網(wǎng)絡安全漏洞挖掘的法律規(guī)制研究

趙精武

(北京航空航天大學 法學院， 北京 100191)

?

網(wǎng)絡安全漏洞挖掘的法律規(guī)制研究

趙精武

(北京航空航天大學 法學院， 北京 100191)

網(wǎng)絡安全漏洞的挖掘、披露、交易、修復日益成為各國網(wǎng)絡安全治理的中心議題?！霸瑹槹浮敝苯颖砻髁宋覈F(xiàn)行法對網(wǎng)絡安全漏洞挖掘行為的否定性態(tài)度，《刑法》第二百八十五條前兩款對善意黑客的漏洞挖掘行為構(gòu)成了不當限制，應當通過《網(wǎng)絡安全法》第二十六條對其在漏洞挖掘領域的適用進行嚴格的限縮解釋，并圍繞《網(wǎng)絡安全法》從立法論的角度重塑漏洞管理機制。在充分考慮網(wǎng)絡安全漏洞自身動態(tài)性、復雜性、開放性的基礎上，從國家安全的高度把握漏洞挖掘治理，健全漏洞挖掘立法體系；完善漏洞庫并配套漏洞評級機制；明確公私合作框架，對挖掘主體進行備案；在遵循現(xiàn)有實踐的基礎上對挖掘行為分級授權(quán)，并進一步強化漏洞的跨境流動應對。

網(wǎng)絡安全漏洞; 善意黑客; 漏洞挖掘規(guī)制; 挖掘主體備案

一、問題的提出

(一)網(wǎng)絡安全漏洞挖掘關乎國家安全

互聯(lián)網(wǎng)正在逐漸擺脫其最初的工具、渠道、平臺屬性，逐漸轉(zhuǎn)變?yōu)楫惓碗s的網(wǎng)絡空間。按照搜索引擎爬蟲是否可以檢索或通過超鏈接的形式訪問，互聯(lián)網(wǎng)分為表網(wǎng)(Surface Web)和暗網(wǎng)(Dark Web)兩層，作為互聯(lián)網(wǎng)“蠻荒地帶”的暗網(wǎng)中充斥著大量待價而沽的高風險網(wǎng)絡安全漏洞，一些著名網(wǎng)絡安全公司雇員甚至淪為“數(shù)據(jù)掮客”，以販賣高風險漏洞給其他國家和極端組織作為營利手段。網(wǎng)絡安全漏洞利用已經(jīng)成為國家間網(wǎng)絡安全攻擊行為的暗戰(zhàn)場。在此背景下，“瓦森納協(xié)定”將漏洞視為一種“潛在武器”進行監(jiān)管，其規(guī)定:“參與國不得隨意進出口利用漏洞設計規(guī)避政府系統(tǒng)監(jiān)測以及修改系統(tǒng)或用戶信息的軟件?！币?，一個高風險的漏洞足以對國家安全造成毀滅性打擊,典型的案例如2003年微軟公布的沖擊波病毒；2010年伊朗核電站所遭遇的“震網(wǎng)”(Stuxnet)病毒襲擊；2012年微軟曝出的0Day漏洞已經(jīng)被黑客利用并實施惡意掛馬攻擊。

所謂網(wǎng)絡安全是指“保護信息和信息系統(tǒng)不受未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或者銷毀”，以確保信息的完整性、保密性和可用性。網(wǎng)絡安全包含信息系統(tǒng)權(quán)限獲取和數(shù)據(jù)泄露兩個層面，事實上，這主要來自于網(wǎng)絡安全漏洞的發(fā)現(xiàn)與利用，不同類型的漏洞獲取，意味著不同等級的系統(tǒng)控制權(quán)取得和風險數(shù)據(jù)攫取。以管窺豹，網(wǎng)絡安全漏洞治理在網(wǎng)絡安全保護中居于牽一發(fā)而動全身的核心地位，貫穿了國家、社會、個人多個層次法律利益，其泄露勢必對國家安全、公共安全及社會穩(wěn)定造成極大的破壞和挑戰(zhàn)。因此，無論是出于對關鍵基礎設施保護的目的，還是國家安全戰(zhàn)略的需求，網(wǎng)絡安全漏洞治理必將是各國網(wǎng)絡安全治理與立法的核心命題。

(二)網(wǎng)絡安全漏洞的概念分析

網(wǎng)絡安全漏洞(Computer vulnerability)指的是存在于計算機網(wǎng)絡系統(tǒng)中、可能對系統(tǒng)組成部分和數(shù)據(jù)造成損害的一切因素，其存在于硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略多個維度。當前學術(shù)界、產(chǎn)業(yè)界并未對其概念達成共識，學界多有從系統(tǒng)安全、主體安全、物理缺陷的角度分析漏洞的屬性，筆者認為，網(wǎng)絡安全漏洞本質(zhì)是通過軟件或者系統(tǒng)的邏輯缺陷所導致的錯誤，從而可以使攻擊者在未經(jīng)授權(quán)的情形下訪問或者破壞，網(wǎng)絡安全漏洞應以軟件漏洞的防范為核心，網(wǎng)絡安全漏洞不同于病毒，以“震網(wǎng)”(Stuxnet)病毒為例，每一次網(wǎng)絡安全漏洞的發(fā)現(xiàn)就意味著被病毒惡意攻擊的可能，可以說，網(wǎng)絡安全漏洞的發(fā)現(xiàn)是計算機病毒入侵的直接原因，計算機病毒的傳播和復制往往以網(wǎng)絡安全漏洞存在為前提，二者存在時間節(jié)點上的差異。

