基本案情
　　袁某系杭州某公司的信息安全运维主管，基于“白帽子”（“道德黑客”）共有的善意初衷，于2015年10月19日在国内最大的乌云网平台注册，并已经提交11个不同网站的漏洞，先后有8个得到修复。2015年12月3日16时，袁某对世纪佳缘网实施SQL软件漏洞检测，发现存在漏洞；在多次验证确认后，4日9时，向第三方平台乌云网提交漏洞，乌云网平台随后通知世纪佳缘网。12月7日，世纪佳缘网随后确认和修复被检测的漏洞，并致谢乌云网平台及袁某。但是，2016年1月18日，世纪佳缘网向北京市公安局朝阳分局报案，称在2015年12月3日17时——2015年12月4日10时期间，陆续收到以SQL为注入手段的访问请求4400余次，并被读取932条网站数据库的数据，认为已经完全超过常规“白帽子”的测试范围，出于担忧用户数据和信息安全，最后选择报警。由于世纪佳缘网声称被攻击的时间和方式，与袁某检测漏洞的时间和方式完全重合，2016年3月8日，北京市公安局朝阳分局以涉嫌非法获取计算机信息系统数据罪对袁某实施刑事拘留；4月12日，北京市朝阳区人民检察院正式批准逮捕。 [1]据悉，2017年初，朝阳区人民检察院作出相对不起诉决定，依法释放袁某。
　　尽管袁某案已经告一段落。但是，该案件见诸报端后，引起各方的高度关注，既将“白帽子”群体推向公众视野下，也令众多“白帽子”忧心忡忡。同时，还波及第三方漏洞平台的境遇。与国家信息安全漏洞共享平台的合作方乌云网与漏洞盒子平台相继关闭并对外宣告停业整顿，而乌云网多名高管被警方带走接受调查，使“白帽子”社区的行业边界问题更加扑所迷离。2016年8月，中国互联网安全大会的网络安全与法治分论坛，对互联网业界备受关注的“白帽子”的法律边界问题进行探讨，有关“白帽子”群体的法律定位、善意测试及披露行为的定性等问题再起波澜。2017年5月，名为“想哭”（wannacry）的比特币勒索软件对全球网络进行攻击，得益于英国一名研究员的无意间发现，才得到初步遏制。这既说明全球网络安全问题的严峻性，更突显网络“白帽子”群体的重要性。为了维护“白帽子”群体的行业稳定和维护网络安全秩序，应当澄清“白帽子”群体的行为本质特性，理清罪责的边界，提高行业的法治化。



　　一、“白帽子”现象本质的法治透视
　　所谓“白帽子”，通常是对“以合理的方式发现网站的程序漏洞并理性告知相关企业”的网络精英人员的俗称 [1]，或者说是“主动发现企业网络安全漏洞并披露而非恶意利用的网络安全技术爱好者”。“白帽子”往往善意侵入并在技术上“点到为止”，故而，是与“黑客”这一特定网络群体完全相对立的“IT侠客”。而“侠客”的称号，也充分说明互联网业界对这一群体的“身份”认可。
　　1.“白帽子”的行业观察
　　在网络技术建立起来的网络帝国，“白帽子”早就是网络社会的正常现象，并已经自发形成中立的第三方（漏洞响应提交）平台。 [2]经过长期的发展，“白帽子”、第三方平台以及企业在网络安全漏洞的挖掘、披露以及修补等方面，建立起成熟的三方共赢局面。通常而言，“白帽子”一般不单独测试披露，往往和企业在第三方平台注册并审核通过后，在第三方平台的行业管理下，“白帽子”基于行规要求，主动测试企业的安全漏洞并提交第三方平台，第三方平台作出审核后提醒企业修复，有关企业修复后一般通过第三方平台对“白帽子”的善意行为作出肯定回应。但是，不排除有些“白帽子”未经有关企业授权，自行测试并将发现的漏洞上报到所属的网络平台，由网络平台报告国家信息安全漏洞共享平台和相关部委以及相关企业，或直接与企业联系披露等。这些单方面的做法隐藏较大的法律风险，毕竟未经相关企业的授权或事后确认。尽管如此，“白帽子”、第三方平台以及相关企业也一般基于默契，在相互共赢的局面下“和谐共处”。
