趙麗莉 鐘晗

摘要：伴隨互聯(lián)網(wǎng)和信息化的迅猛發(fā)展，網(wǎng)絡(luò)安全對國家經(jīng)濟(jì)、社會(huì)生活甚至國家安全的影響日益增強(qiáng)。與此同時(shí)，銀行、電信網(wǎng)絡(luò)、政府部門等關(guān)鍵基礎(chǔ)設(shè)施、大型商業(yè)網(wǎng)站、云服務(wù)、工業(yè)控制系統(tǒng)均日益成為網(wǎng)絡(luò)攻擊重點(diǎn)；基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、通用軟硬件的漏洞攻擊風(fēng)險(xiǎn)、大型網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)安全事件頻發(fā)，信息披露訴求應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全事件信息披露機(jī)制可有效防控惡意軟件、漏洞風(fēng)險(xiǎn)、數(shù)據(jù)泄漏等網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)和威脅。為此，為進(jìn)一步明確網(wǎng)絡(luò)空間各主體有效管理和規(guī)制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的責(zé)任，建構(gòu)系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制具有現(xiàn)實(shí)必要性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)與威脅；信息披露；體系化

中圖分類號：D9228 文獻(xiàn)標(biāo)志碼：A 文章編號：

10085831（2017）01010906

一、網(wǎng)絡(luò)安全事件披露機(jī)制的提出與界定

（一）問題的提出

在互聯(lián)網(wǎng)全面發(fā)展之際，互聯(lián)網(wǎng)已深入國家政治、經(jīng)濟(jì)、文化、醫(yī)療、教育等社會(huì)生產(chǎn)、生活的各個(gè)領(lǐng)域，“互聯(lián)網(wǎng)+”新時(shí)代模式開啟。然而網(wǎng)絡(luò)欺詐，政府網(wǎng)站等關(guān)鍵基礎(chǔ)設(shè)施被攻擊，重要信息被泄露，恐怖分子等不法分子利用互聯(lián)網(wǎng)策劃組織暴力恐怖事件等網(wǎng)絡(luò)安全事件頻發(fā)。當(dāng)頻發(fā)的網(wǎng)絡(luò)事件關(guān)乎信息系統(tǒng)和信息內(nèi)容安全，使公民、組織的信息安全以及公共安全和國家安全被威脅時(shí)，為了能夠?qū)崟r(shí)控制網(wǎng)絡(luò)安全應(yīng)用過程，提高網(wǎng)絡(luò)安全事件治理的透明度，適時(shí)的網(wǎng)絡(luò)安全事件信息披露就顯得非常必要。此外，網(wǎng)絡(luò)安全事件產(chǎn)生因素多樣，產(chǎn)生的風(fēng)險(xiǎn)具有不確定性、不可逆性，而且產(chǎn)生損害的時(shí)間非常短，若不能及時(shí)告知，則產(chǎn)生的損害將無法恢復(fù)和估計(jì)。在美國，已有45個(gè)州出臺(tái)要求公司或政府機(jī)構(gòu)披露入侵有關(guān)個(gè)人信息事件的法案[1]。2015年6月19日《中國互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》簽署，包括國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）、重要行業(yè)部門、基礎(chǔ)設(shè)施部門、軟硬件廠商以及網(wǎng)絡(luò)安全企業(yè)等在內(nèi)的32家單位參與，該公約以行業(yè)自律方式規(guī)范網(wǎng)絡(luò)安全事件之漏洞信息的披露工作。但中國文獻(xiàn)鮮少研究不同部門、機(jī)構(gòu)和人員的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題，而是更多地從技術(shù)角度關(guān)注安全事件的發(fā)現(xiàn)、處置，或者從宏觀視角研究網(wǎng)絡(luò)安全保障問題。當(dāng)網(wǎng)絡(luò)安全事件發(fā)現(xiàn)及預(yù)警通報(bào)的信息披露工作在應(yīng)對網(wǎng)絡(luò)安全威脅方面的作用日益凸顯時(shí)，以網(wǎng)絡(luò)安全治理視角探索系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題就成為值得深思的問題。目前的立法并未對需披露的網(wǎng)絡(luò)安全事件進(jìn)行等級分類，也未涉及多大范圍內(nèi)披露和披露什么內(nèi)容以及披露時(shí)間等具體規(guī)定。