作為網(wǎng)絡安全治理核心命題的網(wǎng)絡安全漏洞具有內(nèi)生動態(tài)性、聚焦性、潛伏性的特點。當前漏洞的威脅階段不斷提前,從應用污染、系統(tǒng)污染逐漸向作為源頭的供應鏈污染轉(zhuǎn)移(如XcodeGhost污染事件)。網(wǎng)絡漏洞安全也在伴隨著網(wǎng)絡安全發(fā)展不斷迭代升級，現(xiàn)在已經(jīng)并非囿于技術(shù)條件限制和系統(tǒng)缺陷的軟件或者系統(tǒng)的邏輯錯誤，隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)的風起云涌，開始呈現(xiàn)多種新型錯誤類型，已經(jīng)逐漸形成了邏輯錯誤、環(huán)境錯誤、配置錯誤的多元發(fā)展模式，今后還要不斷應對頻發(fā)的新型漏洞問題。從利用方式上來看，其具有動態(tài)性、潛伏性的特點。網(wǎng)絡安全漏洞正在從靜態(tài)的被動攻擊向主動攻擊轉(zhuǎn)化，從傳統(tǒng)的網(wǎng)絡釣魚，拒絕服務攻擊(DDOS)使得目標癱瘓轉(zhuǎn)變?yōu)楦唢L險持續(xù)性攻擊(Advanced Persistent Threat)，大量的高風險漏洞不易發(fā)現(xiàn)，具有潛伏性的特點，微軟打印機和文檔打印漏洞Windows Print Spooler潛伏長達二十年之久。

(三)我國現(xiàn)行法對網(wǎng)絡安全漏洞挖掘的否定性態(tài)度——以袁煒案為例

網(wǎng)絡安全漏洞主要通過滲透測試的方式獲取，1980年美國密執(zhí)安大學的B.Hebbard小組第一次采用“滲

透分析”(Penetration AnalysisHebbard B., Grosso P., Baldridge T.， “A Penetration Analysis of the Michigan Terminal System”， Acm , Vol.14, 1980, pp.7-20. )方式，運用漏洞檢測軟件成功發(fā)現(xiàn)了系統(tǒng)程序中的大量邏輯錯誤漏洞。

當前世界范圍內(nèi)，漏洞挖掘以黑客群體為主，黑客分為善意黑客(Certified Ethical Hacker)和惡意黑客。善意黑客又被稱為“白帽子”，指識別計算機系統(tǒng)或者應用安全漏洞的網(wǎng)絡安全技術(shù)人員。其由來自社會不同背景的黑客技術(shù)網(wǎng)絡安全精英組成。“白帽子”采取滲透技術(shù)手段和黑客攻擊方法尋找系統(tǒng)中存在的漏洞，在發(fā)現(xiàn)漏洞后向平臺和被測主體反饋并發(fā)布，敦促被測主體盡快修補漏洞，維護網(wǎng)絡安全。“白帽子”群體正在逐漸成為我國網(wǎng)絡安全漏洞挖掘的主力軍，據(jù)《2016年中國互聯(lián)網(wǎng)安全報告》，民間“白帽子”黑客的組織所挖掘的漏洞比高達45%。

通過“白帽子”袁煒挖掘漏洞被抓、烏云平臺被關閉可窺知，我國現(xiàn)行法對漏洞規(guī)制尤其是作為關鍵環(huán)節(jié)的漏洞挖掘持否定性評價，對民間善意黑客(白帽子)自發(fā)組織的漏洞挖掘行為呈現(xiàn)出一種重刑主義的傾向，這一事件引發(fā)了激烈的討論，“白帽子”挖掘安全漏洞的法律界限在哪里，如何免責？

袁煒是烏云漏洞平臺的一名“白帽子”，2015年12月3日，其通過SQLmap軟件對世紀佳緣網(wǎng)站緩存區(qū)溢出安全漏洞進行掃描檢測，發(fā)現(xiàn)該網(wǎng)站存在造成數(shù)據(jù)泄露的高危漏洞。袁煒檢測確認后，將此網(wǎng)絡安全漏洞通過烏云平臺提交給世紀佳緣網(wǎng)站。世紀佳緣網(wǎng)站在進行了確認、修復漏洞后，依循慣例向漏洞提交者致謝并給付了一定報酬。不久后，世紀佳緣網(wǎng)站向北京市公安局朝陽分局報案稱其大量數(shù)據(jù)被竊取，據(jù)查花千樹公司運營的世紀佳緣網(wǎng)站收到11個同一IP地址的SQL注入攻擊，持續(xù)時間長達8小時40分鐘，932條實名注冊信息被竊取。2016年3月，袁煒因涉嫌“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”，被北京市公安局朝陽分局依法逮捕。