　　“白帽子”是与黑客截然相反的网络IT精英群体，特别是在企业的网络安全漏洞问题与黑客攻击都始终高位运行的情况下，“白帽子”及相关的网络第三方平台已经成为网络安全领域不可或缺的补充力量。在实践中，大量企业都与“白帽子”保持良性的互动合作关系，也获得国家有关部门或机构（国家信息安全漏洞共享平台）的积极肯定，如补天漏洞平台、乌云平台都获得有关部门授予的“漏洞报送突出单位”称号。但是，也有一些“白帽子”跳过第三方平台或擅自逾越默契的红线，在测试漏洞时实施抓取数据、夸大漏洞、泄露安全信息并牟取利益等，最终遭致报警这一“撒手锏”，也波及整个“白帽子”群体的公信力。
　　2.“白帽子”现象的法治剖析
　　当前，从“白帽子”实施测试、发现漏并提交漏洞以及披露漏洞信息等通用的行业准则看，“白帽子”善意侵入网络、获取相关数据等行为有以下特点，主要为：（1）“白帽子”的善意测试行为通常都在双方的合理控制下，已经被追究法律责任的“白帽子”往往限于单方面行为，并且附随恶意入侵或事后采取不理性的恶意攻击行为等，而且有关公司也未经授权或不予同意。（2）“白帽子”侵入并获取数据的多少与测试范围大小有关，一般获取数据适度偏多，测试范围适度扩大，发现并证明漏洞的证据更可靠。这是不成文的行规，但技术拿捏很难，实践中容易超出企业的安全容忍底线。因此，判断“白帽子”的行为是否违法犯罪，应当侧重技术层面的考虑；可以考虑由中立的第三方技术平台或行业委员会进行专业评价，对是否明显超越“白帽子”的行业技术标准作出专业认定，并用于确定相关人员的法律责任。（3）第三方平台对“白帽子”提交的漏洞按照行规审查，符合行规的才提交并根据企业的反馈打分，形成了较为可靠的内部风险控制机制与专业技术审核程序。同时，证据越详细、发现危害越大的漏洞，“白帽子”的行业的技术地位、身份越高。这是相互依存的两个方面。因而，只要保持友好协商机制，“白帽子”、第三方平台和互联网业界三者可以“相安无事”。（4）很多企业网络安全工作人员具有一定的“白帽子”经验或常识，大部分企业的网络安全管理部门与工作人员可以从技术和经验上识别“白帽子”的善意测试与黑客的恶意攻击行为。互联网业界应当尽量包容或谅解“白帽子”的行为，有关部门应遵循“底线思维”，审慎地追究“白帽子”的法律责任。（5）按照国际黑名单惯例的一般规则，如果被测试的公司明确对外告知或个别明确拒绝“白帽子”的测试行为或第三平台的“进入”，则“白帽子”按照行规不会主动测试或继续测试，否则是恶意攻击，可能涉嫌违法犯罪。因此，是否有事先授权、事后认可、基于行业默契的认可等，都成为判断“恶意攻击”的重要因素。
　　鉴于此，从“白帽子”群体的行业运行模式看，在行业规则的前提下，通常能够成功游走于法律的边缘而不至于涉嫌违法犯罪，理由为：一是“白帽子”完全站在网络黑客的对立面，是正义的力量，也是该群体的立足治本。二是“白帽子”、第三方平台与被测试企业之间已经形成稳定的行业默契与友好关系。但是，这种基于共同维护网络安全的“默契”，以一定的危害容忍度、安全与发展之间价值权衡的底线等为前提；“白帽子”擅自获取数据、改变网络系统运行程序、私自索费等无必要或不相关的测试行为，容易触发企业维权的红线 [3]。对于“白帽子”的违法犯罪行为，第三方平台作为行业自治组织也难脱管理不当的干系。
　　二、“白帽子”行为的罪责边界
　　尽管“白帽子”及第三方平台与企业往往可以相安无事。但该群体仍处于法律的灰色地带，测试披露行为也时刻处于违法犯罪的边缘。备受关注的袁某案无疑再次掀开“白帽子”仅有的遮光布和避风港，厘定“白帽子”群体行为的罪责边界刻不容缓。一般而言，在第三方平台的行业协同下，“白帽子”善意的无偿测试行为不同于黑客的恶意侵入和攻击行为，按照国际惯例与国内的行业规则，并不违反行政法规，不具有刑事违法性与社会危害性，不构成相关犯罪。