（二）網(wǎng)絡(luò)安全事件信息披露機(jī)制界定

網(wǎng)絡(luò)安全事件主要涉及影響互聯(lián)網(wǎng)安全運(yùn)行的事件、波及較大范圍互聯(lián)網(wǎng)用戶事件和涉及政府部門和重要信息系統(tǒng)的事件，事件類型主要包括漏洞、網(wǎng)頁仿冒、網(wǎng)頁篡改、惡意程序、網(wǎng)站后門、網(wǎng)頁掛馬、拒絕服務(wù)攻擊等方面。網(wǎng)絡(luò)安全事件信息披露機(jī)制作為廣義信息披露的一種，其披露的信息范圍即是與特定網(wǎng)絡(luò)安全事件相關(guān)的風(fēng)險(xiǎn)信息，主要包括信息系統(tǒng)功能性風(fēng)險(xiǎn)和信息安全內(nèi)容風(fēng)險(xiǎn)。功能性風(fēng)險(xiǎn)主要指針對信息系統(tǒng)實(shí)體安全和信息系統(tǒng)運(yùn)行安全兩個(gè)方面。前者指信息系統(tǒng)設(shè)備、設(shè)施免受破壞；后者指防止信息系統(tǒng)被非法侵入，信息系統(tǒng)因病毒等破壞性程序的感染或其他非法攻擊而遭受損害，網(wǎng)絡(luò)或通信服務(wù)被非正常中斷，使信息網(wǎng)絡(luò)或通信系統(tǒng)不能正常運(yùn)行等危害。網(wǎng)絡(luò)安全內(nèi)容風(fēng)險(xiǎn)則主要包括重要信息泄密、暴力恐怖音視頻內(nèi)容的網(wǎng)絡(luò)傳播等。

網(wǎng)絡(luò)安全事件信息披露本身可以被視為將風(fēng)險(xiǎn)信息公知化的過程，但基于網(wǎng)絡(luò)安全事件信息的敏感性，這一公知過程可能產(chǎn)生潛在的負(fù)面影響。為此，網(wǎng)絡(luò)安全事件信息披露需要在有效機(jī)制的規(guī)范下予以實(shí)施。網(wǎng)絡(luò)安全事件信息披露機(jī)制即是網(wǎng)絡(luò)安全事件信息披露的約束性框架，是對可能造成特定信息系統(tǒng)和信息內(nèi)容安全減損，影響用戶合法權(quán)益，造成人身或財(cái)產(chǎn)損失，或可能產(chǎn)生其他嚴(yán)重危害后果的事件信息進(jìn)行公知活動(dòng)的系統(tǒng)性規(guī)范，包括披露主體、披露內(nèi)容、披露程序、披露時(shí)間、披露對象、相關(guān)責(zé)任和例外規(guī)定等，進(jìn)而有效規(guī)范網(wǎng)絡(luò)安全事件信息披露活動(dòng)。

全保護(hù)工作的重要組成部分，其價(jià)值基礎(chǔ)可以歸納為兩個(gè)方面：（1）有助于防控網(wǎng)絡(luò)安全威脅，可使用戶清晰認(rèn)知網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)，并充分利用披露的信息及時(shí)采取預(yù)防和控制措施，有效預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)的產(chǎn)生，降低或阻止威脅的擴(kuò)大化；（2）可強(qiáng)化國家安全基礎(chǔ)數(shù)據(jù)保障的綜合能力，有效協(xié)調(diào)創(chuàng)新發(fā)展與用戶安全保障矛盾。

（一）防控網(wǎng)絡(luò)安全威脅

隨著信息網(wǎng)絡(luò)滲透于人類生產(chǎn)和生活的方方面面，人類政治、經(jīng)濟(jì)、軍事、科技、文化生活、環(huán)境等各個(gè)方面對信息網(wǎng)絡(luò)的依賴性越來越強(qiáng)，個(gè)人、企業(yè)、民族、國家乃至人類的安全也建立于互聯(lián)網(wǎng)中，網(wǎng)絡(luò)安全已成為關(guān)乎個(gè)人乃至整個(gè)國家的重要問題。CNCERT報(bào)告顯示，僅 2015 年 8 月即收到網(wǎng)絡(luò)安全事件達(dá)9 655 件

