朱莉欣，陳 偉

（1.西安交通大學(xué) 蘇州信息安全法學(xué)所，江蘇 蘇州 215123；2.海軍航空大學(xué)，山東 煙臺 264001）

0 引 言

隨著國家和社會(huì)信息化程度的不斷加深，數(shù)據(jù)作為國家基礎(chǔ)性戰(zhàn)略資源，在國家安全中的地位作用日益凸顯。但是，計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，都或多或少存在一定缺陷，這就是“漏洞”（vulnerability）。近年來，數(shù)據(jù)泄露事件時(shí)有發(fā)生，對國家安全、社會(huì)穩(wěn)定和企業(yè)及用戶利益造成嚴(yán)重后果，漏洞正是造成各種數(shù)據(jù)泄露事件的罪魁禍?zhǔn)字籟1]。在《中華人民共和國網(wǎng)絡(luò)安全法（草案）》征求意見過程中，就有人提出建議，一些個(gè)人和機(jī)構(gòu)隨意發(fā)布系統(tǒng)漏洞等網(wǎng)絡(luò)安全信息，對維護(hù)網(wǎng)絡(luò)安全影響較大，應(yīng)予規(guī)范。最終通過的《中華人民共和國網(wǎng)絡(luò)安全法》第26條規(guī)定：開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險(xiǎn)評估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。2021年6月10日，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過了《中華人民共和國數(shù)據(jù)安全法》，該法與網(wǎng)絡(luò)安全法有關(guān)條款有機(jī)銜接，對事關(guān)國家安全和經(jīng)濟(jì)社會(huì)發(fā)展的數(shù)據(jù)安全問題進(jìn)行了全面規(guī)范，必將有效提高國家數(shù)據(jù)安全保障水平。漏洞問題關(guān)系網(wǎng)絡(luò)安全，影響國家安全，對漏洞進(jìn)行有效管理除了要遵守網(wǎng)絡(luò)安全法的相關(guān)規(guī)定，也要落實(shí)數(shù)據(jù)安全法的新要求，在漏洞全生命周期管理過程中，進(jìn)一步完善相關(guān)管控措施，確保網(wǎng)絡(luò)和信息系統(tǒng)安全。

1 全球漏洞管理概述

網(wǎng)絡(luò)安全等級保護(hù)制度是我國現(xiàn)行網(wǎng)絡(luò)安全領(lǐng)域的一項(xiàng)重要制度。網(wǎng)絡(luò)安全法明確規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度?！吨腥A人民共和國數(shù)據(jù)安全法》第21條按照等級保護(hù)制度的相關(guān)要求，規(guī)定了數(shù)據(jù)分類分級保護(hù)制度，要求根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行分類分級保護(hù)。

1.1 結(jié)合漏洞評級和分析進(jìn)行漏洞信息分類

根據(jù)對網(wǎng)絡(luò)安全構(gòu)成的威脅程度不一，漏洞可以分為不同類別。美國國家計(jì)算機(jī)通用漏洞數(shù)據(jù)庫（NVD）將漏洞分為危急（CRITICAL）、高危（HIGH）、中危（MEDIUM）、低危（LOW）四類；中國國家信息安全漏洞庫（CNNVD）根據(jù)漏洞危害級別，將漏洞分為危急、高危、中危、低危四類；國家信息安全漏洞共享平臺（CNVD）將漏洞分為高危漏洞、中危漏洞和低危漏洞三類。GB/T 30279—2020《網(wǎng)絡(luò)安全漏洞分類分級指南》提供了網(wǎng)絡(luò)安全漏洞的分類方式、分級指標(biāo)，并給出了分級方法的建議，將漏洞分為超危、高危、中危和低危四級。有研究認(rèn)為，應(yīng)充分考慮網(wǎng)絡(luò)安全漏洞的特殊性，以漏洞影響產(chǎn)品的波及面、導(dǎo)致的破壞程度、漏洞利用難度、漏洞修復(fù)難度等為評估重點(diǎn)，對漏洞進(jìn)行評級[2]。我們認(rèn)為，應(yīng)根據(jù)相關(guān)國家標(biāo)準(zhǔn)，參考國外通行做法，對漏洞分級進(jìn)行統(tǒng)一規(guī)范，避免因技術(shù)標(biāo)準(zhǔn)不統(tǒng)一等原因造成漏洞分級不規(guī)范而引發(fā)網(wǎng)絡(luò)安全事故。有關(guān)漏洞數(shù)據(jù)除考慮漏洞本身的級別外，還要考慮漏洞數(shù)據(jù)的大小、存儲(chǔ)介質(zhì)等因素，對漏洞信息的類別進(jìn)行綜合判定。