雙方各執(zhí)一詞，公安部門認為，袁煒進行測試所使用的SQLmap軟件屬于黑客軟件，袁煒所涉嫌的“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”指違反國家規(guī)定侵入國家事務國防建設、尖端科學技術(shù)領域以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，情節(jié)嚴重，本案屬于情節(jié)犯，本罪的犯罪構(gòu)成的認定標準為“獲取身份認證信息500組以上”，袁煒獲取的932條信息顯然已經(jīng)遠遠超過了500組。

在本案中，11個IP是否包含932條身份信息有賴于司法鑒定部門進一步確認。根據(jù)技術(shù)中立理念，SQLmap屬于常用的漏洞測試軟件，其本質(zhì)為自動化軟件，一經(jīng)設定，該軟件將自動重復進行注入行為，自動化軟件進行攻防測試是否可以成為入罪理由暫且不論，本案中最為核心的是，袁煒并未試圖隱去測試的IP地址，而是以該地址持續(xù)進行SQL注入測試，在測試后主動將該漏洞報告給世紀佳緣網(wǎng)，毫無疑問表明了袁煒的善意測試目的，這樣一種并無社會危害性的行為直接入刑是否妥當值得深思。

二、網(wǎng)絡安全漏洞挖掘的規(guī)制路徑反思

(一)對既有挖掘規(guī)范的適用分析

我國《網(wǎng)絡安全法》對漏洞問題的專門配套立法尚付闕如,當前我國漏洞挖掘的法律規(guī)制體系不健全，從表面來看已經(jīng)形成了以《治安管理處罰法》與《刑法》為核心的二元制裁體系，但事實上僅有《網(wǎng)絡安全法》《國家安全法》《刑法》《治安管理處罰法》寥寥數(shù)個條文而已，體系零散，且對作為漏洞治理核心的漏洞挖掘行為規(guī)制的操作性不強，實踐中多通過《刑法》第二百八十五條適用加以規(guī)制。

我國《刑法》第二百八十五條與《刑法》第二百八十六條分別規(guī)定破壞計算機信息系統(tǒng)罪和拒不履行信息網(wǎng)絡管理義務罪兩款罪名，“白帽子”袁煒不同于傳統(tǒng)黑客，傳統(tǒng)黑客往往會基于其特殊的打擊目的對計算機系統(tǒng)及內(nèi)容進行修改和破壞，“白帽子”多以檢測并獲取漏洞為目標，一般不會對計算機系統(tǒng)造成致命打擊，因此其行為多不涉及第二百八十六條。所以可以將視野聚焦，對善意漏洞挖掘行為直接相關刑事法律規(guī)定為《刑法》第二百八十五條前兩款。

事實上，我國對于漏洞挖掘的規(guī)制有一個變化過程。1994年頒布了公安部牽頭制定的《計算機信息系統(tǒng)安全保護條例》，籠統(tǒng)概括了對信息系統(tǒng)安全破壞的行政責任，責任較為輕微，侵害對象主要集中在與國家或者事業(yè)單位密切相關的計算機信息系統(tǒng)安全(第七條上)。

在吸收該條例思想的基礎上，1997年頒布并實施的《刑法》第二百八十五條規(guī)定了非法侵入計算機信息系統(tǒng)罪。經(jīng)過司法實踐的檢驗與助推證明，該罪的保護對象和范圍顯得過于狹窄，明顯與社會發(fā)展要求和計算機應用現(xiàn)狀不相適應，且不利于有效遏制和懲處計算機犯罪。2009年2月28日，全國人大常委會發(fā)布的《刑法修正案(七)》對該條規(guī)定作出了必要修正，分別將侵入特定計算機信息系統(tǒng)以外的計算機信息系統(tǒng)“采用或者其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的行為”，以及“提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的行為”，作為該條的第二款、第三款規(guī)定一并入罪，從而擴大了《刑法》的保護對象和范圍。2012年《治安管理處罰法》對侵入計算機系統(tǒng)行為加以明確。至此，我國漏洞挖掘規(guī)制二元格局正式形成。

其中第一款為非法侵入計算機信息系統(tǒng)罪：“違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術(shù)領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役?！北究畋硎鲆馕吨坏┣秩雵蚁到y(tǒng)，無論是否具有主觀惡意，直接認定構(gòu)成本罪，本條行為犯的立場進一步強化了對國家關鍵基礎設施的強保護理念。第二款為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和非法控制計算機信息系統(tǒng)罪置于一條進行規(guī)定,旨在表明對非國家系統(tǒng)的保護立場。

