网络安全漏洞挖掘的法律规制研究

摘要 网络安全漏洞的挖掘、披露、交易、修复日益成为各国网络安全治理的中心议题。“袁炜案”直接表明了我国现行法对网络安全漏洞挖掘行为的否定性态度,《刑法》第二百八十五条前两款对善意黑客的漏洞挖掘行为构成了不当限制,应当通过《网络安全法》第二十六条对其在漏洞挖掘领域的适用进行严格的限缩解释,并围绕《网络安全法》从立法论的角度重塑漏洞管理机制。在充分考虑网络安全漏洞自身动态性、复杂性、开放性的基础上,从国家安全的高度把握漏洞挖掘治理,健全漏洞挖掘立法体系;完善漏洞库并配套漏洞评级机制;明确公私合作框架,对挖掘主体进行备案;在遵循现有实践的基础上对挖掘行为分级授权,并进一步强化漏洞的跨境流动应对。