1.2 將重要漏洞信息列入重要數(shù)據(jù)目錄以加強(qiáng)保護(hù)

《中華人民共和國數(shù)據(jù)安全法》第21條規(guī)定，國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)。該法第27條第2款還規(guī)定，對重要數(shù)據(jù)進(jìn)行處理，應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。因此，一方面，國家相關(guān)部門在制定重要數(shù)據(jù)目錄時(shí)要充分考慮漏洞信息的特殊重要性，采取合理的方式將重要漏洞信息納入目錄。另一方面，各單位在處理漏洞信息等重要數(shù)據(jù)時(shí)，要按照法律要求健全相關(guān)機(jī)構(gòu)，明確責(zé)任人，盡到審慎處理責(zé)任，落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)。

1.3 將關(guān)鍵信息基礎(chǔ)設(shè)施漏洞信息作為國家核心數(shù)據(jù)以專門保護(hù)

國家核心數(shù)據(jù)是數(shù)據(jù)安全法規(guī)定的最為重要的一類數(shù)據(jù)，要實(shí)施更加嚴(yán)格的管理制度。加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)已成為全球共識。很多國家都通過立法對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行特殊保護(hù)。我國網(wǎng)絡(luò)安全法在第3章網(wǎng)絡(luò)運(yùn)行安全中，專設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全一節(jié)，對重要行業(yè)領(lǐng)域和關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全實(shí)行重點(diǎn)保護(hù)。數(shù)據(jù)安全法也規(guī)定，關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。由于關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞導(dǎo)致的威脅會(huì)對國家安全和社會(huì)穩(wěn)定產(chǎn)生不可逆的嚴(yán)重危害，有研究者建議，法律應(yīng)構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞的信息共享機(jī)制，整合來自政府、企業(yè)等網(wǎng)絡(luò)威脅、漏洞和事件信息，同時(shí)對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域漏洞的挖掘、披露、報(bào)告和利用等行為予以特別規(guī)制，提升國家整體的網(wǎng)絡(luò)安全態(tài)勢感知能力[3]。我們認(rèn)為，考慮關(guān)鍵信息基礎(chǔ)設(shè)施漏洞潛在的巨大風(fēng)險(xiǎn)，相關(guān)數(shù)據(jù)一旦失管失控可能對國家安全帶來的危害，應(yīng)將其數(shù)據(jù)單獨(dú)作為一類，實(shí)施特殊保護(hù)。

2 建立漏洞信息事先管控和事后處置機(jī)制

數(shù)據(jù)安全法通過將自上而下的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測、預(yù)測與監(jiān)管同自下而上的數(shù)據(jù)風(fēng)險(xiǎn)評估及報(bào)告有機(jī)結(jié)合，建立了對數(shù)據(jù)安全的交叉監(jiān)管事先管控體系。此外，該法還對發(fā)生數(shù)據(jù)安全事件后的應(yīng)急處置機(jī)制進(jìn)行了規(guī)范。漏洞信息也應(yīng)按照法律要求完善事先管控和事后處置機(jī)制。

2.1 漏洞風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制

《中華人民共和國數(shù)據(jù)安全法》第22條規(guī)定，國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制。同時(shí)，本法還對數(shù)據(jù)處理者賦予了風(fēng)險(xiǎn)監(jiān)測、采取補(bǔ)救措施、報(bào)告等相應(yīng)義務(wù)。而對于漏洞數(shù)據(jù)，則依法應(yīng)做到以下幾點(diǎn)：

首先，國家主管部門應(yīng)加強(qiáng)對漏洞信息的監(jiān)管，進(jìn)一步完善管理體制。一是要加強(qiáng)漏洞信息的風(fēng)險(xiǎn)評估。漏洞信息的風(fēng)險(xiǎn)評估，除根據(jù)漏洞本身的類別進(jìn)行評判外，還要結(jié)合漏洞數(shù)據(jù)的數(shù)量、存儲(chǔ)傳輸媒介等因素綜合評判漏洞信息的風(fēng)險(xiǎn)。二是要做好漏洞信息報(bào)告與信息共享。各監(jiān)管部門收到的漏洞信息應(yīng)及時(shí)向上級監(jiān)管部門報(bào)告，并按照“實(shí)時(shí)共享”的要求，將漏洞信息與其他部門在第一時(shí)間共享。三是主動(dòng)進(jìn)行漏洞信息監(jiān)測預(yù)警。各部門應(yīng)加強(qiáng)對漏洞信息的監(jiān)測，發(fā)現(xiàn)未經(jīng)許可披露的漏洞信息要及時(shí)采取控制措施，并同步做好相應(yīng)預(yù)警工作。

