陳慶春

劍心認(rèn)識一個在杭州上大學(xué)的學(xué)生，兩個人沒有見過面，平時只通過QQ進(jìn)行交流。此人在QQ上的網(wǎng)名叫“Z++”。Z++的獨(dú)特之處在于，他靠著給Google發(fā)現(xiàn)安全漏洞已是收獲不菲。我與Z++交流時，他正好在前一天收到了Google寄過來的1500美元。在我為此驚嘆時，Z++發(fā)給我一條信息：“Google和Facebook獎勵我發(fā)現(xiàn)漏洞的錢加起來，應(yīng)該能把大學(xué)所有的花費(fèi)都給報(bào)銷了。”

說起這個事情，劍心總是透露出一絲酸意，“我們給國內(nèi)企業(yè)找漏洞，非但沒有獎勵，還經(jīng)常被無端指責(zé)成‘炫耀、‘惡意，而烏云平臺自成立以來沒收過一分錢，完全是公益行為?！痹诎踩蔀楸娛钢牡慕裉?，Google獎勵漏洞的行為成為中國企業(yè)解決安全問題的一個榜樣。

獎勵漏洞計(jì)劃

Google從2010年10月開始啟動獎勵漏洞計(jì)劃。谷歌產(chǎn)品安全團(tuán)隊(duì)在官方博客中說明了來意：“該計(jì)劃旨在尋找任何影響用戶數(shù)據(jù)保密性和完整性的嚴(yán)重漏洞。”“希望該計(jì)劃能夠吸引更多的開發(fā)人員，從而確保谷歌的產(chǎn)品更安全?！?/p>

根據(jù)漏洞的嚴(yán)重程度，Google規(guī)定開發(fā)人員所獲得的獎勵額度也不盡相同，分為500美元、1000美元、1337美元和3133美元不等。據(jù)悉到目前為止，谷歌已經(jīng)累計(jì)發(fā)放了72.9萬美元獎金。所涵蓋的谷歌產(chǎn)品包括YouTube、Orkut、Blogger、Google Docs和Gmail等Web產(chǎn)品。日前Google宣布，該計(jì)劃范圍最新增加Chrome OS操作系統(tǒng)。

Facebook則是于去年6月開始向發(fā)現(xiàn)Facebook漏洞的研究人員派送獎金。根據(jù)漏洞的嚴(yán)重程度，F(xiàn)acebook向其獎勵500美元到5000美元不等的現(xiàn)金。至今為止，F(xiàn)acebook已經(jīng)支付了19萬美元獎金。

無論是72.9萬美元還是19萬美元，對Google和Facebook來說都是九牛一毛。但這種獎勵機(jī)制，讓那些技術(shù)天才有了用武之地，而不用以黑色掩面。據(jù)悉，在推出該項(xiàng)目之前，F(xiàn)acebook每周可以發(fā)現(xiàn)2個高危漏洞，現(xiàn)在則升至8個到9個。一個與Z++一樣同是大三學(xué)生的尼爾·普爾，已經(jīng)發(fā)現(xiàn)了15個Facebook漏洞。善意發(fā)現(xiàn)的漏洞越多，黑勢力乘虛而入的機(jī)會就越少。這是一個簡單的道理。

在安全隱患暴露之前，做各項(xiàng)防護(hù)準(zhǔn)備，而當(dāng)安全防線失守之后，國外企業(yè)又采取了怎樣的做法？在IT業(yè)界大凡都知道去年4月份索尼發(fā)生的一起重大泄露事件。索尼PlayStation游戲網(wǎng)絡(luò)遭黑客入侵事件中，索尼PS3和音樂、動畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個人信息被竊取，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達(dá)7700萬人，涉及57個國家和地區(qū)。之后一個月內(nèi)，美國各級聯(lián)邦法院就收到至少40起集團(tuán)訴訟，指控索尼未能充分保護(hù)玩家個人數(shù)據(jù)和信用卡信息。

這類案件通常遵循統(tǒng)一的模式：用戶隱私信息被泄露引發(fā)大規(guī)模訴訟，企業(yè)為了維護(hù)信譽(yù)支付巨額賠償金。最終索尼正式道歉并對用戶做出補(bǔ)償。追溯更早的一起安全事件，結(jié)果也同樣如此。2004年，日本雅虎約有460萬用戶的個人信息外露，日本雅虎向每位用戶“賠償”6美元購物券。