國家互聯(lián)網(wǎng)應(yīng)急中心《CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告》（2015年08月）。，[3]。諸如針對信息系統(tǒng)的安全威脅：2014年“全國DNS大劫難”事故中超過85%的用戶遭遇了網(wǎng)速變慢和網(wǎng)站打不開的DNS故障，國內(nèi)2/3網(wǎng)站因此受影響；OpenSSL公布的重大安全漏洞顯示，該安全漏洞正被網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊所利用而成為新的威脅，該漏洞可使任何人讀取系統(tǒng)運(yùn)行的內(nèi)存，安全行業(yè)人士實(shí)踐利用此漏洞可實(shí)時(shí)獲取網(wǎng)站、電商、網(wǎng)上支付等網(wǎng)站用戶賬號和密碼，并實(shí)現(xiàn)成功登陸[3]。該漏洞已使網(wǎng)站、即時(shí)聊天、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻等系統(tǒng)遭受安全風(fēng)險(xiǎn)和威脅。美國《福布斯》網(wǎng)站報(bào)道一款漏洞“可被黑客利用在不被檢測情況下實(shí)現(xiàn)對全球八成個(gè)人電腦、網(wǎng)絡(luò)應(yīng)用或者云端虛擬機(jī)實(shí)現(xiàn)監(jiān)控”[4]。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2015年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，諸多網(wǎng)絡(luò)安全威脅伴隨信息化的不斷發(fā)展而產(chǎn)生，包括重要信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、智能終端領(lǐng)域軟硬件漏洞攻擊；重要網(wǎng)站域名解析篡改攻擊；工業(yè)控制系統(tǒng)、移動(dòng)應(yīng)用程序惡意軟件攻擊；分布式反射性的拒絕服務(wù)攻擊；網(wǎng)站數(shù)據(jù)和個(gè)人信息泄漏等方面[5]。2016年該工具被爆出的DROWN安全漏洞又使國內(nèi)10萬余家網(wǎng)站受影響。另據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNERT/CC）2016年第39期發(fā)布的互聯(lián)網(wǎng)安全威脅報(bào)告顯示，僅2016年9月19日至25日一周內(nèi)“境內(nèi)感染網(wǎng)絡(luò)病毒主機(jī)數(shù)591萬；網(wǎng)站被篡改數(shù)量為2 477個(gè)，包括政府網(wǎng)站53個(gè)；新增信息系統(tǒng)安全漏洞257個(gè)，其中，高危漏洞146個(gè)；處理各類網(wǎng)絡(luò)安全事件622起，包括跨境案件158起”[6]。

此外，近年來針對網(wǎng)絡(luò)信息內(nèi)容的安全威脅事件亦處于頻發(fā)狀態(tài)，且影響后果越來越大：諸如2014年4月黑客利用快遞公司官網(wǎng)漏洞入侵網(wǎng)站，1 400萬條用戶個(gè)人信息被非法竊取，2014年12月25日中國大型交通購票網(wǎng)站12306網(wǎng)站中約10萬多條用戶數(shù)據(jù)被泄漏，包括用戶賬號、密碼、身份證號、手機(jī)號碼以及電子郵箱等重要信息[7]。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報(bào)告顯示，2015 年，該中心抽樣監(jiān)測發(fā)現(xiàn)的惡意軟件程序轉(zhuǎn)發(fā)用戶信息郵件超過66萬封，大量個(gè)人隱私信息可通過郵件被發(fā)送到指定郵箱[8]； 2015年發(fā)生約10萬條應(yīng)屆高考生信息泄漏事件，而2016年更發(fā)生多名學(xué)生更因個(gè)人信息泄漏而引發(fā)學(xué)費(fèi)被騙事件。2016年信誠人壽保險(xiǎn)公司被曝其平臺(tái)面臨客戶銀行卡號、密碼、身份證等重要敏感信息被泄漏的風(fēng)險(xiǎn)。目前，由于教育、金融、醫(yī)療、物流行業(yè)、政府等都與互聯(lián)網(wǎng)密切相關(guān)，這一方面網(wǎng)絡(luò)安全威脅已對各領(lǐng)域重要信息系統(tǒng)安全、公共網(wǎng)絡(luò)環(huán)境安全造成威脅，產(chǎn)生重大突發(fā)網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)。此外，“暴恐音視頻”的網(wǎng)絡(luò)傳播威脅則可在“意識(shí)形態(tài)領(lǐng)域、文化領(lǐng)域”沖擊國家安全和社會(huì)穩(wěn)定，這已成為一些特定區(qū)域網(wǎng)絡(luò)安全威脅的主要內(nèi)容。在國內(nèi)破獲的各種暴力恐怖犯罪，其涉案人員幾乎均觀看收聽了包括宣揚(yáng)暴力恐怖、宗教極端、民族分裂等暴力恐怖音像視頻，其中，互聯(lián)網(wǎng)成為獲得、傳播、觀看和組織實(shí)施恐怖活動(dòng)的重要渠道。

