一般人聽到駭客(Hacker)就會反感,覺得就是利用電腦技術來犯罪的人(Cybercriminal),但其實駭客有分「白帽」(White Hat)與「黑帽」(Black Hat)。
「黑帽駭客」是犯罪者,其出發點是惡意的,例如在未經同意的情況下,黑帽駭客就侵入受害者的電腦系統以獲取其利益。
但有些組織會僱用「白帽駭客」(另有稱為「道德駭客」),去試探或入侵該組織的電腦系統以確認這些系統的安全性,並提出建議以提高安全程度。白帽駭客通常會充分披露其研究成果,以便讓整個資安社群都能從他們所蒐集的資料中獲益。白帽駭客的行為是合法的,因為他們有取得該組織的許可,特別是藉由「契約」的管理手法去解決這些資安漏洞風險。換言之,以「契約」作為資安管理的法律工具!
依據行政院國家資通安全會報技術服務中心李婉萍科長的報告指出,在組織資安管理的框架下,依《資通安全管理法》擬定「資通安全維護計畫」時,在資通系統或服務的管理上得委外辦理。
而在資通系統管理上委外辦理的模式可分為:
一、個別契約模式
二、公開邀約模式(例如微軟Bug Bounty Program、臉書 Bug Bounty Program)
三、公開邀約模式的特別款(平台中介模式,例如Hackerone Bug Bounty平台)
其中提到若以契約委外辦理資通服務管理時,應注意「合法」任務範圍的界線(例如:刑法第358條以下之妨害電腦使用罪)、保密及相關期限約定、任務執行的方法、達標認定、駭客資格(操守、能力、年齡、身分、國籍等)及智慧財產權(例如:著作權法第80-2條)等事項。
簡言之,若用「契約」委請白帽駭客執行任務,以持續改進資安管理,須做到事先決定契約的「重要項目或內容」,其約定須包括:任務範圍、任務執行方式、弱點揭露事宜、納入安全港條款(Safe Harbor Rule)。
而契約內容應具體明確並避免歧異與混淆,應載明或臚列包含的網路元件、系統資料、近用限制、允許的方式及手段、目標弱點的型態、回報弱點的方式與限制、多人回報之處理、處理方式的約定與時限。
綜上,用「契約」委請白帽駭客執行任務,以持續改進資安管理,主要的精神在於鼓勵外界參與。所以「契約」建構的機制,必須納入安全港條款(Safe Harbor Rule),明定白帽駭客履行良好的誠信原則或符合法規所定義的標準,即可減少或免除其法律責任或義務。
最後稍微注意的是,在我國民法對於「契約」的類型,有一般常見白紙黑字的契約,也有民法第164條以下的「懸賞廣告」。在資通系統管理上委外辦理的個別契約模式,可定性為一般契約,但在公開邀約模式(例如微軟Bug Bounty Program、臉書 Bug Bounty Program)、公開邀約模式的特別款(平台中介模式,例如Hackerone Bug Bounty平台),應可定性為「懸賞廣告」。其區別實益在於,如果是「優等懸賞廣告」的情形,有權限評定何者「優等」的主辦單位或組織,有絕對的地位與解釋權,參加的白帽駭客恐怕是無法對上開組織主張違約。換言之,評定之結果,廣告人及應徵人均應受其拘束(民法第165-2條規定參照),不得以評定不公而訴請法院裁判,以代評定。