表面上來看，對《刑法》第二百八十五條，第二百八十六條的適用邏輯非常清晰，但司法實踐中的態(tài)度卻令人匪夷所思，筆者在檢索裁判文書網(wǎng)后分析了自2008—2016年383個相關案例后發(fā)現(xiàn)，絕大部分黑客專門利用網(wǎng)絡安全漏洞從事系統(tǒng)破壞行為，司法實踐多直接適用《刑法》第二百八十六條加以規(guī)制，但部分黑客僅將漏洞利用行為作為其他犯罪的手段行為，觸犯《刑法》第二百八十五條第一二款的同時觸犯其他罪名，多構(gòu)成擇一重罪處罰的牽連犯。這導致了在漏洞利用規(guī)制問題上，直接適用第二百八十五條的案例數(shù)量相對較少，吊詭的是，《刑法》第二百八十五條在規(guī)制類似袁煒一樣的善意漏洞挖掘行為卻無任何法律障礙。易言之，本條變?yōu)榱酸槍ι埔饴┒赐诰蛐袨榈目诖铩?/p>

《刑法》第二百八十五條第二款的兩款罪名不同于第一款的行為犯，需要侵入計算機系統(tǒng)并獲得數(shù)據(jù)或者控制計算機系統(tǒng)兩個行為，并且要達到情節(jié)嚴重，方可構(gòu)成本罪,對于情節(jié)嚴重的判斷標準主要依據(jù)2011年出臺的《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》的司法解釋加以明確。

經(jīng)過前文對袁煒案的評析，可以考慮將問題聚焦：一個沒有社會危害性的漏洞挖掘行為通過《刑法》第二百八十五條第二款進行規(guī)制是否具有合理性?筆者認為，當前我國與漏洞挖掘相關的法律規(guī)范太過強調(diào)事后救濟，多以禁止性規(guī)定為中心，將情節(jié)和后果作為認定犯罪的依據(jù)，并不考慮袁煒漏洞挖掘行為人的社會危害性，這顯然并不符合《刑法》的謙抑性特點。需要在考慮漏洞挖掘特殊目的的基礎之上，對白帽子的身份屬性、漏洞挖掘行為的邊界加以明確。

(二)漏洞挖掘行為規(guī)制的域外經(jīng)驗

他山之石，可以攻玉，域外多采用“合同授權(quán)，法律保障”的模式對“白帽子”的挖掘行為進行治理。歐盟對“白帽子”漏洞挖掘行為同樣表示支持和肯定，2013年通過《歐盟議會和理事會第40號指令》規(guī)定，認為“白帽子”對于網(wǎng)絡攻擊以及與此相關的信息系統(tǒng)所造成的威脅和風險進行識別和報告的行為非常有助于有效應對網(wǎng)絡攻擊并提高信息系統(tǒng)安全。

與我國對“漏洞挖掘行為”一刀切的立法模式不同，域外國家多采用公私合作框架模式，漏洞挖掘平臺與被測試系統(tǒng)軟件所有者的互聯(lián)網(wǎng)公司之間簽訂合同，較為細致地就挖掘方法、目標、漏洞報告進行授權(quán)。與此同時，采用法律許可的方式對白帽子的漏洞挖掘行為予以規(guī)范，比較典型的例子是Heackerone平臺與美國國防部合作發(fā)起的“Hack the Pentagon”漏洞獎勵計劃。事實上，美國絕大部分互聯(lián)網(wǎng)公司均在Heackerone平臺注冊，授權(quán)“白帽子”對其公司的安全系統(tǒng)進行滲透測試。相應地，配套立法對這樣的挖掘滲透行為予以明確，賦予”白帽子”黑客漏洞挖掘權(quán)限，豁免”白帽子”的善意挖掘行為，將漏洞挖掘人造成破壞的社會危害性納入是否入罪的判斷標準。

美國于20世紀70年代中期就啟動了PA(Protection Analysis Project)專門針對計算機操作系統(tǒng)的安全漏洞及脆弱性進行研究及RISOS(Research in Security Operating System)計劃。近些年，美國部署了國家網(wǎng)絡空間安全保護系統(tǒng)(The National Cybersecurity Protection System，簡稱NCPS，俗稱“愛因斯坦計劃”)，旨在完善網(wǎng)絡安全漏洞檢測、入侵檢測、入侵防御和安全信息共享。

2015年修訂的美國《計算機欺詐和濫用法》第1030條規(guī)定，與計算機有關的欺詐及類似威脅活動包含的若干情形均以故意、違法和超出授權(quán)為核心。同年美國最新通過的《網(wǎng)絡安全信息共享法案》，在 “網(wǎng)絡安全威脅指標”項下明確了網(wǎng)絡安全漏洞的類型、利用方法以及誘導信息系統(tǒng)合法用戶在不知情的情況下造成安全控制或者系統(tǒng)被利用的情形。

美國1998年的《數(shù)字千禧年版權(quán)法案》，第1201條第j項將安全測試規(guī)定為允許行為人繞過計算機系統(tǒng)訪問控制的例外情形，規(guī)定了以善意研究為目的的責任豁免情形。行為人的善意測試行為可免責，這對于我國漏洞法律體系的完善具有非常重要的借鑒意義。