有鑒于此，頻發(fā)的網(wǎng)絡(luò)安全事件無論是針對網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全，還是網(wǎng)絡(luò)信息內(nèi)容安全都已成為關(guān)乎互聯(lián)網(wǎng)健康發(fā)展乃至國家安全和社會(huì)穩(wěn)定的重大問題，而有效的網(wǎng)絡(luò)安全治理機(jī)制尤顯必要和緊迫。鑒于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的動(dòng)態(tài)性，目前的網(wǎng)絡(luò)安全事件治理缺乏一種動(dòng)態(tài)的機(jī)制以實(shí)現(xiàn)對網(wǎng)絡(luò)信息安全事件的前期控制，于是“確立以預(yù)防與控制為核心的治理理念和機(jī)制極為必要”[9]。而網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)即可體現(xiàn)這種預(yù)防與控制的理念，而且“管理和披露信息安全風(fēng)險(xiǎn)也被認(rèn)為是網(wǎng)絡(luò)時(shí)代一些主體的責(zé)任”[10]。面對不斷增長的網(wǎng)絡(luò)安全事件威脅，有效的信息披露機(jī)制確立可使用戶及時(shí)預(yù)判，并因此而防范和控制風(fēng)險(xiǎn)和威脅的產(chǎn)生，從而確保網(wǎng)絡(luò)安全。

（二） 協(xié)調(diào)創(chuàng)新發(fā)展與安全保障之間的矛盾

隨著新一代網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的日常社會(huì)生活方式正在發(fā)生巨大的變化。新一代網(wǎng)絡(luò)技術(shù)已延伸到國家政治、經(jīng)濟(jì)、軍事、科技和文化等各個(gè)方面，滲入到人們的日常生活、社會(huì)活動(dòng)、經(jīng)濟(jì)行為和國家安全的各個(gè)領(lǐng)域，極大地改變了社會(huì)生產(chǎn)生活方式。誠然，互聯(lián)網(wǎng)的不斷發(fā)展創(chuàng)新著各領(lǐng)域產(chǎn)業(yè)的發(fā)展，推動(dòng)了社會(huì)進(jìn)步。然而，互聯(lián)網(wǎng)應(yīng)用云化以及計(jì)算機(jī)等終端通信設(shè)備的普及化也使影響國家安全、社會(huì)穩(wěn)定和個(gè)人隱私安全的網(wǎng)絡(luò)安全事件和行為陡增。因此，在網(wǎng)絡(luò)時(shí)代，在廣泛關(guān)注創(chuàng)新發(fā)展的同時(shí)，當(dāng)面臨網(wǎng)絡(luò)安全事件以及因此而影響到用戶合法權(quán)益、社會(huì)秩序以及公共利益時(shí)，我們不得不正視創(chuàng)新與安全間的沖突[11]。這就需要加強(qiáng)對網(wǎng)絡(luò)安全的防控，而確立有效的信息披露機(jī)制則成為能夠協(xié)調(diào)創(chuàng)新發(fā)展和安全保障的重要防控舉措。例如，Microsoft Windows 任務(wù)管理權(quán)限提升等漏洞可引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件，導(dǎo)致用戶計(jì)算機(jī)被控制。由于包括政府部門、重要信息系統(tǒng)部門以及大量用戶都使用Windows系統(tǒng)，一旦該漏洞被利用而引發(fā)網(wǎng)絡(luò)安全事件，那么網(wǎng)絡(luò)運(yùn)行系統(tǒng)，甚至工業(yè)控制網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施部門以及大量公共、私人用戶網(wǎng)絡(luò)均可遭受攻擊，導(dǎo)致運(yùn)行系統(tǒng)和信息內(nèi)容遭受安全威脅。而一些公司的惡意軟件或者漏洞已經(jīng)造成了實(shí)際的和潛在的損害，這種損害不僅僅使用戶暴露于攻擊之下，也使公司名譽(yù)受損，更嚴(yán)重的是技術(shù)保護(hù)措施所造成的損害不是單一的。因?yàn)樾畔⒓夹g(shù)設(shè)施分布式的本質(zhì)，整個(gè)網(wǎng)絡(luò)安全部分涉及成千上萬的私人電腦，對個(gè)人電腦的攻擊，通過延伸必然涉及網(wǎng)絡(luò)本身，而受攻擊的系統(tǒng)可包含公司、大學(xué)、政府或軍事網(wǎng)絡(luò)。然而，在具體實(shí)施中，必然會(huì)面臨創(chuàng)新發(fā)展與安全的矛盾性。在損害尚未發(fā)生前，一些主體擔(dān)心一旦及時(shí)告知用戶可能造成用戶的恐慌，這不僅危及權(quán)利主體自身利益，影響產(chǎn)業(yè)的發(fā)展，而且也使安全問題的解決陷于困境。于是一些企業(yè)基于信譽(yù)和名聲以及影響發(fā)展的考慮會(huì)選擇隱瞞相關(guān)信息，其結(jié)果可能導(dǎo)致?lián)p失的無限擴(kuò)大。而事實(shí)上，很多私營部門網(wǎng)絡(luò)攻擊入侵的防御體系不完備[12]。盡管安全披露義務(wù)可增加企業(yè)防御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的成本，一定時(shí)期內(nèi)需要犧牲其發(fā)展利益，但是不能以犧牲網(wǎng)絡(luò)安全為代價(jià)而換取行業(yè)或產(chǎn)業(yè)創(chuàng)新發(fā)展，再者信息安全披露義務(wù)也加強(qiáng)了相關(guān)行業(yè)和產(chǎn)業(yè)防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。為此，有必要在發(fā)現(xiàn)漏洞時(shí)及時(shí)披露信息以及明確相應(yīng)漏洞修補(bǔ)程序強(qiáng)制性義務(wù)。

