白帽会被“误伤”吗？解读网络犯罪防治法征求意见稿第24、25条

2026年1月31日，《网络犯罪防治法（征求意见稿）》公开征求意见https://mp.weixin.qq.com/s/vw-m36ddSXlDsbXSekdYQw，引发了安全行业的关注。对从业者来说，最直接的疑问往往不是“立法要不要管”，而是：哪些日常工作会被纳入规制范围？合规边界在哪里？我们该如何调整流程？

在条文中，第二十四条与第二十五条与漏洞研究、渗透测试、互联网测量等工作联系最为紧密。本文尝试讨论它们对安全研究人员可能产生的影响，并提出一些可供完善的思路。

本文无意放大焦虑，更希望与各方一同探讨如何才能既保证漏洞研究、互联网测量工作合法合规，又最大程度发挥出民间的网络安全潜力，最大程度释放网络安全防护力量。

整体来看，征求意见稿的方向是清晰的：围绕网络犯罪链条强化治理，特别是对漏洞倒卖、攻击工具传播、对重要系统的情报扩散、未经许可的渗透攻击等行为加大规制力度。这些问题客观存在，也确实需要通过法律手段提高违法成本。

与此同时，网络安全能力提升也高度依赖“正当研究—负责任披露—及时修复—行业共享”的正循环。因此，对相关条款的讨论重点往往落在一个平衡点上：如何在打击黑灰产的同时，尽量避免对善意研究与合规测试产生不必要的摩擦成本。第二十四、二十五条正是这个平衡问题的集中体现。

第二十四条大意是：禁止“违反国家有关规定”实施网络产品安全漏洞的“发现、收集、发布等违法犯罪活动”，并禁止散布传播“重要信息系统的设计方案、网络拓扑、核心源代码等可能危害网络安全的信息”。

从行业视角看，这里有几处容易引发困惑的点，建议后续通过条文细化或配套解释加以澄清。

1、“违反国家有关规定”指向哪些规则体系？

安全研究人员的工作经常涉及：漏洞复现验证、编写PoC、测算影响面、向厂商或漏洞平台提交、在论文/会议中披露研究细节等。

如果条文仅以“违反国家有关规定”作概括性表述，而不清晰指向具体规则体系（或不在法律/解释中给出可操作的合规路径），从业者在实际执行中会遇到一个现实问题：难以判断“合规披露”和“违规发布”之间的界线。

实践中，不同的披露渠道（厂商私报、CNVD/CNNVD、行业SRC、学术论文公开、GitHub发布）合规属性并不相同。对这些行为的分类与边界，如果能进一步明确，会显著降低行业的不确定性。

2、“发布”是否应当区分不同性质：披露、研究公开、武器化扩散

从效果看，“发布”至少包含三类差异很大的行为：

• 防护性披露：向厂商/运营者/主管漏洞平台报告，促修复；

• 研究性公开：修复后进行脱敏公开，用于学术与工程交流；

• 攻击性扩散：公开完整利用链、批量化脚本，或以牟利方式交易兜售。

不少同仁担心：如果条文语义上不作区分，可能造成“防护性披露”和“攻击性扩散”在字面上被同一词覆盖，进而带来合规成本上升、研究交流趋于保守等连锁反应。

因此，一个可商榷的方向是：将法律重点更聚焦于“武器化扩散/牟利交易/明知用于犯罪仍提供”的行为，同时对“负责任披露”形成更明确的鼓励与保护。

3、关于“重要信息系统相关信息”的范围与例外

第二十四条提到“设计方案、网络拓扑、核心源代码等可能危害网络安全的信息”。这类信息确实敏感，合理规制有必要。

但从安全工作实践看，红队演练复盘、供应链风险研究、态势测量研究等也会在合规授权与脱敏前提下涉及类似内容（例如“边界与关键链路”的抽象描述）。因此，后续若能在条文或解释中补充限定条件，例如：

• 信息是否为非公开敏感信息；
• 是否通过非法手段获取或违反保密义务获取；
• 是否做了必要脱敏；
• 是否具有牟利或帮助犯罪的目的；

将有助于减少对正当复盘与研究交流的误伤风险。

第二十五条对“漏洞探测、渗透性测试等可能影响网络安全的活动”设置了批准/授权与报备要求，并与等保级别挂钩，同时要求实施前5个工作日向公安机关报告。

对企业安全团队、测评机构、研究团队来说，可能带来几项比较直接的流程影响。

1、等保级别作为门槛，但研究者经常无法得知目标等保级别

在很多场景中（互联网暴露面测量、全网扫描研究、情报验证、供应链组件测绘），研究者并不知道目标系统的等保定级。若以定级作为主要合规门槛，会带来现实困境：无法判断就无法执行。

一个可探讨的方向是：将合规判断更多建立在“是否获得运营者授权、测试是否为高风险动作、是否造成实质影响”等更可操作的要素上，而非研究者难以获取的信息。

2 、“可能影响网络安全”的覆盖面很大，建议分层：高风险测试 vs 低风险测量

如果不区分技术动作风险，“可能影响”的表述可能把低影响测量（端口探测、Banner抓取、非侵入指纹识别等）也纳入较重的审批/报备流程。

从行业经验看，更可落地的做法往往是：

• 对高风险动作（利用验证、绕过认证、写入数据、可能影响可用性）设置更严格要求；
• 对低风险测量明确豁免或简化程序。

这样既便于执法聚焦，也更符合安全运营的日常需要。

3 “提前5个工作日报告”对红队与应急场景的适配性

红队演练与应急处置具有很强的时效性，固定“提前5个工作日”并不总能满足现实。一个温和的建议是：对不同场景设置不同规则，例如：

• 例行、计划性测试：可提前备案或按计划报告；
• 应急处置、重大漏洞复测：允许缩短时限或事后补报；

以避免影响快速响应。

综合第二十四、二十五条，行业比较期待看到的完善方向，可能包括：

1 、建立“善意安全研究与负责任披露”的安全港条款

明确在授权或负责任披露框架下开展的研究与报告，不作为违法犯罪活动处理。

2 、对“发布”分层治理

鼓励合规披露，审慎对待修复后脱敏公开，重点打击武器化扩散与牟利交易。

3、 对重要系统敏感信息的范围增加限定与例外

在“非公开、非法获取、未脱敏、具有危害目的或造成现实风险”等要素上做更清晰的构成要件描述。

4、 第二十五条风险分级、程序分层

以“授权为主、备案为主、审批为例外”为总体思路，并将低风险测量纳入豁免/简化范围。

5、 对紧急场景提供更贴近实务的时限安排

例如允许事后补报或缩短时限，以兼顾监管与效率。

对安全从业者而言，法律的意义不仅在于“禁止”，也在于“明确”：明确边界、明确路径、明确责任，才能让合规成本可控，让防护能力可持续。

第二十四、二十五条引发讨论，本质上反映了行业对“打击黑灰产”目标的认同，以及对“如何不误伤正当研究与合规测试”的现实关切。

希望本文能帮助大家先把影响点梳理清楚：哪些工作需要更规范的授权与留痕，哪些披露方式需要更谨慎的流程设计，哪些研究动作可能需要在后续配套细则中争取更明确的豁免或简化。也欢迎更多从业者以建设性方式提出意见，把规则打磨得更清晰、更可执行，让安全行业的正向循环更顺畅。