　　（一）“利他”效应：合规合理的公开测试
　　1.测试行为符合相关行业规则，不具有刑事违法性
　　在网络安全日益重要且又极其脆弱之际，网络安全漏洞无处不在。“白帽子”作为自发形成的行业共同体，是与黑客相互制衡的一群IT精英，遵循严谨、审慎的行业道德与操作规则，以友好、温和、必要且无偿的方式测试公司的网络安全并发现漏洞后，并通过第三方平台进行合理的审查确认后及时上报、告知有关企业。从“白帽子”实施合规的测试行为看，遵循中立的测试立场、严格奉行行业操守、认真对待测试内容，并及时对外公开。尽管“白帽子”的行为并未得到明确规定与合法化，然而，行业惯例已经延续至今，是国际社会和各国均有的正常现象。因此，“白帽子”按照行业规范实施的测试行为，不具有刑事违法性，不是违法犯罪行为。《网络安全法》第14条规定：“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。”根据《治安管理处罚法》（2012年修订）第29条的规定，违反国家规定，实施侵入计算机信息系统等行为，可以处以拘留。第29条所提到的“违反国家规定”，首先指向《网络安全法》。但根据第14条的规定，“白帽子”检测后发现漏洞，法律允许通过第三方平台提交给有关部门，而直接提交给企业只要符合行规亦无不当。当然，在实践中，有些“白帽子”未经企业授权，擅自实施检测并单方告知企业，虽然并无恶意且未造成危害结果，却由于未经相关企业的授权或同意，仍处在违法犯罪的边缘。从合理规避刑事风险的角度看，“白帽子”及第三方平台应当严禁单独或单方测试，规范并统一检测、报告的行业操作程序，确保检测的规范化与合法化。
　　2.测试行为通常不会造成严重后果，缺乏刑事处罚的必要性
　　“白帽子”是往往是IT精英，处在网络技术的“象牙塔”，不可避免地容易滥用技术优势，也是各方担心“白帽子”并不绝对安全的重要诱因。正是因为“白帽子”身份的可转换性，客观上要求“白帽子”的测试行为遵循严格的必要性原则，履行高度、勤勉的行业注意义务。任何测试漏洞行为均不能超过行业群体共同认可的一般侵入程度，不能以明显牺牲企业安全的方式进行测试。实际上，只要友好地按照行业标准规范测试并提交漏洞，企业通常持积极认同态度，毕竟“白帽子”侵入企业网络的行为都处在可控的技术范围，并未造成严重的危害结果，反而维护企业网络安全。因此，“白帽子”实施合规的测试行为通常不具有实质的社会危害性。从刑法教义学看，行为构成犯罪是追究刑事责任的唯一法律标准，也是依法启动刑事制裁的首要依据，既然缺乏社会危害性性与刑事违法性，则不应追究刑事责任；而且，基于罪刑均衡的需要，以刑制罪倡导的刑罚有效性对定罪量刑可以发挥反向制约作用。 [4]因而，“白帽子”的行为缺乏处罚的实质必要性，刑事处罚难以实现报应和预防效果，甚至扼杀网络正义力量。
　　3.测试行为往往受第三方平台管理，是严谨的专业化行为而非单边行动
　　从国际惯例看，“白帽子”的单边行为是被禁止的。因为单独接触相关企业进行测试，容易触碰企业安全的底线，也容易助长“白帽子”滥用技术优势的侥幸心理。基于行业规范、专业信赖以及合规管理的风控需要，自发而成的第三方平台发挥重要的“中立”角色，成为连通“白帽子”群体与业界的主要对话媒介。通过减少直接接触的方式也客观上消除潜在的行业风险，强化“白帽子”群体的公益性、公开性与行业化。“白帽子”通过第三方平台进行公开、授信的测试，一般不存在企业是否自愿授权、事后确认等涉及测试合法性问题，也一般不存在自行向企业发布漏洞可能引发企业维权等现象。第三方平台作为行业组织，起到非常重要的“风控”作用，确保测试行为的专业化、规范化，“白帽子”通过第三方平台进行测试和披露漏洞，原则上都在技术合理、行为合法的范围内。