三、網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

網(wǎng)絡(luò)安全事件信息披露機(jī)制的確立具有現(xiàn)實(shí)必要性，而披露義務(wù)的行使單純依靠行業(yè)協(xié)會(huì)的自律并不足以應(yīng)對，“法的功能在于調(diào)節(jié)、調(diào)和與調(diào)解各種錯(cuò)雜和沖突的利益，以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲”[13]。因此，建構(gòu)系統(tǒng)化的信息披露機(jī)制制度是形成網(wǎng)絡(luò)安全保障體系的重要組成部分，也應(yīng)是互聯(lián)網(wǎng)立法中的應(yīng)有內(nèi)容。

（一）信息披露的主體

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)站顯示，包括通信管理局、基礎(chǔ)電信運(yùn)營企業(yè)、非經(jīng)營性互聯(lián)單位、安全企業(yè)及其他一些地方和行業(yè)互聯(lián)網(wǎng)協(xié)會(huì)承擔(dān)向國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào)網(wǎng)絡(luò)信息的工作，但是這并非強(qiáng)制義務(wù)，并非所有主體應(yīng)承擔(dān)強(qiáng)制性信息披露義務(wù)。具體而言，在網(wǎng)絡(luò)安全事件中，具體的披露主體至少應(yīng)包括以下幾類：（1）軟硬件廠商，包括發(fā)布網(wǎng)絡(luò)安全方面軟硬件的企業(yè)。作為軟硬件的直接權(quán)利主體以及直接掌握這些技術(shù)措施信息的主體，理應(yīng)在發(fā)現(xiàn)安全風(fēng)險(xiǎn)時(shí)及時(shí)披露，他們有義務(wù)在向用戶提供服務(wù)時(shí)標(biāo)識(shí)采取的技術(shù)特征信息，包括使用范圍、使用限制、運(yùn)行環(huán)境的要求以及運(yùn)行后可能存在的風(fēng)險(xiǎn)，并在征得用戶完全同意的情況下方能下載或安裝。當(dāng)發(fā)布的產(chǎn)品是眾所周知的能夠引起或可能對用戶系統(tǒng)造成功能性傷害時(shí)，應(yīng)發(fā)布安全通知，告知通過檢測所合理預(yù)測的信息安全問題或別的風(fēng)險(xiǎn)的存在；（2）政府相關(guān)網(wǎng)絡(luò)安全管理部門。作為專門的網(wǎng)絡(luò)安全管理部門，承擔(dān)安全保障的重要職能，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時(shí)及時(shí)向社會(huì)發(fā)布其評估監(jiān)測的內(nèi)容是其職責(zé)范圍之事；（3）涉及重要信息泄露的重要行業(yè)部門，諸如基礎(chǔ)電信部門、醫(yī)療、金融、教育等關(guān)乎大量個(gè)人重要信息和重要產(chǎn)業(yè)信息的部門。由于網(wǎng)絡(luò)安全事件可能波及大量重要信息系統(tǒng)和信息內(nèi)容的泄漏，因此一旦發(fā)現(xiàn)入侵、攻擊、泄漏等風(fēng)險(xiǎn)應(yīng)及時(shí)披露相關(guān)信息。