這些有責(zé)任的企業(yè)獎賠行為，必然帶來安全的良性循環(huán)。安全本身就是一個永無止境的事情，誰也不能保證有一天就絕對安全。做安全是需要日積月累的投入，才能夯實(shí)安全的堡壘。

騰訊安全GM楊勇也很羨慕發(fā)達(dá)國家對安全的重視，“國外有各種各樣的論壇，比如blackhat、bluehat論壇等，讓人感覺安全是一步一步做出來的?！睏钣律踔劣X得，在國外，像Google和Facebook這樣的獎勵計(jì)劃還不是最好的模式，因?yàn)槁┒醇墑e如何定，可能會在發(fā)現(xiàn)漏洞者和組織者之間產(chǎn)生間隙，比如發(fā)現(xiàn)者用心險(xiǎn)惡不滿組織者所定級別，就會發(fā)生惡意攻擊的行為。所以，他更推崇idefense的模式，即：發(fā)現(xiàn)者向idefense平臺提供漏洞，由idefense定級，企業(yè)來認(rèn)領(lǐng)并進(jìn)入獎勵流程。

與國外企業(yè)所營造的安全機(jī)制相比，國內(nèi)已被落下至少兩個身位的距離。但國內(nèi)企業(yè)何時才能意識到解決問題的關(guān)鍵所在？楊勇覺得，國內(nèi)企業(yè)大多先要商業(yè)后要安全，只有當(dāng)消費(fèi)者因?yàn)榘踩珕栴}而放棄這個企業(yè)，也就是當(dāng)安全成為產(chǎn)品體驗(yàn)的一部分、安全問題大幅影響到企業(yè)的商業(yè)收入時，企業(yè)才會想到要改一改安全機(jī)制。

回過頭來再想想此次CSDN密碼泄露事件的整個過程，CSDN等網(wǎng)絡(luò)服務(wù)提供者，既是黑客入侵受害者，對用戶而言，也是密碼泄露責(zé)任者之一，用戶能否追責(zé)？奇虎360副總裁石曉虹笑著反問，“請問你的賬號被泄露，你因此損失了多少財(cái)產(chǎn)？你自己能算清楚嗎？如果算不清楚，連立案都不給你立案，你又怎么追責(zé)？”

從某種程度來說，國家立法的滯后也縱容了國內(nèi)企業(yè)的不負(fù)責(zé)任行為。

國家應(yīng)監(jiān)管

知道英國汽車品牌勞斯萊斯的人很多，但是知道“紅旗法規(guī)”的人不多。1865年英國制定了“紅旗法規(guī)”，為了避免汽車的噪音、尾氣污染和行人的不安全因素，該法規(guī)規(guī)定汽車必須有兩人以上參加駕駛，車前方55米處必須有人高舉紅旗或紅燈開路，示意馬車、行人避讓。這條法規(guī)執(zhí)行多年，有人說英國汽車產(chǎn)業(yè)的落后與此法規(guī)有關(guān)。

汽車所帶來的問題，需要的是汽車產(chǎn)業(yè)的技術(shù)創(chuàng)新和整個社會交通治理水平的不斷提高，而不是簡簡單單的將其拒絕。毫無疑問，對于信息安全，我們也不能制定所謂的“紅旗法規(guī)”，而是需要整個產(chǎn)業(yè)和社會共同努力，才能有一個安全放心的網(wǎng)絡(luò)環(huán)境。

中國網(wǎng)絡(luò)法律網(wǎng)首席法律顧問趙占領(lǐng)認(rèn)為，《刑法》有明確規(guī)定，入侵計(jì)算機(jī)系統(tǒng)，獲取其中存儲的數(shù)據(jù)或者實(shí)施非法控制的都構(gòu)成犯罪，一般處3年以下有期徒刑，情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑。

趙占領(lǐng)還提出了三個追責(zé)方向：一是向公關(guān)機(jī)關(guān)報(bào)案，通過刑事途徑追究黑客的責(zé)任；二是直接向黑客索賠，前提是查出黑客真實(shí)身份，目前僅靠個人力量很有難度；三是看看網(wǎng)站有沒有過錯，有沒有盡到基本的信息安全保障義務(wù)，有過錯的話可以向網(wǎng)站索賠。

但是，黑客是誰？另外，《刑法》的適用門檻比較高，需要“違反國家規(guī)定”和“情節(jié)嚴(yán)重”的條件，何況這兩個條件目前都缺乏相應(yīng)的標(biāo)準(zhǔn)。