　　（二）技术帮助：善意且无偿的“侵入”
　　1.“白帽子”测试披露的主观心态通常是善意
　　网络黑客是网络安全的首要隐患，是国际社会一直打击的现象。因而，与网络黑客身处“过街老鼠、人人喊打”的宿命不同，“白帽子”的主观心态是善意的公益行为 [5]，测试并证明漏洞是正当动机，消除安全漏洞是目的，因而，是网站漏洞的“人肉检测器”和“清道夫”，是维护网络安全的正义一方。从刑法教义学角度看，基于公益目的而实施公开、透明测试行为，具有紧急避险的正当性。《刑法》第21条规定：“为了使国家、公共利益、本人或者他人的人身、财产和其他权利免受正在发生的危险，不得已采取的紧急避险行为，造成损害的，不负刑事责任。”而且，从紧急避险行为的本质特征看，是在两个合法权益相冲突时不得已保全其一而牺牲较小的权益 [6]。“白帽子”基于自身的网络技术优势，虽具有炫耀技术等特定的动机，但最终是为了维护企业网络安全及个人信息安全、国家网络安全等免受已经存在的网络漏洞的破坏。在遵循行业规则的前提下，基于善意的帮助意识与互助安全的目的，采取必要适当的测试手段；尽管侵入企业网络系统往往会造成一定的损害，却试图保护更大的社会利益、国家利益，并且实际上往往都保护企业的网络安全，不应当承担法律责任。当然，如果超过行规的必要限度造成不应有的损失，应担负法律责任。尽管如此，仍应充分考虑善意的紧急避险目的、无偿的技术帮助行为等因素，可以首先考虑援引《刑法》第13条的“但书”，按照“情节显著轻微危害不大的，不认为是犯罪”处理。
　　2.“白帽子”通常是无偿行为
　　“白帽子”通常不从测试漏洞行为中获取企业的相关利益，但适当的劳务补偿或企业自愿感谢费等除外。相比之下，“黑客”发现安全漏洞后，往往利用漏洞从事破坏活动或非法谋取利益（“做黑产”）。“白帽子”作为暗流涌动的互联网时代的特有群体，立足职业初衷、行业声誉等内生因素，出于善意互助的初衷，“白帽子”原则上只能提供无偿行为，并不从被测试企业获利 [7]。反而，同行的专业认可（平台也提供虚拟金币和贡献等精神奖励）才是“白帽子”的真正目的。从犯罪构成原理看，无偿的公益行为，往往不存在故意的危害意图或目的，目的合理性也可以佐证手段的合理性；如若导致一定的危害结果，也应遵循比例原则，在确保目的合理性之间，对手段合理性持必要的刑法宽容精神。公开测试披露行为是无偿的公益行为，理论上并不会触犯《网络安全法》第12条第2款“任何个人和组织使用网络应当遵守宪法法律，不得危害网络安全”的规定。反而，“白帽子”的测试行为原则上并未逾越网络社会的法治底线，完全具备合法化的潜质。
　　（三）安全防护：非强制性与公益性的紧急行为
　　1.测试行为是非强制性的中立行业行为
　　从被测试的企业态度看，往往并不明确反对“白帽子”，毕竟漏洞测试最终有助于提高自身的网络安全系数。而且，基于第三方平台的管理与风控，“白帽子”的测试行为往往并不需要个别地、具体地、单方面进行事先告知或通知，也一般不需要得到相关企业的特定答复或授权；否则，测试的随机性、真实性与有效性将大打折扣，测试的突发性、个别性与偶然性更符合实际需要。这不仅反映测试行为的非强制性、强迫性，也揭示在第三方平台参与的情况下，概括性的测试行为具有行业上的常态性与业界的可接受性。而且，“白帽子”的测试行为往往是免费的善意行为，不存在测试与告知测试结果之间的“不正当交易（对价）关系”。