（二）信息披露的對象

網(wǎng)絡(luò)安全事件信息披露應(yīng)當(dāng)有具體的披露對象，具體而言：一是各類產(chǎn)品的直接用戶。由于用戶是這些產(chǎn)品的直接使用者，也是風(fēng)險(xiǎn)發(fā)生后的直接受害者，依據(jù)《消費(fèi)者權(quán)益保護(hù)法》《合法同》等相關(guān)法律，他們具有對商品或提供服務(wù)的知情權(quán)，因此應(yīng)當(dāng)作為直接披露對象。與此同時(shí)，接受信息的用戶可及時(shí)采取措施針對類似網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全事件作出反應(yīng)，諸如下載補(bǔ)丁程序，或者控制或破壞攻擊病毒，這被認(rèn)為“應(yīng)對網(wǎng)絡(luò)攻擊的重要反應(yīng)，也是規(guī)制網(wǎng)絡(luò)安全的重要環(huán)節(jié)”[12]。

二是網(wǎng)絡(luò)安全的主管機(jī)構(gòu)。由于各部門在各自領(lǐng)域內(nèi)開展相應(yīng)工作，而網(wǎng)絡(luò)安全領(lǐng)域問題涉及面寬且復(fù)雜，可能同時(shí)涉及不同的工作部分。信息網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)安全復(fù)雜性較強(qiáng)，公民、法人和其他組織的合法權(quán)益與社會(huì)利益、公共安全以及國家安全威脅可能同時(shí)存在，當(dāng)涉及由行政機(jī)關(guān)依法執(zhí)行維護(hù)國家安全所保護(hù)的網(wǎng)絡(luò)安全及其他相關(guān)事項(xiàng)產(chǎn)生安全風(fēng)險(xiǎn)時(shí)，相關(guān)主體應(yīng)及時(shí)對各相關(guān)主管機(jī)關(guān)披露。中國對網(wǎng)絡(luò)安全監(jiān)管采取的是分業(yè)縱向監(jiān)管模式，主管機(jī)關(guān)有：國務(wù)院信息化工作領(lǐng)導(dǎo)小組及其辦公室、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門、信息產(chǎn)業(yè)部、國務(wù)院信息產(chǎn)業(yè)主管部分、國家密碼管理機(jī)構(gòu)和國務(wù)院其他有關(guān)部門，它們

在各自領(lǐng)域承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全監(jiān)管職責(zé)。為此，網(wǎng)絡(luò)安全事件可及時(shí)向網(wǎng)絡(luò)安全的主管機(jī)構(gòu)披露，而各網(wǎng)絡(luò)安全主管機(jī)構(gòu)之間應(yīng)實(shí)現(xiàn)信息共享并及時(shí)協(xié)調(diào)，向社會(huì)發(fā)布相關(guān)信息和防控措施。

（三）信息披露主要內(nèi)容及時(shí)間

信息披露內(nèi)容和時(shí)間是信息披露機(jī)制中的重要內(nèi)容。網(wǎng)絡(luò)環(huán)境使網(wǎng)絡(luò)安全事件造成的損害具有不可逆性，損害后果嚴(yán)重，這要求披露義務(wù)主體首先在網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)產(chǎn)生之前，為防范安全風(fēng)險(xiǎn)以及降低損害程度，對于已監(jiān)測的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅信息，有關(guān)部門、機(jī)構(gòu)和人員應(yīng)及時(shí)發(fā)布預(yù)警，告知相關(guān)用戶隱藏的安全風(fēng)險(xiǎn)，包括發(fā)生的可能性、潛在影響范圍和危害程度。諸如近年來，大量基于網(wǎng)絡(luò)應(yīng)用、安全產(chǎn)品、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全漏洞事件曝光，危害影響可涉及電信、移動(dòng)互聯(lián)網(wǎng)、工控體系等不同行業(yè)以及其他公私用戶網(wǎng)絡(luò)與信息安全，于是對漏洞信息適時(shí)的、負(fù)責(zé)任的信息披露就顯得很有必要。