2012年《網(wǎng)絡安全法案》，更為詳細地介紹了網(wǎng)絡安全威脅合法披露的情形。第701條規(guī)定，在獲得第三方授權(quán)的情況下，私人主體可以對其信息系統(tǒng)或者信息系統(tǒng)的儲存、處理和傳輸?shù)男畔⑦M行監(jiān)視，或者施加反制措施以保護該系統(tǒng)和上述信息的安全。第702條允許私主體向其他主體披露其合法獲取的大量網(wǎng)絡安全威脅指標，但要求披露方及被告知方遵守相關主體所設定的合法限制。包括但不限于：披露的目的僅限于保護目標系統(tǒng)及數(shù)據(jù)安全；在披露相關安全威脅時確保不泄露相關數(shù)據(jù)的個人隱私；不將披露的威脅用以獲取不正當?shù)母偁巸?yōu)勢。

歐美國家采用的“合同授權(quán)，法律配套保障”的方案，主要是考慮到“白帽子”群體并無惡意破壞系統(tǒng)、獲取數(shù)據(jù)的犯罪動機和社會危害性。不同于歐美國家公私合作模式，在我國，被測試系統(tǒng)軟件所有者并未與測試平臺之間簽訂合同授權(quán)“白帽子”的挖掘行為，這意味著只有當“白帽子”將漏洞提交給測試平臺或者被測試系統(tǒng)所有者時，被測試主體方知曉該漏洞挖掘行為，此時被測主體享有是否追認的絕對權(quán)。若被測試主體拒絕追認，將直接導致挖掘行為人受制于《刑法》第二百八十五條的規(guī)制。吊詭的是，即便測試平臺與被測試系統(tǒng)所有者簽訂挖掘授權(quán)合同，仍然存在違法的風險，因為該合同會因觸犯《合同法》第五十四條第五款中的“違反法律、行政法規(guī)的強制性規(guī)定”特殊規(guī)定而歸于無效。易言之，無論被測試系統(tǒng)軟件所有者是否與平臺簽訂合同，抑或事后是否追認該挖掘行為，均不影響“白帽子”受《刑法》第二百八十五條的規(guī)制，這使得雙方處于極其不對等的法律關系中，這也正是袁煒案備受詬病的核心原因。

(三)網(wǎng)絡漏洞挖掘的一種解釋論方案

漏洞挖掘主體受到不當處罰，一方面是因為我國目前針對網(wǎng)絡安全漏洞挖掘的規(guī)范并不考慮行為人的犯罪動機;另一方面有其特殊的歷史原因，《刑法》第二百八十五條設立及完善初衷在于大力打擊新型的互聯(lián)網(wǎng)犯罪，現(xiàn)在看來，過分側(cè)重打擊反而會對“白帽子”的善意漏洞挖掘行為構(gòu)成不當限制。

《網(wǎng)絡安全法》第二十六條為漏洞挖掘行為的出罪提供了一種解釋論可能，可以在不修改現(xiàn)有《刑法》的基礎上限制《刑法》第二百八十五條對漏洞挖掘行為的適用。《刑法》第二百八十五條采用了空白罪狀的立法技術(shù)：“違反國家規(guī)定……”,易言之，允許在違法性要件的判斷識別過程中轉(zhuǎn)介或參照適用其他法律規(guī)范。筆者認為，《網(wǎng)絡安全法》第二十六條可以限制《刑法》第二百八十五條的不當適用，起到目的性限縮的功能，避免機械適用《刑法》對“白帽子”漏洞挖掘行為構(gòu)成不當限制。

在此基礎上，《網(wǎng)絡安全法》第二十六條為網(wǎng)絡安全漏洞治理提供了一種立法論思考的可能，對于漏洞挖掘的法律規(guī)制應當圍繞該條款展開。漏洞治理包含漏洞挖掘、漏洞交易、漏洞評估預警、漏洞信息共享發(fā)布等多個環(huán)節(jié)，需要在未來制定《關鍵設施配套規(guī)章》或者《網(wǎng)絡安全法(實施條例)》時，予以具體化、清晰化、制度化，重新塑造我國體系化的漏洞挖掘法律機制。

三、對完善我國網(wǎng)絡安全漏洞挖掘制度的建議

我國網(wǎng)絡空間安全戰(zhàn)略再次重申“建立完善國家網(wǎng)絡安全技術(shù)支撐體系，加強網(wǎng)絡安全基礎理論和重大問題研究，加強網(wǎng)絡安全標準化和認證認可工作，更多地利用標準規(guī)范網(wǎng)絡空間行為。做好等級保護、風險評估、漏洞發(fā)現(xiàn)等基礎性工作，完善網(wǎng)絡安全監(jiān)測預警和網(wǎng)絡安全重大事件應急處置機制?！庇需b于此，應當從國家戰(zhàn)略的高度把握網(wǎng)絡安全漏洞制度構(gòu)造，在配套規(guī)章或者修改相關法律時，以《網(wǎng)絡安全法》第二十六條為中心展開，采用公私合作的治理框架，進一步完善漏洞數(shù)據(jù)庫，明確網(wǎng)絡安全漏洞評級機制，對進行漏洞挖掘“白帽子”、漏洞測試平臺的主體地位加以明確，在遵循現(xiàn)有實踐的基礎上區(qū)分授權(quán)挖掘行為，并進一步強化漏洞的跨境流動應對。