同樣的情況，2009年，全國人大常委會還出臺《侵權(quán)責(zé)任法》，規(guī)定網(wǎng)絡(luò)服務(wù)提供者和網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任;網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。2010年，全國人大常委會又專門制定了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，重申各種互聯(lián)網(wǎng)違法的刑事責(zé)任和民事責(zé)任。但是，《侵權(quán)責(zé)任法》的適用，在網(wǎng)絡(luò)環(huán)境下，當(dāng)事人舉證非常困難，而且存在成本投入和收益不對稱的情況。誰會為了一個賬號跑斷腿？

事實(shí)上，從當(dāng)前立法來看，我國有多部法律法規(guī)都有涉及個人信息法律保護(hù)的內(nèi)容。同時，在重要行業(yè)的信息保護(hù)方面，金融、醫(yī)療等重要行業(yè)也有部分個人數(shù)據(jù)保護(hù)的相關(guān)法律規(guī)定。

但是，整體上我國并沒有完整的統(tǒng)一的個人數(shù)據(jù)保護(hù)法，個人數(shù)據(jù)保護(hù)規(guī)則有待完善?！缎谭ā泛汀肚謾?quán)責(zé)任法》都屬于事后救濟(jì)，在網(wǎng)絡(luò)時代，由于損害的發(fā)生是系統(tǒng)性的、不可復(fù)原的，所以對網(wǎng)絡(luò)安全以及個人信息進(jìn)行全流程的監(jiān)管才更為有效。目前對于這種全流程的監(jiān)管，中國既缺乏專門的法律，也沒有專門的執(zhí)法機(jī)關(guān)，搜集個人資料的企業(yè)所應(yīng)承擔(dān)的相應(yīng)的安全責(zé)任以及相應(yīng)的信息流管理行為規(guī)范都缺失。

此時，法國在流程監(jiān)管上就起到了表率的作用。法國于1978年通過了《數(shù)據(jù)處理、檔案與自由法案》，其中第一條明確規(guī)定立法原則：信息應(yīng)該為每一個公民服務(wù)。其次，獨(dú)立專業(yè)的監(jiān)管機(jī)構(gòu)。國家信息與自由委員會（CNIL）為法國個人數(shù)據(jù)保護(hù)機(jī)構(gòu)，其為獨(dú)立的行政機(jī)構(gòu)，由1978年個人信息保護(hù)法案成立。該機(jī)構(gòu)不接受任何其他機(jī)構(gòu)指示，直接向議會負(fù)責(zé)，其主要職責(zé)在于保護(hù)個人隱私與自由。

CNIL會審查管理個人數(shù)據(jù)：個人信息的收集與處理通常需要向其申報(bào)或獲得許可。該委員會具有一系列強(qiáng)制措施。從2004年8月修改該法案后，CNIL對于違反相關(guān)法律者可以罰款最高至30萬歐元或5年監(jiān)禁。CNIL還接受民眾個人信息與隱私被侵犯等相關(guān)投訴，向政府提出個人信息保護(hù)相關(guān)立法建議，接受政府在個人信息保護(hù)立法方面的咨詢。而且會向數(shù)據(jù)庫負(fù)責(zé)人提出履行個人信息保護(hù)義務(wù)的相關(guān)建議。

對于信息安全方面的事件，網(wǎng)絡(luò)服務(wù)提供商有義務(wù)向CNIL報(bào)告并接受其相關(guān)檢查。在數(shù)據(jù)安全方面，數(shù)據(jù)處理負(fù)責(zé)人必須采取與數(shù)據(jù)性質(zhì)相適應(yīng)的物理安全措施與信息系統(tǒng)安全措施。違反該規(guī)定可能被處于最高30萬歐元的罰款及5年的監(jiān)禁。

在法國實(shí)例的對照下，我國即將推行的實(shí)名制，以及公安部對兩名發(fā)布安全漏洞者的處理方式，均有待商榷。其一，在不安全的情況下實(shí)名制會造成更大的不安全隱患，韓國曾于2007年實(shí)施實(shí)名制，在安全隱患的挑戰(zhàn)下，去年不得已又改了回來；其二，在公安部的處理決定中，首先發(fā)布消息的“臭小子”得到了訓(xùn)誡，發(fā)布京東商城安全漏洞的“我心飛翔”以敲詐罪被刑事拘留，國外獎勵發(fā)現(xiàn)漏洞者，我們則懲罰，這是否是一種堵塞言路的做法？