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生后，諸如發(fā)生危害社會(huì)公共秩序，突發(fā)重大社會(huì)安全事件時(shí)，相關(guān)主體應(yīng)及時(shí)（可理解為合理時(shí)間范圍內(nèi)，需要依據(jù)實(shí)際情況判斷）披露網(wǎng)絡(luò)安全事件發(fā)生、發(fā)展情況；實(shí)際產(chǎn)生的安全損害是什么；產(chǎn)生安全風(fēng)險(xiǎn)和威脅的影響范圍是什么以及相應(yīng)事件信息的分析評估與結(jié)果等方面的內(nèi)容。此外，在披露安全風(fēng)險(xiǎn)和威脅信息時(shí)應(yīng)發(fā)布避免和減輕危害的必要解決措施，以使用戶和相關(guān)主體能進(jìn)一步評估其所面臨的風(fēng)險(xiǎn)，進(jìn)而采取相應(yīng)措施應(yīng)對產(chǎn)生的風(fēng)險(xiǎn)和威脅，控制損失的擴(kuò)大化。而對于部分不可提前預(yù)測的安全風(fēng)險(xiǎn)和威脅，也應(yīng)在實(shí)際發(fā)現(xiàn)或威脅實(shí)際產(chǎn)生時(shí)及時(shí)予以披露，以阻止損失發(fā)生。當(dāng)然，當(dāng)及時(shí)披露妨害執(zhí)法機(jī)關(guān)執(zhí)法取證，涉及到危及公眾利益、影響相關(guān)產(chǎn)業(yè)發(fā)展時(shí)，披露應(yīng)暫緩公告。

（四）信息披露要求和責(zé)任

按照信息披露機(jī)制的要求，對于網(wǎng)絡(luò)安全事件的披露應(yīng)是足夠的和有效的，而且“風(fēng)險(xiǎn)披露內(nèi)容應(yīng)該是特殊的和具體的”[9]，即體現(xiàn)披露的充分性。這里的足夠和有效的通知必須使普通用戶能夠充分認(rèn)識(shí)到網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)和威脅，因此上述通知應(yīng)以能夠幫助用戶更容易觀察和閱讀的方式發(fā)布，描述的信息能使使用者在使用產(chǎn)品時(shí)合理地保護(hù)自身信息系統(tǒng)功能和信息內(nèi)容安全，避免眾所周知的和可能的傷害產(chǎn)生。這一要求顯示對于具體的信息披露表達(dá)應(yīng)在顯而易見的地方，并且是令人信服的。對于司法實(shí)踐而言，如果不是輕易地被看見，通常應(yīng)視為經(jīng)營者沒有向用戶提供他們的明確通知，因此不是可執(zhí)行的[14]。比如通過不清楚的鏈接、不顯眼的字體（如腳注字體）、在灰色背景上的灰色類型、不清楚的鏈接標(biāo)簽意圖去警惕用戶關(guān)于披露的存在。對于法庭而言，它判斷的標(biāo)準(zhǔn)不是雙方通常對信息披露內(nèi)容的理解，也不是用戶的實(shí)際理解，而是這一披露是否被以明顯的方式顯示。比如，對于安裝的各類軟硬件產(chǎn)品，或者網(wǎng)站的漏洞風(fēng)險(xiǎn)應(yīng)在其產(chǎn)品或者平臺(tái)顯眼位置發(fā)布明確而詳細(xì)的說明，并獲得用戶的明確同意后予以安裝。與此同時(shí)，對于發(fā)生的網(wǎng)絡(luò)安全事件解決方案的披露除及時(shí)外，也應(yīng)當(dāng)具體和具可操作，如此方可實(shí)現(xiàn)防控風(fēng)險(xiǎn)和威脅的目的。

