法案以及年网络安全信息共享法案中对于私人实体行为的规定，导致我国对网络安全漏洞治理从业者的不当刑事制裁。因此，我国亟需通过相关法律对关键的主体概念进行界定，将善意因素作为主要评价对象对利益相关方的权利义务加以明确并进行限定，在对网络安全漏洞的法律属性分析后确立受偿机制与披露机制，以更为完善的法律法规为网络安全治理领域提供充足的理论支撑。应明晰网络安全漏洞的法理属性随着信息技术的快速发展，我国网络安全漏洞无处不在，但对其法理属性的界定比较模糊。笔者认为，网络安全漏洞应被认为是种债务预期违约情形。假设明确并进行限定，确立受偿机制与披露机制建立众测平台及白帽子的有效运行机制和综合监管机制，以维护网络安全和相关民众的合法权益。„关键词‟漏洞治理白帽子众测平台受偿权披露权„中图分类号‟„文献标识码‟„文章编号‟网络安全法自年月开始施行，它标志着我国对网络安全领域治理的正式立法。早在此之前，民间自发形成的网络安全漏洞治理产业就已逐步成型。网络安全漏洞的治理包括如下内容通过计算机技术对漏洞的挖掘与测试组织技术人员针对特定系统的测试以众包众民法视角下的网络安全治理法律框架建设论文原稿，尽管有任何其他法律规定，但出于网络安全目的，私人实体可监察该私人实体的信息系统经该另实体的授权和书面同意，另实体的信息系统由私人实体根据本段监控的信息系统存储处理信息。根据这条规定，可以认为网络安全漏洞众测平台是实行以上规定中行为的非公权力主体。按照吴沈括教授的观点，根据刑法第条规定，白帽子有两条基本特征是构成入侵行为，是构成非法获取或非法控制且情节严重。在这两条红线规范下，白帽子与不法黑客的不同点在刑法领域主要体现在两个方面是主观意图不同有网络产品对社会公众提供服务，在服务协议中有用户安全保障规则条款，其中直接规定或可以推知产品运营商有防止由于漏洞被恶意利用导致用户权益受损害的义务。在产品安全漏洞未被发现之前，尽管漏洞依然存在，但是由于未被发现也未被利用，其本身并不具备法律含义。若安全漏洞在被发现并及时告知运营方的情况下，漏洞就成为运营商单方原因导致的预期违约情形，债务人若在漏洞信息强制披露后的合理期限内不进行修补，即构成明示预期违约，应当承担违约责任。白帽子在其中扮演的角色，或家安全国家秘密的情形，应遵循必要的弱化披露处理原则。是保护互联网用户安全和隐私的义务。根据网络安全法第章第章关于网络信息安全的规定与责任条款，平台获得漏洞报告后，应该尽切措施保障漏洞涉及的用户安全和隐私，防止相关信息泄露造成有关主体的法益损害。是尊重漏洞测试从业人员的智力劳动成果与价值的义务。根据电子商务法第条第条的规定，平台有义务对每位报告者反馈的问题都有专人进行跟进分析和处理，并给予及时答复或公告，对于白帽子劳动成果的价值予以认定，不擅自利用关于善意的漏洞测试行为的规制。在司法实践中，绝大部分黑客专门利用网络安全漏洞从事系统破坏行为，司法实践多直接适用刑法第条加以规制，但还有部分黑客仅将漏洞利用行为作为其他犯罪的手段，也就是说在触犯刑法第条第款的同时还触犯其他罪名，大多构成择重罪处罚的牵连犯。这就导致在漏洞利用规制问题上，直接适用刑法第条的案例数量相对较少。当前我国与漏洞治理相关的法律规范过于强调事后救济，多以禁止性规定为主，将情节和后果作为认定犯罪的依据，并不考虑漏洞测试行为人的社相关规定治安管理处罚法刑法侧重于对非授权访问行为的治安处罚和刑事打击。从表面来看已经形成了以治安管理处罚法与刑法为核心的元制裁体系，但实际上该制裁体系较为零散，且对作为漏洞治理的核心行为规制的操作性不强，实践中多通过适用刑法第条加以规制。刑法第条第条规定了非法侵入计算机信息系统罪非法获取计算机信息系统数据非法控制计算机信息系统罪提供侵入非法控制计算机信息系统程序工具罪破坏计算机信息系统罪网络服务渎职罪。实践中，如果漏洞测试者利用系统安全漏洞测试行为又未涉及。民法视角下的网络安全治理法律框架建设论文原稿。本法所称平台内经营者，是指通过电子商务平台销售商品或者提供服务的电子商务经营者。但电子商务平台经营者中是否也包括众测平台呢事实上，网络安全漏洞众测平台并不像天猫京东等互联网销售平台，漏洞测试服务由不以盈利为目的的白帽子提供，众测平台也并不从资金流动中获利，因此白帽子不属于电子商务经营者，而众测平台似乎也谈不上是电子商务平台经营者。年乌云平台停运事件，也暴露出相关法律对网络安全关于安全漏洞测试的相关规定治安管理处罚法刑法侧重于对非授权访问行为的治安处罚和刑事打击。从表面来看已经形成了以治安管理处罚法与刑法为核心的元制裁体系，但实际上该制裁体系较为零散，且对作为漏洞治理的核心行为规制的操作性不强，实践中多通过适用刑法第条加以规制。