周一7点|研究分享：我们在网络中“裸奔”

（点击查看大图，长按可保存图片）

作者 | 赵精武，北京航空航天大学法学院网络信息安全方向博士生（计算机学院联合培养）

原文标题 | 《网络安全漏洞挖掘的法律规制研究》

基金项目 |中国法学会部级项目《安全防范信息的采集与利用相关法律问题研究》（批准号：CLS（2016）C13）；国家社会科学基金重大项目《信息法基础》（批准号：16ZDA075）。

本文略有删减

原文提要

网络安全漏洞的挖掘、披露、交易、修复日益成为各国网络安全治理的中心议题。“袁炜案”直接表明了我国现行法对网络安全漏洞挖掘行为的否定性态度，《刑法》第二百八十五条前两款对善意黑客的漏洞挖掘行为构成了不当限制，应当通过《网络安全法》第二十六条对其在漏洞挖掘领域的适用进行严格的限缩解释，并围绕《网络安全法》从立法论的角度重塑漏洞管理机制。在充分考虑网络安全漏洞自身动态性、复杂性、开放性的基础上，从国家安全的高度把握漏洞挖掘治理，健全漏洞挖掘立法体系；完善漏洞库并配套漏洞评级机制；明确公私合作框架，对挖掘主体进行备案；在遵循现有实践的基础上对挖掘行为分级授权，并进一步强化漏洞的跨境流动应对。

网络安全漏洞挖掘关乎国家安全

互联网正在逐渐摆脱其最初的工具、渠道、平台属性，逐渐转变为异常复杂的网络空间。按照搜索引擎爬虫是否可以检索或通过超链接的形式访问，互联网分为表网和暗网两层，作为互联网“蛮荒地带”的暗网中充斥着大量待价而沽的高风险网络安全漏洞， 一些著名网络安全公司雇员甚至沦为“数据掮客”，以贩卖高风险漏洞给其他国家和极端组织作为营利手段。

网络安全漏洞利用已经成为国家间网络安全攻击行为的暗战场。在此背景下，“瓦森纳协定”将漏洞视为一种“潜在武器”进行监管，其规定：“参与国不得随意进出口利用漏洞设计规避政府系统监测以及修改系统或用户信息的软件。” 要知道，一个高风险的漏洞足以对国家安全造成毁灭性打击，典型的案例如2003年微软公布的冲击波病毒；2010年伊朗核电站所遭遇的“震网”病毒袭击；2012年微软曝出的 ０Ｄａｙ漏洞已经被黑客利用并实施恶意挂马攻击。

所谓网络安全是指“保护信息和信息系统不受未经授权的访问、使用、披露、破坏、修改或者销毁”，以确保信息的完整性、保密性和可用性。网络安全包含信息系统权限获取和数据泄露两个层面，事实上，这主要来自于网络安全漏洞的发现与利用，不同类型的漏洞获取，意味着不同等级的系统控制权取得和风险数据攫取。以管窥豹，网络安全漏洞治理在网络安全保护中居于牵一发而动全身的核心地位，贯穿了国家、社会、个人多个层次法律利益，其泄露势必对国家安全、公共安全及社会稳定造成极大的破坏和挑战。因此，无论是出于对关键基础设施保护的目的，还是国家安全战略的需求，网络安全漏洞治理必将是各国网络安全治理与立法的核心命题。

图片来源于网络

对完善我国网络安全漏洞

挖掘制度的建议

我国网络空间安全战略再次重申“建立完善国家网络安全技术支撑体系，加强网络安全基础理论和重大问题研究，加强网络安全标准化和认证认可工作，更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制。”

有鉴于此，应当从国家战略的高度把握网络安全漏洞制度构造，在配套规章或者修改相关法律时，以《网络安全法》第二十六条为中心展开，采用公私合作的治理框架，进一步完善漏洞数据库，明确网络安全漏洞评级机制，对进行漏洞挖掘“白帽子”、漏洞测试平台的主体地位加以明确，在遵循现有实践的基础上区分授权挖掘行为，并进一步强化漏洞的跨境流动应对。

