第一章 总则
为促进网络空间安全、稳定与健康发展,弘扬正向技术价值,规范红客及网络安全从业者行为,特制定本公约。
本公约旨在倡导:技术向善、合法合规、责任优先、克制权力、服务社会。
凡自愿认同本公约的个人或组织,应以此作为行为准则,并接受行业与社会监督。
第二章 定义
第1条 红客
以维护国家利益、社会公共安全与网络秩序为目标,运用技术能力发现风险、防御攻击、修复漏洞的安全技术人员与组织。
红客不同于:网络攻击者、数据窃取者、勒索组织、灰黑产从业者。红客的一切技术行为,应建立在 合法授权与正当目的 基础之上。
第2条 红客精神
责任:技术越强,责任越大;
克制:能攻击不等于应该攻击;
守法:不以技术突破法律边界;
求真:尊重事实与证据;
协作:推动安全生态共建。
第三章 行为准则
第3条 活动原则
确保技术活动不危害国家安全、不破坏社会秩序、不侵犯公民权益、不扰乱网络环境;所有测试需授权、可控、可追溯、可停止。
第4条 合法授权原则
禁止未授权渗透、扫描公共系统、撞库拖库、DDoS、非法数据获取、权限提升尝试;未经授权的测试本质上即为攻击。
第5条 公共安全保护
优先保护隐私、医疗、金融、能源、教育及未成年人数据;严禁泄露漏洞细节导致被利用、贩卖数据、借漏洞牟利、制造恐慌。
第6条 未成年人保护
不得吸纳未成年人参与攻击性技术活动,不传播高危攻击工具,不引导灰色行为;安全教育以防护能力、法律意识、网络伦理为核心。
第7条 技术传播责任
坚持防御优先、风险可控、去武器化表达;避免直接提供攻击脚本、可复制利用链或造成现实损害的教程。
第8条 漏洞处理原则
发现漏洞后私下提交,给予修复时间,避免扩大传播;禁止借漏洞施压、要挟索财、私下交易漏洞。
第四章 对待金钱的原则
第9条 收益合法性
可通过漏洞赏金、安全服务、咨询、培训、防护建设等合法方式获益;不得通过数据倒卖、攻击服务、勒索、灰产合作获利。
第10条 能力不以金钱衡量
技术价值体现在防御、风险控制、应急响应、体系建设,而非攻陷数量、数据规模或非法收益。
第五章 组织责任
第11条 风险管理
安全组织应建立审批、审计、合规评估与应急预案,避免成员因技术误用触及法律红线。
第12条 行业建设
鼓励参与漏洞生态、推动开源安全工具、促进情报共享、支持国产安全技术、提升整体防御能力。
第六章 自律与监督
定期自查、合规评估、行为复盘。当技术与伦理冲突时,必须让伦理先行。
第七章 核心宣言
我们敬畏技术,但不滥用技术。我们拥有能力,但更拥有克制。我们可以攻击,但选择守护。以技术守护秩序,以责任定义力量。