當(dāng)承擔(dān)披露義務(wù)的主體不履行披露義務(wù)致使公私財(cái)產(chǎn)和信息安全受到影響或者不及時(shí)、不充分實(shí)施披露行為致使損害擴(kuò)大時(shí)，立法應(yīng)規(guī)定罰則，要求相應(yīng)主體承擔(dān)相應(yīng)的法律責(zé)任，包括民事、行政和刑事法律責(zé)任。諸如美國加州2012年通過的SB1386法案即明確了保存公民信息的機(jī)構(gòu)有義務(wù)向受害者披露信息泄漏事件，否則可因民事訴訟而承擔(dān)賠償責(zé)任。

（五）信息披露的例外

雖然網(wǎng)絡(luò)安全事件相關(guān)主體應(yīng)當(dāng)承擔(dān)一定的信息披露義務(wù)，但是這一披露義務(wù)并非是絕對的，具體在披露內(nèi)容上需要掌握可披露的度，既保障公眾的知情權(quán)，又兼顧網(wǎng)絡(luò)安全、社會(huì)秩序穩(wěn)定以及國家安全。信息披露例外機(jī)制的確立非常必要，它是披露機(jī)制體系的重要組成部分，這也是現(xiàn)行網(wǎng)絡(luò)安全立法所缺乏的。具體而言：披露的信息內(nèi)容應(yīng)該是被分類的，一些未授權(quán)的敏感信不在披露范圍之內(nèi)[15]。當(dāng)披露的內(nèi)容將涉及違反其他法律規(guī)定、機(jī)密信息、妨害執(zhí)法或損害國家利益以及公共利益、損害其他特定的公有或私營企業(yè)的合法商業(yè)利益時(shí)，可不承擔(dān)信息披露義務(wù)?？傊⒎☉?yīng)明確規(guī)定網(wǎng)絡(luò)安全事件信息披露的相應(yīng)例外條款，保障信息披露機(jī)制建構(gòu)的完整性。參考文獻(xiàn)：

[1]馬民虎.網(wǎng)絡(luò)信息安全保障的法律監(jiān)管研究[M].西安：陜西科學(xué)技術(shù)出版社，2007.

[2]張樂，郝文江，武捷.美國網(wǎng)絡(luò)入侵信息披露制度簡介[C]//全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十五卷）.合肥：中國科學(xué)技術(shù)大學(xué)出版社，2010：121.

[3]李國敏.2014年重大網(wǎng)絡(luò)安全事件回顧[N].科技日報(bào)，2014-12-24（11）.

[4]佚名.美發(fā)現(xiàn)新瀏覽器攻擊模式：可監(jiān)控全球八成PC[EB/OL].[2015-04-24].http：//www.cnnic.net.cn/gjymaqzx/aqgg/aqggaqsj/201504/t20150424_52123.htm.

[5]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M].北京：人民郵電出版社，2015：15.

[6]國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)（2016年第39期）[EB/OL].[2016-09-30].http：//www.cert.org.cn/publish/main/upload/File/2016CNCERT39.pdf.

[7]肖前忠.年終盤點(diǎn)：2014年國內(nèi)和國際網(wǎng)絡(luò)信息安全大事件[EB/OL].[2015-03-10].http：//www.d1net.com/security/news/326109.html.

[8]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].[2016-05-01].http：//www.cert.org.cn/publish/main/upload/File/2015%20Situation.pdf.

[9]趙麗莉.基于過程控制理念的網(wǎng)絡(luò)安全法律治理研究——以“風(fēng)險(xiǎn)預(yù)防與控制”為核心[J].情報(bào)雜志，2015（8）：177-181.

[10]TROPE R L，HUGHES S J.The SEC staffs “Cybersecurity Disclosure” guidance： Will it help investors or cyber-thieves more？[J].Business Law Today，2011：1-4.

[11]趙麗莉.論版權(quán)技術(shù)保護(hù)措施信息安全遵從義務(wù)——以法國《信息社會(huì)版權(quán)與鄰接權(quán)法》第15條為視角[J].情報(bào)理論與實(shí)踐，2012（12）：32-36.

[12]SALES N A.Regulating cybersecurity[J].Northwestern University Law Review，2013，107（4）：1508-1564.

[13]羅斯科·龐德.通過法律的社會(huì)控制——法律的任務(wù)[M].沈宗靈，董世忠，譯.北京：商務(wù)印書館，1984：42.

[14]MATWYSHYN A M.Hidden engines of destruction：the reasonable expection of code safety and the duty to warn in digital products[J].Florida Law Review，2010（62）：109-157.

[15]DYCUS S.Congresss role in cyber warfare[J].Journal of National Security Law & Policy，2010，4（1）：155-171.