網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)

梁天生

?

網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)

梁天生

廣東理工學(xué)院，廣東 肇慶 526100

隨著社會(huì)經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)安全漏洞披露已成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的中心環(huán)節(jié)。不規(guī)范或非法的網(wǎng)絡(luò)安全漏洞披露危害網(wǎng)絡(luò)空間整體安全，凸顯法律規(guī)定的灰色地帶。實(shí)踐中網(wǎng)絡(luò)安全漏洞披露表現(xiàn)為不披露、完全披露、負(fù)責(zé)任披露和協(xié)同披露等類型。我國現(xiàn)行立法從產(chǎn)品和服務(wù)提供者、第三方和國家三個(gè)層面提出了網(wǎng)絡(luò)安全漏洞合法披露的基本要求，可借鑒域外經(jīng)驗(yàn)，以協(xié)同披露為導(dǎo)向，圍繞披露主體、披露對(duì)象、披露方式和披露的責(zé)任豁免論證和設(shè)計(jì)網(wǎng)絡(luò)安全漏洞披露規(guī)則體系，為安全漏洞披露行為提供明確指引。

網(wǎng)絡(luò)安全漏洞；披露；類型；規(guī)則；協(xié)同

引言

近年來，利用網(wǎng)絡(luò)安全漏洞實(shí)施攻擊的安全事件在全球范圍內(nèi)頻發(fā)，給網(wǎng)絡(luò)空間安全帶來了不可逆的危害。網(wǎng)絡(luò)安全漏洞披露已成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的中心環(huán)節(jié)，對(duì)于降低風(fēng)險(xiǎn)和分化風(fēng)險(xiǎn)起著至關(guān)重要的作用。強(qiáng)化網(wǎng)絡(luò)安全漏洞收集、分析、報(bào)告、通報(bào)等在內(nèi)的風(fēng)險(xiǎn)預(yù)警和信息通報(bào)工作已成為國家網(wǎng)絡(luò)安全保障的重要組成部分。國內(nèi)外不同主體基于不同動(dòng)機(jī)和利益驅(qū)動(dòng)開展了廣泛的網(wǎng)絡(luò)安全漏洞披露實(shí)踐并引發(fā)各方對(duì)不利法律后果的反思。

1 網(wǎng)絡(luò)安全漏洞披露的概念與類型

1.1 網(wǎng)絡(luò)安全漏洞披露的相關(guān)概念

漏洞是一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)，是違反某些環(huán)境中安全功能要求的評(píng)估對(duì)象中的弱點(diǎn)，是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計(jì)及實(shí)施中的缺陷、弱點(diǎn)或特性。這些缺陷或弱點(diǎn)可被外部安全威脅利用。漏洞是“非故意”產(chǎn)生的缺陷，具備能被利用而導(dǎo)致安全損害的特性。網(wǎng)絡(luò)安全漏洞具備可利用性、難以避免性、普遍性和長存性等技術(shù)特征。為強(qiáng)調(diào)漏洞可能導(dǎo)致的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，各界基本將漏洞和網(wǎng)絡(luò)安全漏洞的概念混用不加區(qū)分。漏洞稱之為內(nèi)在的脆弱性，與之相對(duì)的是外部安全威脅，內(nèi)部脆弱性和外部安全威脅結(jié)合起來共同構(gòu)成安全風(fēng)險(xiǎn)。針對(duì)網(wǎng)絡(luò)安全漏洞本身，盡管國內(nèi)外立法缺少明確的概念界定，但均延續(xù)了傳統(tǒng)信息安全的內(nèi)外兩分法，將網(wǎng)絡(luò)安全漏洞納入安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全信息范疇予以規(guī)制。

1.2 網(wǎng)絡(luò)安全漏洞披露的類型

網(wǎng)絡(luò)安全漏洞披露被概括為不披露、完全披露和負(fù)責(zé)任披露三種類型。從不披露、完全披露、負(fù)責(zé)任披露到協(xié)同披露，安全漏洞披露類型涉及的利益相關(guān)方側(cè)重點(diǎn)各有不同，顯示了漏洞披露過程的復(fù)雜性，也表明調(diào)動(dòng)各利益相關(guān)方共同治理安全漏洞觀念的逐漸成熟和體系化?？傮w來說，以上披露類型在國內(nèi)外目前的披露實(shí)踐中均有出現(xiàn)，且往往交織在一起。近年來，雖然在一定程度上更多的協(xié)同披露動(dòng)向正在顯現(xiàn)，但漏洞披露環(huán)境在很多方面仍然是割裂的，相關(guān)問題依然有待解決。鑒于利益相關(guān)方的側(cè)重點(diǎn)有所差異，漏洞披露目前仍然沒有統(tǒng)一的標(biāo)準(zhǔn)，但都應(yīng)以最大限度減少損害的方式進(jìn)行。