(一)構(gòu)建網(wǎng)絡安全漏洞挖掘立法體系

網(wǎng)絡安全漏洞挖掘治理，體現(xiàn)了一種技術(shù)治理的理念，其自身具有預防性治理的特點。具體表現(xiàn)為運用技術(shù)手段先于法律對互聯(lián)網(wǎng)安全問題進行治理，以彌補純粹法律適用所帶來的滯后性問題。在網(wǎng)絡安全漏洞立法過程中，應當把握“技術(shù)先導，法律配合”的理念，為漏洞挖掘治理預留一定的賦權(quán)空間，使得作為“源頭治理”的技術(shù)治理與法律手段共同配合、雙管齊下，實現(xiàn)網(wǎng)絡安全有序治理。

當前我國《網(wǎng)絡安全法》規(guī)定仍較為粗放，在強調(diào)國家安全優(yōu)先、政府主導與企業(yè)配合、保障網(wǎng)絡公共秩序的基礎上，一部《網(wǎng)絡安全法(實施細則)》實有必要。實施細則可以考慮將較為成熟的實踐經(jīng)驗予以法律化，將《信息安全等級保護管理辦法》、《CNVD漏洞安全響應指導規(guī)范》、《信息安全等級保護管理辦法》的部分內(nèi)容上升為法律規(guī)范。

同時應當把握修法契機，在《治安管理處罰法(草案)》中，為“白帽子”的漏洞挖掘行為設置相應的免責條款，在草案第三十一條后增加第(六)款：“對于經(jīng)過當事人授權(quán)或在國家機關指導下的系統(tǒng)檢測或軟件測試行為，無需承擔行政責任或刑事責任。”

完善利用漏洞跨國網(wǎng)絡攻擊的國際法應對。當前利用漏洞進行的跨國網(wǎng)絡攻擊日益頻繁，針對我國關鍵基礎設施和重要信息系統(tǒng)的漏洞攻擊呈逐年上升的趨勢，美國已經(jīng)有專門針對惡意網(wǎng)絡活動的制裁的法律規(guī)范，奧巴馬政府于2015年4月頒行《第13694號行政命令》(Executive Order 13694)，宣布將針對美國實施惡意網(wǎng)絡活動的主體予以制裁。所謂的惡意網(wǎng)絡活動包括以下情形：顯著破壞了美國關鍵基礎設施；盜竊美國經(jīng)濟資源、商業(yè)秘密、個人身份信息或者金融信息以獲得商業(yè)競爭優(yōu)勢、個人經(jīng)濟利益；破壞美國計算機網(wǎng)絡或者為上述活動提供物質(zhì)支持。轉(zhuǎn)引自劉金瑞：《我國網(wǎng)絡關鍵基礎設施立法的基本思路和制度建構(gòu)》，《環(huán)球法律評論》2016年第5期。 Barack Obama. “Executive Order 13694: Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities”, , Vol.80, No.63, 2015, pp.180747-18079. 對于利用網(wǎng)絡安全漏洞發(fā)起的惡意攻擊除了技術(shù)防范路徑之外，也應當著重考量反制措施。

(二)完善國家安全信息漏洞庫，配套漏洞評級機制

當前世界各國均建立漏洞庫作為其網(wǎng)絡戰(zhàn)爭的核心戰(zhàn)略資源儲備，2006年，美國政府建立了美國國家安全漏洞庫(National Vulnerability Database，NVD)，專門針對漏洞的名稱、來源、CVE(Common Vulnerabilities & Exposures)標號，CVSS分數(shù)(Common Vulnerability Scoring System)等信息進行描述。美國將軟件漏洞和操作系統(tǒng)的漏洞視為一種重要的戰(zhàn)略資源，由聯(lián)邦政府負責收集和管理，該漏洞庫由國土安全部部署并提供建設資金，美國國家標準與技術(shù)研究院負責技術(shù)開發(fā)和運維管理，在全仿真的環(huán)境下進行實戰(zhàn)操作，實時掌握網(wǎng)軍的對抗打擊能力，以便更新其防御措施。

《網(wǎng)絡安全法》第三十九條規(guī)定：“國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全保護采取下列措施：(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享。”網(wǎng)絡安全信息共享制度核心內(nèi)容為漏洞信息共享，一個完善、健全的漏洞庫確有必要。2009年10月18日，國家互聯(lián)網(wǎng)應急中心牽頭成立中國信息安全評測中心，聯(lián)合其他安全廠商和用戶成立的民間組織，負責建設運營維護國家安全漏洞資源管理庫平臺“國家網(wǎng)絡安全漏洞庫”(China National Vulnerability Database of Information Security，CNNVD)對外提供漏洞分析、通報服務。目前，CNNVD通過社會提交、協(xié)作共享、網(wǎng)絡搜集以及技術(shù)檢測等方式，已積累信息技術(shù)產(chǎn)品漏洞8萬余條，信息系統(tǒng)相關漏洞4萬余條，相關補丁和修復措施2萬余條。