其次，數(shù)據(jù)處理者應(yīng)按照法律要求謹(jǐn)慎處置漏洞信息?！吨腥A人民共和國數(shù)據(jù)安全法》第29條規(guī)定：開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。此外，對重要數(shù)據(jù)的處理者有更加嚴(yán)格的要求。該法第30條明確指出，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)評估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等。

在這方面，有研究提出應(yīng)根據(jù)漏洞級別，決定是否披露漏洞以及如何披露漏洞，嚴(yán)禁企業(yè)未經(jīng)授權(quán)和安全評估，以競賽、通報(bào)等形式私自進(jìn)行披露。還有主張通過代碼規(guī)制的方式進(jìn)行漏洞的披露[4]，即主要依賴網(wǎng)絡(luò)信息技術(shù)進(jìn)行漏洞信息的發(fā)布。然而，鑒于漏洞普遍存在且無法完全避免，這種模式極有可能產(chǎn)生新的漏洞，對網(wǎng)絡(luò)安全構(gòu)成新的威脅，因此還是應(yīng)將技術(shù)與法律規(guī)制有機(jī)結(jié)合，建立國家層面的安全漏洞信息風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制。對網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營者等數(shù)據(jù)處理者而言，應(yīng)根據(jù)2021年7月21日頒布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，漏洞公開前及時(shí)采取措施對漏洞進(jìn)行修復(fù)，開發(fā)漏洞補(bǔ)丁，防范網(wǎng)絡(luò)安全事件發(fā)生，并向國家主管部門報(bào)告漏洞情況。第三方組織及個(gè)人發(fā)現(xiàn)漏洞后，可在嚴(yán)格遵守國家法律法規(guī)的前提下進(jìn)行發(fā)布。

2.2 漏洞數(shù)據(jù)安全應(yīng)急處置機(jī)制

漏洞發(fā)現(xiàn)后，如不采取有效管控措施，很有可能造成網(wǎng)絡(luò)安全事件，特別是漏洞信息采集達(dá)到一定數(shù)量后的風(fēng)險(xiǎn)更是成倍增大。《中華人民共和國網(wǎng)絡(luò)安全法》第25條規(guī)定：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。與該規(guī)定相配套，數(shù)據(jù)安全法也建立了數(shù)據(jù)安全應(yīng)急處置機(jī)制。漏洞數(shù)據(jù)關(guān)系網(wǎng)絡(luò)安全，必須做好因漏洞數(shù)據(jù)泄露造成網(wǎng)絡(luò)安全事件的準(zhǔn)備，完善漏洞數(shù)據(jù)安全應(yīng)急處置機(jī)制。

一方面，主管部門要依法履行監(jiān)管職責(zé)，完善漏洞泄露應(yīng)對預(yù)案，采取應(yīng)急措施，發(fā)布警示信息。數(shù)據(jù)安全法規(guī)定，發(fā)生數(shù)據(jù)安全事件，有關(guān)主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴(kuò)大，消除安全隱患，并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。漏洞信息因特殊情況被泄露后造成網(wǎng)絡(luò)安全事件，根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定，根據(jù)事件相應(yīng)等級，按照事先擬制的應(yīng)急預(yù)案進(jìn)行處置。為防止因網(wǎng)絡(luò)謠言誤導(dǎo)公眾，主管部門還要向社會(huì)發(fā)布與公眾有關(guān)的警示信息，要堅(jiān)持及時(shí)、準(zhǔn)確、客觀、適度的原則，防止誤導(dǎo)輿論，造成社會(huì)恐慌。