2 我國網(wǎng)絡(luò)安全漏洞披露規(guī)則體系設(shè)計(jì)

2.1 網(wǎng)絡(luò)安全漏洞披露的主體

網(wǎng)絡(luò)安全漏洞合法披露主體包括以下三類：（1）廠商，即《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）中的產(chǎn)品和服務(wù)提供者。廠商對(duì)自身的軟硬件負(fù)有產(chǎn)品責(zé)任和安全保障義務(wù)，因此是最初始意義上的安全漏洞發(fā)現(xiàn)者和最無爭議的安全漏洞披露主體?！毒W(wǎng)絡(luò)安全法》第二十二條明確了廠商向用戶和有關(guān)主管部門披露安全漏洞的安全義務(wù)。

（2）政府機(jī)構(gòu)。政府機(jī)構(gòu)作為合法漏洞披露主體，可包括兩個(gè)層次：第一，國家級(jí)安全漏洞披露平臺(tái)。中國國家信息安全漏洞庫（CNNVD）和國家信息安全漏洞共享平臺(tái)（CNVD）承擔(dān)國家統(tǒng)一的安全漏洞收集、發(fā)布、驗(yàn)證、分析、通報(bào)、修補(bǔ)等工作，是我國國家級(jí)漏洞披露主體代表。第二，安全漏洞披露協(xié)調(diào)和決策機(jī)構(gòu)?！毒W(wǎng)絡(luò)安全法》第五十一條明確了我國網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)的工作機(jī)制，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。可考慮依據(jù)此條建立我國國家層面統(tǒng)一的跨部門、多機(jī)構(gòu)網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)與共同決策機(jī)制，充分發(fā)揮“國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心”，主導(dǎo)我國網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)與決策工作。

（3）網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。我國網(wǎng)絡(luò)安全專業(yè)服務(wù)快速發(fā)展，專業(yè)機(jī)構(gòu)開展網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)、網(wǎng)絡(luò)運(yùn)行管理等方面的安全認(rèn)證、檢測和風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)，在提升網(wǎng)絡(luò)安全保障能力方面發(fā)揮了重大作用。為進(jìn)一步發(fā)揮網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的作用，《網(wǎng)絡(luò)安全法》將“網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)”納入責(zé)任主體范疇，鼓勵(lì)企業(yè)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險(xiǎn)評(píng)估工作；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》賦予網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中更多的工作內(nèi)容，并鼓勵(lì)其參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享。

2.2 網(wǎng)絡(luò)安全漏洞披露的對(duì)象

網(wǎng)絡(luò)安全漏洞披露應(yīng)當(dāng)有具體的披露對(duì)象，具體包括兩類：第一，網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的用戶。用戶是產(chǎn)品和服務(wù)的直接使用者，也是安全風(fēng)險(xiǎn)發(fā)生后的直接受害者。依據(jù)《中華人民共和國合同法》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》等法律規(guī)定，用戶擁有對(duì)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的知情權(quán)。第二，政府機(jī)構(gòu)?！毒W(wǎng)絡(luò)安全法》第二十二條同時(shí)要求產(chǎn)品和服務(wù)提供者向有關(guān)主管部門報(bào)告漏洞。在現(xiàn)行立法框架下，國家網(wǎng)信部門、公安部、國家安全部及國家保密行政管理、國家密碼管理和國家行業(yè)主管或監(jiān)管部門等均有可能是此條規(guī)定的“有關(guān)主管部門”。本文認(rèn)為，政府機(jī)構(gòu)基于第二十二條獲得的網(wǎng)絡(luò)安全漏洞信息，不僅構(gòu)成《網(wǎng)絡(luò)安全法》第五十一條中監(jiān)測預(yù)警信息的重要組成部分，而且成為我國安全漏洞披露協(xié)調(diào)和決策機(jī)制工作的重要信息來源。