筆者認為，由于CNNVD擁有較為成熟的經(jīng)驗處理漏洞治理工作和快速響應能力，因此應當優(yōu)先考慮由信息安全測評中心牽頭完善漏洞數(shù)據(jù)庫，并負責網(wǎng)絡安全漏洞信息共享、評級、發(fā)布工作。對于漏洞評級機制的建立，可以將《CNVD漏洞安全響應指導規(guī)范》中較為成熟的經(jīng)驗轉(zhuǎn)化為法律規(guī)范。當前我國漏洞的分類方法過于繁多，按照危險系數(shù)和處置類型的分類方法值得借鑒。危險系數(shù)方法主要指按照漏洞的危險系數(shù)將其分為高危、中危、低危三等。按照漏洞的處置類型分類是指針對漏洞適用范圍，將其分為事件型漏洞和通用漏洞兩種。筆者認為，采用危險系數(shù)和處置類型雙重標準評級比較妥當，可以保證涉事主體對漏洞安全有較為清晰的認知。具體來說，對于事件型漏洞僅公布涉事信息系統(tǒng)和涉事單位名稱及危險系數(shù)即可，不必公布細節(jié)。對于通用軟件漏洞應附期限公開，必要時將漏洞名稱、等級、描述、評分、影響產(chǎn)品、參考鏈接等予以公布。且所有的漏洞評級工作務必在1～2天完成，并通知被測主體，充分保證時效性。評級過后，應要求網(wǎng)絡服務提供商配套“漏洞威脅響應機制”，制定完善的漏洞預警機制，確保網(wǎng)絡安全漏洞的發(fā)現(xiàn)、評級、漏洞修復做到無縫銜接，全面維護網(wǎng)絡安全。

(三)明確挖掘公私合作框架，建立挖掘主體備案制度

在完善漏洞庫的基礎上，網(wǎng)絡漏洞安全挖掘應當堅持安全與發(fā)展并重，政府與企業(yè)應當加強聯(lián)動協(xié)作，強化網(wǎng)絡安全漏洞信息共享，并進一步完善平臺監(jiān)管責任、個人責任豁免。

我國《網(wǎng)絡安全法》第二十二條和第二十五條分別規(guī)定了互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡產(chǎn)品缺陷、漏洞報告義務和網(wǎng)絡安全應急預案義務，當前，我國漏洞庫的網(wǎng)絡安全漏洞數(shù)量較少，依靠服務商群體顯然難以支撐整個漏洞庫平臺，“白帽子”的價值正是體現(xiàn)了多方參與的優(yōu)勢。其通過測試軟件系統(tǒng)后告知被測試系統(tǒng)潛在風險，并模擬漏洞被惡意利用時的各種危害情形。我國《網(wǎng)絡安全法》第二十六條規(guī)定的網(wǎng)絡安全漏洞挖掘主體并不明確，若依據(jù)《網(wǎng)絡安全法》第六十二條責任條款進行體系解釋可推知，漏洞挖掘參與主體并不局限于互聯(lián)網(wǎng)企業(yè)，政府部門與個人同樣包含在內(nèi)，這在一定程度上為漏洞挖掘行為民間主體提供了合法性依據(jù)。

較為遺憾的是，《網(wǎng)絡安全法》并未明確網(wǎng)絡安全漏洞治理的負責機構(gòu)和實現(xiàn)機制，對企業(yè)的激勵也不夠充分，建議在配套立法中增加授權(quán)政府與企業(yè)建立漏洞信息挖掘協(xié)作機制的規(guī)定，并完善網(wǎng)絡安全漏洞信息共享機制，可以考慮參照域外Hackerone相關合作機制。漏洞挖掘測試和發(fā)布行為需要企業(yè)主導，政府監(jiān)管，并且賦予“白帽子”挖掘行為豁免機制。

具體來說，首先，應當明確網(wǎng)絡安全漏洞測試平臺的法律地位，需對漏洞挖掘平臺資質(zhì)進行審批，明確平臺僅為網(wǎng)絡安全漏洞的收集、報送、測試主體備案平臺，不得任意對漏洞進行披露，發(fā)現(xiàn)高危漏洞應盡快向國家有關部門報備。

其次，進一步完善網(wǎng)絡安全漏洞挖掘 “白帽子”主體身份備案制度，采用漏洞挖掘平臺資質(zhì)審批制度與身份備案制度相配套，有助于監(jiān)管部門更有效地防范“白帽子”私自販賣漏洞等網(wǎng)絡犯罪行為，應當充分考慮“白帽子”身份信息的匿名化保護。暴露挖掘主體的身份就意味著該“白帽子”存在被惡意攻擊者監(jiān)控或者竊聽的風險，不符合漏洞挖掘?qū)嵺`需求，應將身份信息納入國家保密體系，適用《中華人民共和國保守國家秘密法》的保密標準。

最后，為了使“白帽子”明確自身行為邊界之所在，避免袁煒式悲劇再次上演，應當重新把握獲取漏洞的方式并充分考慮挖掘工具手段合法性問題，需進一步明確“白帽子”在漏洞挖掘過程中的“最小傷害原則”和挖掘過程報告義務，其挖掘行為應將數(shù)據(jù)泄露和系統(tǒng)破壞程度降至最低，并且“白帽子”應對漏洞挖掘行為及其附帶損害進行全過程記錄，及時向權(quán)力機關報告。