刑法第条第条规定了非法侵入计算机信息系统罪非法获取计算机信息系统数据非法控制计算机信息系统罪提供侵入非法控制计算机信息系统程序工具罪破坏计算机信息系统罪网络服务渎职罪。实践中，如果漏洞测定，不擅自利用其成果。从权利角度来讲，安全众测平台应享有定的披露权。依据网络安全法第条第款对于法律责任的规定，经营产品的企业应该对产品漏洞有补救义务。由此可知，在企业未尽到补救义务时，平台进行合理程度的披露，有利于促进企业对国家利益社会公益进行及时保护。关于善意的漏洞测试行为的规制。在司法实践中，绝大部分黑客专门利用网络安全漏洞从事系统破坏行为，司法实践多直接适用刑法第条加以规制，但还有部分黑客仅将漏洞利用行为作为其他犯罪的手段，也就是说在触犯刑民法视角下的网络安全治理法律框架建设论文原稿实施了相关行为，就可能触犯上述罪名，最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释也进步明确了以上罪名中情节严重后果严重情节特别严重的判断依据。对于尚未触犯刑法第条第条的违法行为，治安管理处罚法第条规定了拘留的治安处罚。刑法修正案第条中新增了拒不履行信息网络安全管理义务罪，强调了网络运营者对安全漏洞的管理责任，该新增条款适用于漏洞隐患致使用户个人信息泄露而网络服务的提供者不作为的情况，但对漏洞测试行为又未涉位报告者反馈的问题都有专人进行跟进分析和处理，并给予及时答复或公告承诺对于每位以保护用户利益为目的帮助企业提升产品安全质量的报告者，将给予感谢和回馈反对在安全问题解决前公开披露漏洞细节的行为反对和谴责切以漏洞测试为借口，利用安全漏洞进行破坏损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虛拟财产入侵业务系统窃取用户数据恶意传播漏洞等。相对来说，我国网络安全漏洞测试行业的法律法规还不够专门化系统化。治安管理处罚法刑法关于安全漏洞测试造成后果不同。根据两个不同，可以简单地概括出白帽子在法律上的主体概念，即通过技术手段侵入系统获取数据的方式检测查找安全漏洞并加以合法披露的善意第人。民法视角下的网络安全治理法律框架建设论文原稿。明确众测平台和白帽子的义务权利众测平台的义务与权利。参照现行法律规定，众测平台的义务大致可归纳以下几点是保护国家利益社会公益的义务。根据国家安全法第条与保守国家秘密法第条之规定，应认为禁止平台与白帽子对国家秘密涉密国家信息系统漏洞的主动披露，同时对于国洞平台的概念界定还不清晰。众测平台与白帽子的权利义务不明确解决现实中的网络安全漏洞测试披露交易问题，关键要厘清众测平台与白帽子在法律意义上的权利与义务。针对网络安全漏洞测试行业，由于法律法规保护与规制不到位，行业公约或行业协会的自律规定就在实践中充当了替代品。如国家信息安全漏洞共享平台公布的中国互联网协会漏洞信息披露和处臵自律公约互联网安全工作组发布的互联网企业安全漏洞披露与处理公约提出，互联网企业应承诺提供可用的官方安全事件漏洞反馈渠道承诺对者利用系统安全漏洞实施了相关行为，就可能触犯上述罪名，最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释也进步明确了以上罪名中情节严重后果严重情节特别严重的判断依据。对于尚未触犯刑法第条第条的违法行为，治安管理处罚法第条规定了拘留的治安处罚。刑法修正案第条中新增了拒不履行信息网络安全管理义务罪，强调了网络运营者对安全漏洞的管理责任，该新增条款适用于漏洞隐患致使用户个人信息泄露而网络服务的提供者不作为的情况，但对法第条第款的同时还触犯其他罪名，大多构成择重罪处罚的牵连犯。这就导致在漏洞利用规制问题上，直接适用刑法第条的案例数量相对较少。当前我国与漏洞治理相关的法律规范过于强调事后救济，多以禁止性规定为主，将情节和后果作为认定犯罪的依据，并不考虑漏洞测试行为人的社会危害性，这显然并不符合刑法的谦抑性特点。结合国内相关案例看，我国现行法律对漏洞测试者的规制存在两大问题是对漏洞测试持否定性评价，是对测试者自发组织的漏洞测试行为呈现重刑主义倾向。治安管理处罚法刑许可的或者无关国家安全国家秘密的情形，应遵循必要的弱化披露处理原则。是保护互联网用户安全和隐私的义务。根据网络安全法第章第章关于网络信息安全的规定与责任条款，平台获得漏洞报告后，应该尽切措施保障漏洞涉及的用户安全和隐私，防止相关信息泄露造成有关主体的法益损害。是尊重漏洞测试从业人员的智力劳动成果与价值的义务。根据电子商务法第条第条的规定，平台有义务对每位报告者反馈的问题都有专人进行跟进分析和处理，并给予及时答复或公告，对于白帽子劳动成果的价值予以民法视角下的网络安全