另一方面，數(shù)據(jù)處理者應(yīng)承擔(dān)處置、報(bào)告義務(wù)?！吨腥A人民共和國數(shù)據(jù)安全法》第29條規(guī)定，發(fā)生數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。為提高漏洞事故處置能力，近年來，一些網(wǎng)絡(luò)公司紛紛建立安全應(yīng)急響應(yīng)中心（Security Response Center，SRC），鼓勵(lì)公眾發(fā)現(xiàn)安全漏洞，搜集漏洞信息，以第一時(shí)間修復(fù)漏洞，提高安全防御能力。一旦發(fā)生漏洞數(shù)據(jù)安全事件，數(shù)據(jù)處理者應(yīng)采取各種技術(shù)措施控制事態(tài)發(fā)展，最大限度地控制漏洞信息蔓延，保留相關(guān)證據(jù)，邊處理邊及時(shí)向上級主管部門、屬地相關(guān)部門報(bào)告事件信息。同時(shí)，還要做好對事件進(jìn)行調(diào)查和評估，分析事件發(fā)生原因，判斷事件影響、危害和可能波及的范圍，提出應(yīng)對措施建議。

3 落實(shí)漏洞數(shù)據(jù)安全審查制度

眾所周知，安全審查制度是有效預(yù)防和化解國家安全風(fēng)險(xiǎn)的重要舉措?！吨腥A人民共和國國家安全法》關(guān)于建立國家安全審查和監(jiān)管的制度和機(jī)制，是確保國家安全行之有效的制度安排。網(wǎng)絡(luò)安全審查制度是國家安全審查制度在網(wǎng)絡(luò)空間的具體化，是基于信息安全風(fēng)險(xiǎn)防控目的，以防止網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者和服務(wù)的非法控制、干擾、中斷用戶系統(tǒng)，防止非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。我國網(wǎng)絡(luò)安全法建立了國家網(wǎng)絡(luò)安全審查制度。該法第35條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的國家安全審查。2017年5月，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，與網(wǎng)絡(luò)安全法同步實(shí)施，邁出我國網(wǎng)絡(luò)安全審查實(shí)質(zhì)性步伐。除采購關(guān)鍵信息系統(tǒng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)按照網(wǎng)絡(luò)安全法及相關(guān)配套法規(guī)的要求進(jìn)行安全審查外，數(shù)據(jù)安全法進(jìn)一步完善了我國的安全審查制度，將可能影響國家安全的數(shù)據(jù)處理活動(dòng)也納入國家安全審查的范圍。

實(shí)踐中，對網(wǎng)絡(luò)信息進(jìn)行安全審查也是各國通行的做法。如美國為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，出臺了一系列法律法規(guī)，實(shí)施安全審查政策，構(gòu)建了一套完整的供應(yīng)鏈安全管理體系[5]。漏洞涉及國家安全，因此漏洞信息的處理活動(dòng)應(yīng)按照數(shù)據(jù)安全法的規(guī)定進(jìn)行安全審查。由于近年來西方國家一直對我國相關(guān)網(wǎng)絡(luò)產(chǎn)品進(jìn)行安全審查，并以國家安全為借口實(shí)施限制進(jìn)口等措施，當(dāng)前學(xué)界對安全審查的本質(zhì)還存在不同認(rèn)識。主流觀點(diǎn)認(rèn)為，國家安全審查的內(nèi)核是一個(gè)政治問題，是一種政治法律化和法律政治化的制度安排，國家安全審查機(jī)構(gòu)對相關(guān)行為是否危害國家安全做出政治判斷，因此該判斷不應(yīng)受司法權(quán)力之審查[6]。

2020年5月，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法》，取代了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》。而在進(jìn)一步修改完善該辦法時(shí)，也應(yīng)把包括漏洞信息處理在內(nèi)的數(shù)據(jù)處理活動(dòng)一并納入，作為網(wǎng)絡(luò)安全審查的重要內(nèi)容。具體而言，一是統(tǒng)一數(shù)據(jù)審查對象。對漏洞信息的處理者，無論是境內(nèi)機(jī)構(gòu)還是境外機(jī)構(gòu)，只要是在我國境內(nèi)開展的漏洞信息處理活動(dòng)，都一視同仁地按照法律要求進(jìn)行審查，避免出現(xiàn)一些境外媒體對我國關(guān)鍵信息基礎(chǔ)采購活動(dòng)中進(jìn)行安全審查涉嫌貿(mào)易壁壘的不實(shí)指責(zé)。二是按照數(shù)據(jù)等級進(jìn)行分級審查。根據(jù)漏洞信息所屬的數(shù)據(jù)等級類別，區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、普通數(shù)據(jù)等不同類別，由不同層級主管部門分別對其進(jìn)行審查，提高審查工作效率，實(shí)現(xiàn)重點(diǎn)保護(hù)與全面防護(hù)的有機(jī)結(jié)合，提高安全防護(hù)效果。三是完善審查程序和標(biāo)準(zhǔn)。對漏洞信息進(jìn)行國家安全審查，在考慮政治需要的同時(shí)，也要完善審查程序、審查標(biāo)準(zhǔn)等法律規(guī)范，力爭做到政治與法律的平衡，避免在國際社會(huì)留下貿(mào)易保護(hù)、單邊主義等負(fù)面印象。按照數(shù)據(jù)安全法的規(guī)定，依法作出的安全審查決定為最終決定，當(dāng)事人不能因不服審查結(jié)果向司法機(jī)關(guān)尋求救濟(jì)。

