梁天生

?

網絡安全漏洞披露規(guī)則及其體系設計

梁天生

廣東理工學院，廣東 肇慶 526100

隨著社會經濟的發(fā)展，網絡安全漏洞披露已成為網絡安全風險控制的中心環(huán)節(jié)。不規(guī)范或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯法律規(guī)定的灰色地帶。實踐中網絡安全漏洞披露表現(xiàn)為不披露、完全披露、負責任披露和協(xié)同披露等類型。我國現(xiàn)行立法從產品和服務提供者、第三方和國家三個層面提出了網絡安全漏洞合法披露的基本要求，可借鑒域外經驗，以協(xié)同披露為導向，圍繞披露主體、披露對象、披露方式和披露的責任豁免論證和設計網絡安全漏洞披露規(guī)則體系，為安全漏洞披露行為提供明確指引。

網絡安全漏洞；披露；類型；規(guī)則；協(xié)同

引言

近年來，利用網絡安全漏洞實施攻擊的安全事件在全球范圍內頻發(fā)，給網絡空間安全帶來了不可逆的危害。網絡安全漏洞披露已成為網絡安全風險控制的中心環(huán)節(jié)，對于降低風險和分化風險起著至關重要的作用。強化網絡安全漏洞收集、分析、報告、通報等在內的風險預警和信息通報工作已成為國家網絡安全保障的重要組成部分。國內外不同主體基于不同動機和利益驅動開展了廣泛的網絡安全漏洞披露實踐并引發(fā)各方對不利法律后果的反思。

1 網絡安全漏洞披露的概念與類型

1.1 網絡安全漏洞披露的相關概念

漏洞是一個或多個威脅可以利用的一個或一組資產的弱點，是違反某些環(huán)境中安全功能要求的評估對象中的弱點，是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設計及實施中的缺陷、弱點或特性。這些缺陷或弱點可被外部安全威脅利用。漏洞是“非故意”產生的缺陷，具備能被利用而導致安全損害的特性。網絡安全漏洞具備可利用性、難以避免性、普遍性和長存性等技術特征。為強調漏洞可能導致的網絡安全風險，各界基本將漏洞和網絡安全漏洞的概念混用不加區(qū)分。漏洞稱之為內在的脆弱性，與之相對的是外部安全威脅，內部脆弱性和外部安全威脅結合起來共同構成安全風險。針對網絡安全漏洞本身，盡管國內外立法缺少明確的概念界定，但均延續(xù)了傳統(tǒng)信息安全的內外兩分法，將網絡安全漏洞納入安全風險和網絡安全信息范疇予以規(guī)制。

1.2 網絡安全漏洞披露的類型

網絡安全漏洞披露被概括為不披露、完全披露和負責任披露三種類型。從不披露、完全披露、負責任披露到協(xié)同披露，安全漏洞披露類型涉及的利益相關方側重點各有不同，顯示了漏洞披露過程的復雜性，也表明調動各利益相關方共同治理安全漏洞觀念的逐漸成熟和體系化?？傮w來說，以上披露類型在國內外目前的披露實踐中均有出現(xiàn)，且往往交織在一起。近年來，雖然在一定程度上更多的協(xié)同披露動向正在顯現(xiàn)，但漏洞披露環(huán)境在很多方面仍然是割裂的，相關問題依然有待解決。鑒于利益相關方的側重點有所差異，漏洞披露目前仍然沒有統(tǒng)一的標準，但都應以最大限度減少損害的方式進行。

2 我國網絡安全漏洞披露規(guī)則體系設計

2.1 網絡安全漏洞披露的主體

網絡安全漏洞合法披露主體包括以下三類：（1）廠商，即《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）中的產品和服務提供者。廠商對自身的軟硬件負有產品責任和安全保障義務，因此是最初始意義上的安全漏洞發(fā)現(xiàn)者和最無爭議的安全漏洞披露主體。《網絡安全法》第二十二條明確了廠商向用戶和有關主管部門披露安全漏洞的安全義務。

（2）政府機構。政府機構作為合法漏洞披露主體，可包括兩個層次：第一，國家級安全漏洞披露平臺。中國國家信息安全漏洞庫（CNNVD）和國家信息安全漏洞共享平臺（CNVD）承擔國家統(tǒng)一的安全漏洞收集、發(fā)布、驗證、分析、通報、修補等工作，是我國國家級漏洞披露主體代表。第二，安全漏洞披露協(xié)調和決策機構?！毒W絡安全法》第五十一條明確了我國網絡安全監(jiān)測預警和信息通報的工作機制，國家網信部門統(tǒng)籌協(xié)調有關部門統(tǒng)一發(fā)布網絡安全監(jiān)測預警信息?？煽紤]依據此條建立我國國家層面統(tǒng)一的跨部門、多機構網絡安全漏洞披露協(xié)調與共同決策機制，充分發(fā)揮“國家網絡與信息安全信息通報中心”，主導我國網絡安全漏洞披露協(xié)調與決策工作。

