎng)絡(luò)犯罪十大典型案例中，僅遼寧網(wǎng)安部門瓦解掉的一個(gè)非法入侵韓國(guó)網(wǎng)站盜取韓國(guó)網(wǎng)民銀行存款的特大團(tuán)伙，涉案金額折合人民幣就超過了1000萬元。DDoS攻擊已形成了一條高度成熟的黑色產(chǎn)業(yè)鏈。騰訊研究院2015年11月對(duì)外披露了另一份數(shù)據(jù)，據(jù)稱，在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中，相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個(gè)大大小小的黑產(chǎn)團(tuán)伙。其中，專職于DDoS黑產(chǎn)的人員高達(dá)13萬，如果以人均月收入4000元計(jì)算，年產(chǎn)值超過100億元。

­　　據(jù)搜狐科技了解，在安全測(cè)試領(lǐng)域，對(duì)于測(cè)試行為有各種稱呼，如網(wǎng)絡(luò)滲透測(cè)試、安全審計(jì)、網(wǎng)絡(luò)或風(fēng)險(xiǎn)評(píng)估等等。而進(jìn)行測(cè)試的工具也多種多樣，絕大多數(shù)測(cè)試工具在“白帽”黑客手中是發(fā)現(xiàn)漏洞并提升業(yè)界安全水平的利器，但在“黑帽”或黑產(chǎn)人員手中，卻是獲取個(gè)人或企業(yè)隱私信息，為已獲利的幫兇。“黑客”到底是白是黑，完全在于一念之間。

­　　一位黑客對(duì)搜狐科技透露，世紀(jì)佳緣袁煒這一事件，折射出安全行業(yè)普遍存在的一個(gè)問題，多數(shù)從業(yè)人員法律意識(shí)淡薄。在烏云白帽大會(huì)上，搜狐科技從與“黑客”的交流中也感受到，有些黑客在測(cè)試或者驗(yàn)證一些網(wǎng)絡(luò)漏洞時(shí)，對(duì)入侵過程、入侵行為夸夸其談，但從不提及這其中涉及的法律問題。

­　　IT與知識(shí)產(chǎn)權(quán)律師，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng)表示，從法律角度，國(guó)家已經(jīng)為網(wǎng)絡(luò)安全行為界定了明確的“邊界”。在從業(yè)過程中，需要嚴(yán)格按照相關(guān)法律法規(guī)條文及司法解釋規(guī)范自己的行為，在這個(gè)“邊界”之內(nèi)就可以保護(hù)自己的權(quán)益。

­　　據(jù)了解，目前刑法第285條、286條、287條及刑法修正案（9）對(duì)網(wǎng)絡(luò)安全行為有明確的規(guī)定，觸犯這些條文會(huì)受到法律的嚴(yán)懲。2011年8月，最高人民法院、最高人民檢察院針對(duì)刑法285、286條專門發(fā)布了司法解釋，以達(dá)到“嚴(yán)懲危害計(jì)算機(jī)信息系統(tǒng)安全犯罪，保障互聯(lián)網(wǎng)的運(yùn)行安全與信息安全”的目的。

­　　2015年6月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》發(fā)布并公開向社會(huì)征集意見，在網(wǎng)絡(luò)安全法草案中，對(duì)入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)，以及為這些活動(dòng)提供支持、幫助等行為都進(jìn)行了禁止。同時(shí)，草案也要求網(wǎng)絡(luò)運(yùn)營(yíng)者要保護(hù)用戶數(shù)據(jù)的安全。

­　　白帽黑客使用檢測(cè)工具測(cè)試網(wǎng)絡(luò)安全的過程中，也可能會(huì)涉及到軟件自動(dòng)緩存的問題。這種情況下，白帽黑客沒有主觀想獲取數(shù)據(jù)，但程序自動(dòng)緩存了。從目前的情況來看，相關(guān)法律機(jī)關(guān)可能更傾向于黑客已經(jīng)獲取了數(shù)據(jù)。因此，在使用檢測(cè)工具前，白帽黑客或安全從業(yè)人員要盡可能了解檢測(cè)工具的工作原理，測(cè)試時(shí)要謹(jǐn)慎。

­　　趙占領(lǐng)同時(shí)強(qiáng)調(diào)，從刑法角度來說，司法解釋明確規(guī)定了非法獲取用戶信息的量刑數(shù)量，但白帽黑客絕對(duì)不要簡(jiǎn)單地認(rèn)為，只要其獲取的數(shù)據(jù)低于某個(gè)數(shù)量，其行為就是安全的，可以不受懲處。比如獲取普通用戶身份認(rèn)證信息不到五百組，雖然不用負(fù)刑事責(zé)任，但根據(jù)后果，當(dāng)事人可能會(huì)受治安管理處罰法第29條的規(guī)定，受到相應(yīng)處罰。

­　　騰訊玄武實(shí)驗(yàn)室總監(jiān)于旸（TK教主）認(rèn)為，這個(gè)行業(yè)游走在法律邊緣是一種情緒化的說法，只有知道了邊界在哪里，才能做到“常在河邊走也不濕鞋”。每個(gè)行業(yè)都有相應(yīng)的法律限制，網(wǎng)絡(luò)安全從業(yè)人員更應(yīng)搞清楚這些法律條文，才能在從業(yè)過程中做到?jīng)]有后顧之憂。在行俠仗義的時(shí)候，順便調(diào)戲婦女，在安全測(cè)試的時(shí)候，順便拖庫倒賣，都不是英雄和白帽的正確姿勢(shì)。