(四)借鑒《信息安全等級保護管理辦法》，區(qū)分漏洞挖掘分級授權(quán)

《網(wǎng)絡安全法》第三十八條規(guī)定了關鍵基礎設施運營者以年為單位的安全檢測義務。實現(xiàn)關鍵基礎設施安全可控的核心在于網(wǎng)絡安全漏洞的挖掘和發(fā)現(xiàn)，當前網(wǎng)絡安全漏洞呈現(xiàn)出井噴之勢，每年一次的評估顯然并不符合網(wǎng)絡安全的實踐需求，有必要對挖掘行為授權(quán)機制加以明確，確保多方參與網(wǎng)絡安全維護工作。

對于挖掘行為授權(quán)機制的建立，可以考慮結(jié)合《信息安全等級保護管理辦法》的既有實踐，以等級保護作為切入點區(qū)分網(wǎng)絡安全漏洞挖掘授權(quán)機制。根據(jù)信息系統(tǒng)受到破壞后所造成的損害范圍不同，將挖掘行為分為禁止挖掘、許可挖掘和一般挖掘三種，進一步廓清“白帽子”漏洞挖掘行為的邊界。

禁止挖掘指涉密的國家關鍵基礎設施，指符合《信息安全等級保護管理辦法》第七條第5級的情形。主要涉及《刑法》第二百八十五條第一款、《國家安全法》、《保守國家秘密法》第二十四條和四十八條規(guī)定的涉密信息系統(tǒng)，例如一些涉及國家機密的大型服務器，對此類關鍵基礎設施漏洞挖掘，應當以聲明禁止挖掘為原則，許可挖掘為例外。

許可挖掘是指符合《信息安全等級保護管理辦法》第七條第3、4級的情形。經(jīng)國家機關授權(quán)，備案的“白帽子”可進行關鍵基礎設施漏洞挖掘測試，許可挖掘的主體多集中于大型互聯(lián)網(wǎng)公司的民用設施和部分非涉密關鍵基礎設施，其挖掘有助于在系統(tǒng)安全性提升與被惡意追蹤之間尋求平衡，許可挖掘不同于傳統(tǒng)定向委托網(wǎng)絡安全公司所進行的漏洞挖掘測試。

一般挖掘主要指的是符合《信息安全等級保護管理辦法》第七條第1、2級的情形，對于關鍵基礎設施之外的一些商業(yè)用途的網(wǎng)站和系統(tǒng)可以允許經(jīng)過備案的白帽子進行普遍挖掘。

(五)強化網(wǎng)絡安全漏洞的跨境流動應對，建立漏洞傳輸評估規(guī)則

《國家安全法》第二十五條將“加強網(wǎng)絡管理，防范、制止和依法懲治網(wǎng)絡攻擊、網(wǎng)絡入侵、網(wǎng)絡竊密”作為一項國家安全義務加以確認。網(wǎng)絡安全漏洞正在成為一種重要的國家戰(zhàn)略資源，《瓦森納協(xié)定》補充協(xié)定更是將零日漏洞等視為一種潛在的武器進行監(jiān)管。以“震網(wǎng)攻擊”為例，網(wǎng)絡安全漏洞發(fā)現(xiàn)意味著一種攻擊的可能性，其惡意利用足以對國家安全造成毀滅性打擊，需要從法律制度上予以正視和回應。

網(wǎng)絡安全漏洞與跨境數(shù)據(jù)流動密切相關，數(shù)據(jù)安全問題會因為各國數(shù)據(jù)空間主權(quán)觀念的差別，或者數(shù)據(jù)法制、數(shù)據(jù)利益、數(shù)據(jù)安全保護觀念的差異，導致相互之間在數(shù)據(jù)流動和國際合作方面的復雜性。作為網(wǎng)絡安全重要戰(zhàn)略資源的漏洞，不同于一般數(shù)據(jù)，應當嚴格限制漏洞數(shù)據(jù)的跨境流動，參照《網(wǎng)絡安全法》第三十七條確立了跨境數(shù)據(jù)流動評估規(guī)則，在制定安全評估辦法的時候充分考慮網(wǎng)絡安全漏洞的特殊性，可以參照網(wǎng)絡安全漏洞的危險系數(shù)和處置類型雙重評級標準，對于高危、事件型漏洞應當禁止跨境流動，對于一般性、通用的漏洞可以在評估后允許其跨境傳輸。

(本文成稿得益于劉金瑞助理研究員、丁海俊副教授、周學峰副教授的幫助，在此一并致謝！)

[責任編輯 李晶晶 責任校對 王治國]

2017-01-16

趙精武(1992—)，男，河北黃驊人，北京航空航天大學法學院網(wǎng)絡信息安全方向博士生(計算機學院聯(lián)合培養(yǎng))，從事網(wǎng)絡安全法，民商法研究。

中國法學會部級項目《安全防范信息的采集與利用相關法律問題研究》(批準號：CLS(2016)C13); 國家社會科學基金重大項目《信息法基礎》(批準號：16ZDA075)。

D9

A

1000-5072(2017)05-0024-09