（一）构建网络安全漏洞挖掘立法体系

网络安全漏洞挖掘治理，体现了一种技术治理的理念，其自身具有预防性治理的特点。具体表现为运用技术手段先于法律对互联网安全问题进行治理，以弥补纯粹法律适用所带来的滞后性问题。在网络安全漏洞立法过程中，应当把握“技术先导，法律配合”的理念，为漏洞挖掘治理预留一定的赋权空间，使得作为“源头治理”的技术治理与法律手段共同配合、双管齐下，实现网络安全有序治理。

当前我国《网络安全法》规定仍较为粗放，在强调国家安全优先、政府主导与企业配合、保障网络公共秩序的基础上，一部《网络安全法（实施细则）》实有必要。实施细则可以考虑将较为成熟的实践经验予以法律化，将《信息安全等级保护管理办法》、《CNVD漏洞安全响应指导规范》、《信息安全等级保护管理办法》的部分内容上升为法律规范。

图片来源于网络

（二）完善国家安全信息漏洞库，配套漏洞评级机制

当前世界各国均建立漏洞库作为其网络战争的核心战略资源储备，2006年，美国政府建立了美国国家安全漏洞库，专门针对漏洞的名称、来源、CVE标号，CVSS分数等信息进行描述。美国将软件漏洞和操作系统的漏洞视为一种重要的战略资源，由联邦政府负责收集和管理，该漏洞库由国土安全部部署并提供建设资金，美国国家标准与技术研究院负责技术开发和运维管理，在全仿真的环境下进行实战操作，实时掌握网军的对抗打击能力，以便更新其防御措施。

《网络安全法》第三十九条规定：“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。”网络安全信息共享制度核心内容为漏洞信息共享，一个完善、健全的漏洞库确有必要。

2009年 １０月 １８日，国家互联网应急中心牵头成立中国信息安全评测中心，联合其他安全厂商和用户成立的民间组织，负责建设运营维护国家安全漏洞资源管理库平台“国家网络安全漏洞库”（CNNVD）对外提供漏洞分析、通报服务。目前，CNNVD通过社会提交、协作共享、网络搜集以及技术检测等方式，已积累信息技术产品漏洞 ８万余条，信息系统相关漏洞 ４万余条，相关补丁和修复措施 ２万余条。

作者认为，由于 CNNVD拥有较为成熟的经验处理漏洞治理工作和快速响应能力，因此应当优先考虑由信息安全测评中心牵头完善漏洞数据库，并负责网络安全漏洞信息共享、评级、发布工作。对于漏洞评级机制的建立，可以将《CNNVD漏洞安全响应指导规范》中较为成熟的经验转化为法律规范。当前我国漏洞的分类方法过于繁多，按照危险系数和处置类型的分类方法值得借鉴。

（三）明确挖掘公私合作框架，建立挖掘主体备案制度

在完善漏洞库的基础上，网络漏洞安全挖掘应当坚持安全与发展并重，政府与企业应当加强联动协作，强化网络安全漏洞信息共享，并进一步完善平台监管责任、个人责任豁免。

我国《网络安全法》第二十二条和第二十五条分别规定了互联网企业的网络产品缺陷、漏洞报告义务和网络安全应急预案义务，当前，我国漏洞库的网络安全漏洞数量较少，依靠服务商群体显然难以支撑整个漏洞库平台，“白帽子”的价值正是体现了多方参与的优势。其通过测试软件系统后告知被测试系统潜在风险，并模拟漏洞被恶意利用时的各种危害情形。

图片来源于网络

我国《网络安全法》第二十六条规定的网络安全漏洞挖掘主体并不明确，若依据《网络安全法》第六十二条责任条款进行体系解释可推知，漏洞挖掘参与主体并不局限于互联网企业，政府部门与个人同样包含在内，这在一定程度上为漏洞挖掘行为民间主体提供了合法性依据。较为遗憾的是，《网络安全法》并未明确网络安全漏洞治理的负责机构和实现机制，对企业的激励也不够充分，建议在配套立法中增加授权政府与企业建立漏洞信息挖掘协作机制的规定，并完善网络安全漏洞信息共享机制，可以考虑参照域外 Ｈａｃｋｅｒｏｎｅ相关合作机制。漏洞挖掘测试和发布行为需要企业主导，政府监管，并且赋予“白帽子”挖掘行为豁免机制。