因而，“白帽子”的测试行为一般都不是“强制交易”，一般不涉嫌构成强迫交易罪，因为缺乏强制性的事实基础。与此同时，由于网络安全漏洞具有一定的“使用价值”，既可以作为督促企业改进网络系统安全的“正能量”，也可能成为黑客市场交易的“砝码”。这诱发一些“白帽子”铤而走险。特别是一些第三方测试平台采取一定的商业模式，使测试平台与“白帽子”的商业属性不断增强，非营利性、非经营性的传统特征下降。尽管如此，“白帽子”的测试行为一般不是非法经营行为，因为测试行为并非法定的特殊营业类型，实践中往往不会破坏网络安全测试行业的正常运行。但是，今后确实应当进行规范，如果涉及第三方平台参与的商业运行问题，应按照市场规律操作，合理收费也是趋势。
　　2.测试行为具有公益性预警作用，旨在保护网络安全
　　“白帽子”的“模拟测试（模拟黑客攻击）”并非刑法意义上的非法侵入、破坏计算机信息系统，或非法控制并非法获取信息，并不实质上危害计算机系统安全与网络安全。具体而言：（1）《刑法》第285条第1款规定非法侵入计算机信息系统罪，本罪的主观心态是故意，并往往具有一定的犯罪目的；客观方面是“违法国家规定”，无权或越权的非法访问；犯罪对象是特定的国家事务、国防建设和尖端科学技术领域的计算机信息系统 [8]。显然，非法侵入计算机信息系统罪是行为犯，设置的入罪门槛偏低，凸显从严保护的立法意图。在实践中，“白帽子”的测试行为一般也不符合第285条第1款的规定，因为这类特殊的计算机信息系统一般不会允许“白帽子”或第三方网络平台公开测试并发布漏洞。（2）在袁某案中，可以看出，“获取大量世纪佳缘网站信息”成为事件异化的重要诱因，也因涉嫌非法获取计算机信息系统数据罪被逮捕。在实践中，一些“白帽子”使用的软件可能有自动缓存功能。尽管主观上没有在检测过程中获取数据的意思，但测试软件可能自动将数据存储。这是否属于刑法的获取数据行为存在较大的不确定性。《刑法修正案（七）》增加非法获取计算机信息系统数据罪，是以“违反国家规定”为前提，并往往以非法控制计算机信息系统技术基础，以未经授权擅入或超越权限以及其他非法方式获取数据，主观上是故意，且情节严重的情形 [9]。“白帽子”按照惯例发起测试，一般不符合第285条第2款的规定，因为获得的数据远不至于达到“情节严重”，更遑论缺乏主观上的犯罪故意。（3）“白帽子”的测试行为一般不符合《刑法》第286条规定的破坏计算机信息系统罪，因为缺乏故意破坏的主观恶意，且一般不会造成严重的危害结果。并应警惕和遏制该罪在实践中作为网络犯罪的“口袋罪”倾向 [10]。（4）符合行业规范的测试披露行为，一般不符合《刑法》第286条之一、第287条之一、第287条之二的规定，因为不符合拒不履行信息网络安全管理义务罪的犯罪主体资格，不符合非法利用信息网络罪罪的主客观构成要件，不属于应受刑罚处罚的网络技术帮助行为 [11]。
　　3.测试漏洞行为应视为排除犯罪性的超法规正当化事由并予以法定化
　　测试行为往往能够顺利“过关”并避开刑事风险，看似主要得益于“民不告、官不举”的行业潜规则与容忍默契，而实质是由其行为的正当性、无害性与公益性等因素所决定。当前，“白帽子”的行业规则远未达到规范化、统一化、标准化。个别“白帽子”以身试法容易造成行业失信与企业恐慌，折损“白帽子”的行业声誉与职业认同度，将该群体推向违法犯罪的边缘；一旦遭遇“举报”，刑事风险接踵而至。因此，规范化是合法性的保障。然而，“白帽子”介于网络技术的正义与邪恶的中间地带，技术进步加剧规范判断、价值衡量的博弈，合法化进程无法一蹴而就，而刑法出罪机制不畅也导致司法处置难以统一。尽管合法化任务尚未完成，当前却可以将紧急避险制度作为次优选择，承担特定的出罪功能。