4 實(shí)施漏洞數(shù)據(jù)出口管制制度

出口管制是維護(hù)國家安全和利益的重要手段。當(dāng)前，國際社會(huì)普遍形成共識，數(shù)據(jù)是重要的戰(zhàn)略資源。一方面，為發(fā)揮數(shù)據(jù)最大效能，需要盡可能開放數(shù)據(jù)。另一方面，為加強(qiáng)國家安全和個(gè)人隱私保護(hù)，要對數(shù)據(jù)出境實(shí)施限制?！吨腥A人民共和國數(shù)據(jù)安全法》第25條規(guī)定，國家對與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。

網(wǎng)絡(luò)安全漏洞不僅僅是一種缺陷，也是重要的資源。一些國家甚至將漏洞武器化，如2017年席卷全球的“永恒之藍(lán)”病毒，其來源就是美國國家安全局[7]。此外，美國還將未公開的零日漏洞列入《瓦森納協(xié)定》（Wassenaar Arrangement）中的禁運(yùn)清單之列，禁止將零日漏洞向第三國出口。我國出口管制法明確將相關(guān)技術(shù)資料等數(shù)據(jù)也納入管制物項(xiàng)范圍。漏洞信息數(shù)據(jù)出口，可考慮采取下列管制措施。

一是將對我國采取歧視性措施的國家列入禁運(yùn)清單。一些國家為維護(hù)其網(wǎng)絡(luò)霸權(quán)，在網(wǎng)絡(luò)信息技術(shù)領(lǐng)域?qū)ξ覈鴮?shí)施打壓和制裁政策，將我國一些企業(yè)和科研機(jī)構(gòu)列入所謂實(shí)體清單，禁止將漏洞信息出口到我國。對這種歧視性貿(mào)易措施，我們完全可以根據(jù)《中華人民共和國反外國制裁法》和《中華人民共和國數(shù)據(jù)安全法》的規(guī)定，采取對等措施，將對方列入制裁清單。

二是實(shí)施安全審查和評估，確保不對國家安全、社會(huì)穩(wěn)定和個(gè)人利益構(gòu)成威脅。對關(guān)鍵信息基礎(chǔ)設(shè)施漏洞信息進(jìn)行安全審查，一般不予批準(zhǔn)出境。制定完善《重要數(shù)據(jù)出境安全評估辦法》，對其他等級漏洞信息按照漏洞分級，將一定等級的漏洞信息作為重要數(shù)據(jù)納入評估范圍。同時(shí)可參考《中華人民共和國個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息出境的要求，對漏洞信息的出口進(jìn)行必要的控制，明確出境數(shù)據(jù)的類別、批準(zhǔn)程序。

5 結(jié) 語

《中華人民共和國數(shù)據(jù)安全法》為進(jìn)一步維護(hù)我國網(wǎng)絡(luò)安全提供了法律保障。當(dāng)前，漏洞還無法完全避免，作為影響網(wǎng)絡(luò)安全的重要因素，必須在其全生命周期中加強(qiáng)管理，落實(shí)數(shù)據(jù)安全法相關(guān)制度，對漏洞信息進(jìn)行分類分級保護(hù)，按照數(shù)據(jù)安全風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制和應(yīng)急處置機(jī)制，加強(qiáng)漏洞管控，貫徹實(shí)施《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，把包括漏洞信息處理在內(nèi)的數(shù)據(jù)處理活動(dòng)納入數(shù)據(jù)安全審查范圍，同時(shí)對漏洞信息出口進(jìn)行必要管制，全方位構(gòu)建起漏洞管理的體系，切實(shí)維護(hù)國家網(wǎng)絡(luò)安全。