2.3 網(wǎng)絡(luò)安全漏洞披露的方式

第一，《網(wǎng)絡(luò)安全法》第二十二條規(guī)定的“告知”行為對(duì)象是用戶，指網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者基于產(chǎn)品、服務(wù)的漏洞“缺陷”向用戶承擔(dān)的初始義務(wù)和追責(zé)依據(jù)?！案嬷毙袨閮?nèi)容包括說明某個(gè)產(chǎn)品或服務(wù)存在安全漏洞這一事實(shí)、漏洞缺陷可能造成的后果及用戶可以采取的降低風(fēng)險(xiǎn)的措施、補(bǔ)丁修復(fù)或者找到其他解決辦法之后的事后信息等。

第二，《網(wǎng)絡(luò)安全法》第二十二條規(guī)定的“報(bào)告”，明確和完整表述為“向有關(guān)主管部門報(bào)告”。根據(jù)《網(wǎng)絡(luò)安全法》第八條的規(guī)定，目前我國形成了國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)各司其職并在網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下開展網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作的職責(zé)布局。

第三，《網(wǎng)絡(luò)安全法》第二十六條規(guī)定的“發(fā)布”，具有向社會(huì)不特定人公開的特性。此概念對(duì)應(yīng)于傳統(tǒng)漏洞披露的“完全披露”類型，向社會(huì)發(fā)布會(huì)引發(fā)不可逆的各種可能，一旦發(fā)布，將對(duì)“告知”與“報(bào)告”產(chǎn)生直接影響。因此，《網(wǎng)絡(luò)安全法》要求無論網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者，或網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)“向社會(huì)發(fā)布”，均“應(yīng)當(dāng)遵守國家有關(guān)規(guī)定”，強(qiáng)調(diào)對(duì)前置程序的規(guī)范審核[1]。

第四，《網(wǎng)絡(luò)安全法》第五十一條規(guī)定的“通報(bào)”，具有網(wǎng)絡(luò)安全信息共享的特性。其啟動(dòng)主體、指向?qū)ο蠖紩?huì)因共享要素考慮的充分性、完備性與否而具有不同體現(xiàn)。

2.4 網(wǎng)絡(luò)安全漏洞披露的責(zé)任豁免規(guī)定

我國安全漏洞披露同樣應(yīng)限定在目的合法和行為授權(quán)的框架內(nèi)。安全漏洞披露的責(zé)任豁免是指在形式上符合漏洞披露禁止規(guī)定的行為，由于符合免除責(zé)任的規(guī)定而從安全漏洞披露規(guī)定的適用中排除，以豁免的形式授予相關(guān)主體和行為的合法性。安全漏洞責(zé)任豁免規(guī)定具有維護(hù)網(wǎng)絡(luò)安全、推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)的創(chuàng)新、實(shí)現(xiàn)多方利益平衡的重要價(jià)值。

3 結(jié)語

綜上所述，我國現(xiàn)行立法已提出網(wǎng)絡(luò)安全漏洞合法披露的基本要求，但仍然缺乏對(duì)于規(guī)則實(shí)現(xiàn)的具體設(shè)計(jì)，無法為安全漏洞披露行為提供明確指引。美國很早開始從法律和政策層面構(gòu)建網(wǎng)絡(luò)安全漏洞披露規(guī)制，并根據(jù)情形不斷調(diào)整，呈現(xiàn)從負(fù)責(zé)任披露到協(xié)同披露變革的趨勢，現(xiàn)階段網(wǎng)絡(luò)安全漏洞披露規(guī)則的制定更是上升到與國家安全和政治利益密切相關(guān)的高度。

[1]黃道麗. 網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)[J]. 暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018，40（1）：94-106.

Network Security Vulnerability Disclosure Rules and System Design

Liang Tiansheng

Guangdong Polytechnic College, Guangdong Zhaoqing 526100

With the development of social economy, network security vulnerability disclosure has become the central link of network security risk control. Unregulated or illegal network security disclosures endanger the overall security of cyberspace and highlight the grey areas of the law. In practice, network security vulnerability disclosures are characterized by non-disclosure, full disclosure, responsible disclosure and collaborative disclosure. China’s current legislation proposes the basic requirements for legal disclosure of network security vulnerabilities from three levels, product and service providers, third parties and countries. It can draw on extraterritorial experience and focus on collaborative disclosure, focusing on disclosure subjects, disclosure targets, disclosure methods and disclosures. The liability exemption argument and the design of a network security vulnerability disclosure rule system provide clear guidance for disclosure of security breaches.

network security vulnerability; disclosure; type; rules; collaboration

TP393.08

A