不过，由于我国正当化事由的法定化明显不足，包括正当执业行为（中立帮助行为）、被害人同意等具体的超法规正当化事由仍游离于刑法典 [12]，间接限制超法规事由出罪的司法适用率。鉴于此，既应加快“白帽子”行业的规范化进程，也应启动网络环境下正当化事由的刑法立法完善议程，概括性或具体性地规定一些基于网络技术的局限性、危险性等形成的“不可归责”的情形 [13]。对于备受关注的袁某案，应当明确以下几点：一是被害单位为维护网络安全而寻求报警并无过错，不应苛责于企业积极寻求自保的必要性。二是依法实施拘留和批准逮捕并无不当，符合《刑事诉讼法》的规定。三是袁某案直接影响“白帽子”的行业命运，司法机关应当慎重对待。应首先充分肯定“白帽子”维护网络安全的正向能量，梳理相关行业规则，厘定“白帽子”行为的本质特征，保护依规测试的“白帽子”群体，严厉清除“害群之马”，保证业态的有序性。
　　综上所述，袁某案“一石惊起千层浪”，将“白帽子”群体推向公众视野。既提示该群体的刑事风险依旧存在，也向公众展示与“黑客”默默对抗的“白帽子”群体及第三方网络平台身处的法治生态境遇，更督促“白帽子”、第三方平台、被测试企业共同商议更持久、理性与规范化的解决途径。当前，《网络安全法》已颁布实施，袁某案也已结案，但该问题仍需探究，刑法应审慎介入。
　　三、让“白帽子”群体规范有序发展
　　《中国互联网站发展状况及其安全报告（2016）》显示，公共互联网环境仍然面临较为严峻的安全态势。当前，网络安全漏洞的治理已成为国家网络安全保障的基础性环节，全球漏洞披露平台格局逐步成熟，基本形成国家级官方漏洞通报机构、行业第三方漏洞平台和企业自身应急响应中心组成的平台结构。我国行业第三方漏洞平台起步相对较早，“白帽子”群体初具规模，显著地弥补官方平台的不足与企业自身应急中心的空缺。第四届中国互联网安全大会指出，“白帽子”是非常重要的非官方力量，是对抗黑客攻击、完善网络安全环境、提升互联网环境的重要力量 [14]。为此，应加强依法治理和规范行业管理。
　　1.“白帽子”测试行为的规范化
　　《网络安全法》第26条规定：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”“白帽子”应秉持善意利用技术的精神，基于审慎的负责态度，摒弃恶意侵害的不良意图，主动掌握和遵循现行法律规范划定的行为红线，以严格必要为限，最大程度地缩小“查漏（漏洞）”过程中能够获取各类信息的范围。概言之：（1）提高刑事风险意识，确保测试都在合法范围内进行。应遵循比例原则，采取合理、必要的方式发起测试，依规及时报告漏洞，尤其不应附加其他违规违法行为，避免触发侵权责任和刑事责任的“红线”。如果“白帽子”通过测试发现漏洞，以公开漏洞、透露给别人或攻击漏洞相要挟，要求互联网企业支付一定的金钱，可能构成敲诈勒索罪。（2）充分保护用户信息、客户数据。在模拟测试过程中，测试技术不可避免地抓取或保留部分信息或数据，“白帽子”应当严格保密，保护商业秘密或隐私，尤其不能随意使用、泄露等。
　　2.明确网络平台义务及其责任边界