（四）借鉴《信息安全等级保护管理办法》，区分漏洞挖掘分级授权

《网络安全法》第三十八条规定了关键基础设施运营者以年为单位的安全检测义务。实现关键基础设施安全可控的核心在于网络安全漏洞的挖掘和发现，当前网络安全漏洞呈现出井喷之势，每年一次的评估显然并不符合网络安全的实践需求，有必要对挖掘行为授权机制加以明确，确保多方参与网络安全维护工作。

对于挖掘行为授权机制的建立，可以考虑结合《信息安全等级保护管理办法》的既有实践，以等级保护作为切入点区分网络安全漏洞挖掘授权机制。根据信息系统受到破坏后所造成的损害范围不同，将挖掘行为分为禁止挖掘、许可挖掘和一般挖掘三种，进一步廓清“白帽子”漏洞挖掘行为的边界。

禁止挖掘指涉密的国家关键基础设施，指符合《信息安全等级保护管理办法》第七条第 ５级的情形。主要涉及《刑法》第二百八十五条第一款、《国家安全法》、《保守国家秘密法》第二十四条和四十八条规定的涉密信息系统，例如一些涉及国家机密的大型服务器，对此类关键基础设施漏洞挖掘，应当以声明禁止挖掘为原则，许可挖掘为例外。

图片来源于网络

许可挖掘是指符合《信息安全等级保护管理办法》第七条第 ３、４级的情形。经国家机关授权，备案的“白帽子”可进行关键基础设施漏洞挖掘测试，许可挖掘的主体多集中于大型互联网公司的民用设施和部分非涉密关键基础设施，其挖掘有助于在系统安全性提升与被恶意追踪之间寻求平衡，许可挖掘不同于传统定向委托网络安全公司所进行的漏洞挖掘测试。一般挖掘主要指的是符合《信息安全等级保护管理办法》第七条第 １、２级的情形，对于关键基础设施之外的一些商业用途的网站和系统可以允许经过备案的白帽子进行普遍挖掘。

（五）强化网络安全漏洞的跨境流动应对，建立漏洞传输评估规则

《国家安全法》第二十五条将“加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密”作为一项国家安全义务加以确认。网络安全漏洞正在成为一种重要的国家战略资源，《瓦森纳协定》补充协定更是将零日漏洞等视为一种潜在的武器进行监管。以“震网攻击”为例，网络安全漏洞发现意味着一种攻击的可能性，其恶意利用足以对国家安全造成毁灭性打击，需要从法律制度上予以正视和回应。

网络安全漏洞与跨境数据流动密切相关，数据安全问题会因为各国数据空间主权观念的差别，或者数据法制、数据利益、数据安全保护观念的差异，导致相互之间在数据流动和国际合作方面的复杂性。作为网络安全重要战略资源的漏洞，不同于一般数据，应当严格限制漏洞数据的跨境流动，参照《网络安全法》第三十七条确立了跨境数据流动评估规则，在制定安全评估办法的时候充分考虑网络安全漏洞的特殊性，可以参照网络安全漏洞的危险系数和处置类型双重评级标准，对于高危、事件型漏洞应当禁止跨境流动，对于一般性、通用的漏洞可以在评估后允许其跨境传输。

原文首发于暨南学报（哲学社会科学版）2017年第5期，于2017年9月被《新华文摘》全文转载。

长按扫描二维码可快速查看全文

延伸阅读

周一7点|研究分享：网络环境下诽谤罪主观要素认定标准探究

周一7点|研究分享：朋友圈”晒娃“，娃同意了吗？

主编 | 孙升云

副主编 | 闫月珍

责任编辑 | 李晶晶

图文编辑 | 邹雅嘉

音频 | 张心蕊

点击阅读原文可下载原文