（3）網絡安全服務機構。我國網絡安全專業(yè)服務快速發(fā)展，專業(yè)機構開展網絡安全產品和服務、網絡運行管理等方面的安全認證、檢測和風險評估業(yè)務，在提升網絡安全保障能力方面發(fā)揮了重大作用。為進一步發(fā)揮網絡安全服務機構的作用，《網絡安全法》將“網絡安全服務機構”納入責任主體范疇，鼓勵企業(yè)開展網絡安全認證、檢測和風險評估工作；《關鍵信息基礎設施安全保護條例（征求意見稿）》賦予網絡安全服務機構在關鍵信息基礎設施保護中更多的工作內容，并鼓勵其參與關鍵信息基礎設施網絡安全信息共享。

2.2 網絡安全漏洞披露的對象

網絡安全漏洞披露應當有具體的披露對象，具體包括兩類：第一，網絡安全產品和服務的用戶。用戶是產品和服務的直接使用者，也是安全風險發(fā)生后的直接受害者。依據《中華人民共和國合同法》《中華人民共和國消費者權益保護法》等法律規(guī)定，用戶擁有對網絡安全產品和服務的知情權。第二，政府機構?！毒W絡安全法》第二十二條同時要求產品和服務提供者向有關主管部門報告漏洞。在現(xiàn)行立法框架下，國家網信部門、公安部、國家安全部及國家保密行政管理、國家密碼管理和國家行業(yè)主管或監(jiān)管部門等均有可能是此條規(guī)定的“有關主管部門”。本文認為，政府機構基于第二十二條獲得的網絡安全漏洞信息，不僅構成《網絡安全法》第五十一條中監(jiān)測預警信息的重要組成部分，而且成為我國安全漏洞披露協(xié)調和決策機制工作的重要信息來源。

2.3 網絡安全漏洞披露的方式

第一，《網絡安全法》第二十二條規(guī)定的“告知”行為對象是用戶，指網絡產品、服務的提供者基于產品、服務的漏洞“缺陷”向用戶承擔的初始義務和追責依據?！案嬷毙袨閮热莅ㄕf明某個產品或服務存在安全漏洞這一事實、漏洞缺陷可能造成的后果及用戶可以采取的降低風險的措施、補丁修復或者找到其他解決辦法之后的事后信息等。

第二，《網絡安全法》第二十二條規(guī)定的“報告”，明確和完整表述為“向有關主管部門報告”。根據《網絡安全法》第八條的規(guī)定，目前我國形成了國務院電信主管部門、公安部門和其他有關機關各司其職并在網信部門統(tǒng)籌協(xié)調下開展網絡安全保護和監(jiān)督管理工作的職責布局。

第三，《網絡安全法》第二十六條規(guī)定的“發(fā)布”，具有向社會不特定人公開的特性。此概念對應于傳統(tǒng)漏洞披露的“完全披露”類型，向社會發(fā)布會引發(fā)不可逆的各種可能，一旦發(fā)布，將對“告知”與“報告”產生直接影響。因此，《網絡安全法》要求無論網絡產品、服務提供者，或網絡安全服務機構“向社會發(fā)布”，均“應當遵守國家有關規(guī)定”，強調對前置程序的規(guī)范審核[1]。

第四，《網絡安全法》第五十一條規(guī)定的“通報”，具有網絡安全信息共享的特性。其啟動主體、指向對象都會因共享要素考慮的充分性、完備性與否而具有不同體現(xiàn)。

2.4 網絡安全漏洞披露的責任豁免規(guī)定

我國安全漏洞披露同樣應限定在目的合法和行為授權的框架內。安全漏洞披露的責任豁免是指在形式上符合漏洞披露禁止規(guī)定的行為，由于符合免除責任的規(guī)定而從安全漏洞披露規(guī)定的適用中排除，以豁免的形式授予相關主體和行為的合法性。安全漏洞責任豁免規(guī)定具有維護網絡安全、推動網絡安全產業(yè)的創(chuàng)新、實現(xiàn)多方利益平衡的重要價值。

3 結語

綜上所述，我國現(xiàn)行立法已提出網絡安全漏洞合法披露的基本要求，但仍然缺乏對于規(guī)則實現(xiàn)的具體設計，無法為安全漏洞披露行為提供明確指引。美國很早開始從法律和政策層面構建網絡安全漏洞披露規(guī)制，并根據情形不斷調整，呈現(xiàn)從負責任披露到協(xié)同披露變革的趨勢，現(xiàn)階段網絡安全漏洞披露規(guī)則的制定更是上升到與國家安全和政治利益密切相關的高度。

[1]黃道麗. 網絡安全漏洞披露規(guī)則及其體系設計[J]. 暨南學報（哲學社會科學版），2018，40（1）：94-106.

Network Security Vulnerability Disclosure Rules and System Design

Liang Tiansheng

Guangdong Polytechnic College, Guangdong Zhaoqing 526100

With the development of social economy, network security vulnerability disclosure has become the central link of network security risk control. Unregulated or illegal network security disclosures endanger the overall security of cyberspace and highlight the grey areas of the law. In practice, network security vulnerability disclosures are characterized by non-disclosure, full disclosure, responsible disclosure and collaborative disclosure. China’s current legislation proposes the basic requirements for legal disclosure of network security vulnerabilities from three levels, product and service providers, third parties and countries. It can draw on extraterritorial experience and focus on collaborative disclosure, focusing on disclosure subjects, disclosure targets, disclosure methods and disclosures. The liability exemption argument and the design of a network security vulnerability disclosure rule system provide clear guidance for disclosure of security breaches.

network security vulnerability; disclosure; type; rules; collaboration

TP393.08

A