　　“白帽子”与第三方平台是一个整体，“白帽子”测试行为超越法律边界，第三方平台也难辞其咎。为此，应当明确第三方平台的法律地位及其义务，强化内部管理以控制风险外溢。具体而言：（1）应依法确认第三方网络平台的行业组织地位，明确第三方平台的义务和责任。当前，“白帽子”与漏洞平台之间可能存在一种特殊的“商业模式”（安全“众测”或称“众包”的模式），漏洞披露平台接受一些互联网企业的安全外包任务，平台将任务发布给平台上的技术高手完成项目。 [15]这需要明确第三方平台的管理义务。《网络安全法》第11条规定，应加强行业自治，积极履行必要且合理的法定审核义务和管理职责，完善合规注册等配套措施。《网络安全法》第29条第2款规定，有关行业组织建立健全本行业的网络安全保护规范和协作机制。第三方漏洞平台作为自发形成的行业组织，应积极履行网络平台的义务与行业自治的重任。比如，国家信息安全漏洞共享平台暨“补天漏洞”，在袁某案后制定《白帽子行为规范》。（2）第三方平台的风险管理。目前，国内第三方平台基本上定位为“中立方”，对“白帽子”挖掘、提交漏洞行为不承担任何法律责任；在披露机制方面，一般根据平台设定的保护期限决定是否自动公开漏洞，或在企业认领、确认、授权下公开，公布漏洞的信息范围差异很大；在内部管理方面，是否由专门人员负责漏洞审核、验证工作、是否建立实名身份认证体系等不一。为此，应规范测试、平台漏洞收集、披露、授权机制，为“白帽子”与厂商建立合理的、良性的、透明的互动机制；应当确定披露类型、披露主体及期限原则，对重要漏洞信息实施加密传输、存储和证书签名等措施，确保保密性、完整性及可溯源性；应健全会员机制、协议、授权等内容，合法进行漏洞收集、披露工作；应对“白帽子”实施实名实人认证等身份管理，采用信用评级制度，增加身份与行为的可溯源性和可信性；可以和一些官方的机构合作，获得授权后进行漏洞挖掘和披露，降低法律风险，等等。
　　3.摆正技术依赖与安全防备的矛盾关系
　　企业与“白帽子”及第三方平台之间的“默契关系”应当法治化、规范化。主要包括：（1）“白帽子”、第三方平台应与互联网企业友好协商，可以共同达成行业谅解备忘录并制定通用的行业规则。“白帽子”与第三方平台，可以与企业签订安全服务协议，通过获得企业授权和许可，合法挖掘漏洞，合理收取服务费用；可以考虑“白帽子”及第三方平台在测试前向企业发出明确申请，企业可以授权或默认，并及时提出终止请求。（2）企业应重视“白帽子”及第三方平台的协助作用。“白帽子”及第三方漏洞平台是极其重要的外部协助力量，相关企业应当主动协同，相互信任而不应顾此失彼。《网络安全法》第38条、第29条第1款都要求相关企业主体积极寻求专业帮助，体现国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作。
　　4.强化顶层设计，网络立法作出完善
　　“白帽子”的行为边界仍处在模糊状态，应注重立法完善以澄清边界：一是细化行为准则与操作规范，规范漏洞挖掘、披露和利用等行为，通过规范化实现“白帽子”行为的常态性与无害性。特别应明确漏洞挖掘、披露行为的豁免条件，确立相应的技术评价标准、第三方责任评价体系。二是明确第三方漏洞平台的网络平台主体性质、法律地位及权责范围、与“白帽子”的管理关系，解决好管理义务、不作为、单边责任等突出问题。澄清双方的权利义务关系，理顺各自与相关企业的法律关系，积极管控风险。但鉴于《网络安全法》在修改时应当作出回应，暂时可以出台由国家网信办出台具体规定，以解燃眉之急。此外，未来的刑法修改或司法解释可以作出特别规定，为“白帽子”豁免规定相应的法定条件。
　　四、结语
　　由袁某案触发的“白帽子”群体生存现状、“白帽子”测试行为的罪责边界以及第三方漏洞平台的法律责任等问题，只是复杂多变的网络犯罪形态的一个缩影。对“白帽子”行为的定性之争，客观揭示当前因应新型网络犯罪问题的“知识储备匮乏”的尴尬局面，也折射出网络立法与刑法立法的迟缓，更暴露网络刑法理论的适时更新尚未提上议程。不仅急速地撕裂传统刑法理论体系，也呼吁网络刑法体系的知识变革 [16]。为此，加快整体刑法知识变革，才能与时俱进。而秉持刑法谦抑性理念，则是当下处理此类案件的应守之道。