数据合规系列 | 孙坤铭:阿里云被停6个月,云计算合规敲警钟
The following article is from Internet Law Review Author 孙坤铭
(感谢南开大学法学院校友安尧题字)
阿里云被“暂停作为工信部网络安全威胁信息共享平台合作单位6个月”的合规风险事件,再次引发全社会对网络安全合规问题的高度关注。
这项处罚至少意味着,在未来六个月,阿里云很难再拿到任何对公订单。那些已签合同尚未交付的项目也有可能受到影响。后续是否恢复“共享平台合作单位”,需看阿里云的整改情况,这种商业信誉上的实质性损失已经形成。
亡羊补牢未为晚矣,今日刊载北京周泰律师事务所孙坤铭顾问的分析文章,为中国网络安全企业提供合规应对建议。
全文共: 3178字 预计阅读时间: 10分钟
2021年12月22日,阿里云计算有限公司(以下简称“阿里云”)因此前发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向工业和信息化部(以下简称“工信部”)报告相关漏洞的具体信息,被工信部责令暂停作为工信部网络安全威胁信息共享平台合作单位6个月。
消息一出,2021年12月23日,阿里巴巴美股(BABA.N)收盘股价下跌4.2%,其港股(9988.HK)收盘股价亦下跌1.39%。同日,阿里云微信公众号发布了一则说明,承认其早期未意识到该漏洞的严重性,未及时共享漏洞信息,并表明其将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
此事件背后,反映出国家监管机构对网络安全、数据安全、个人隐私等问题的重视程度持续升级。阿里云作为国内市场占有量最大的云计算平台,不仅是重要的网络服务方,更是新基建的核心一环,网络安全的重要性不言而喻。
01 摔在哪儿了?
Log4j2组件漏洞的网络安全风险和影响
此次被阿里云发现漏洞的阿帕奇(Apache)Log4j2是一款基于Java语言的开源日志框架,控制Java类系统日志信息生成、打印输出、格式配置等,因此被广泛应用于各种应用程序和网络服务。
根据工信部关于阿帕奇(Apache)Log4j2重大安全漏洞的网络安全风险提示,Log4j2组件出现安全漏洞,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。正因为Log4j2在各行业和政府使用的云服务器和软件中应用广泛,这一漏洞可能是近年来发现的最严重的计算机漏洞。因适用范围广和漏洞利用难度低,甚至犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿里云技术团队发现这一漏洞后,因其合规意识不足,未及时向相关部门汇报、共享相关漏洞信息,延误了相关部门组织开展漏洞处置工作、防范网络产品安全漏洞风险,对公共互联网网络安全、甚至国家安全造成了一定风险。
02 刚性合规要求:
《网络产品安全漏洞管理规定》
网络安全和数据安全是近年来非常热门的法律合规议题,国家相关部门的监管力度持续升级,也频繁出台了各类法律法规。在2021年10月11日至17日,在全国范围内展开的国家网络安全宣传周中,习近平总书记更是提出了“没有网络安全就没有国家安全”。
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发通知,公布了《网络产品安全漏洞管理规定》(以下简称“《管理规定》”)。《管理规定》全文共计十六条,与《关键信息基础设施安全保护条例》和《数据安全法》均自2021年9月1日起正式施行,其旨在规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,
《管理规定》对网络产品(包括硬件和软件)提供者和网络运营者、以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人履行网络产品安全漏洞管理义务均作出了明确规定。
03 怎么摔的?
网络产品提供者的通知义务
Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,由美国阿帕奇(Apache)软件基金会维护。阿里云团队的一名研发工程师在发现阿帕奇(Apache)Log4j2组件的安全漏洞后,随后其以邮件方式向阿帕奇(Apache)软件基金会(即软件的运维方)披露了该漏洞,但未与工信部进行信息共享,在社会上引发了巨大争议,甚至有偏激的外行人评论认为阿里云“胳膊肘向外”,将程序不合规问题上升至“政治觉悟不足”。
事实上,阿里云将漏洞通知开源软件维护者是开源社区惯例,也是维护开源社区繁荣发展的基础,这一惯例也得到了法律法规的确认。《管理规定》第七条第一款规定“网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。”
阿里云作为网络产品提供者,在发现Log4j2组件存在安全漏洞后,立即通知软件提供方符合法律规定。正如阿里云在《关于开源社区Apache Log4j2漏洞情况的说明》中所澄清的,阿里云是按业界惯例以邮件方式向软件开发商阿帕奇(Apache)开源社区报告了这一漏洞,阿帕奇(Apache)开源社区也确认这是一个重大漏洞并向全球发布修复补丁。
从阿里云能够率先发现这一漏洞方面并报送软件开发商来看,我们应对其团队技术方面的专业能力予以肯定,但是该技术团队法律合规意识不足,未履行向工信部报送相关漏洞信息的义务,最终受到处罚。
《管理规定》第七条第二款规定“网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。”
即使阿里云技术团队对这一部今年9月刚刚实施的《管理规定》并不熟悉,但是2017年6月1日实施《网络安全法》第二十二条也对网络产品和服务提供者的安全义务作出了相关规定,要求网络服务方发现其网络产品、服务存在安全缺陷漏洞时应及时向有关主管部门报告。
阿里云技术团队于11月24日即发现了Log4j2组件的重大漏洞,但是却忽视了其在《管理规定》下作为网络产品提供者的义务,未在2日内向我国工信部网络安全威胁信息共享平台报送相关漏洞信息,违反相关通知、报告的义务。根据《管理规定》第十二条规定,“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理。”
同时,安全信息的送达是分秒必争的,如果安全漏洞在被发现之后先被恶意的攻击者知晓和利用,就可能造成不可挽回的损失,所以有必要建立专门的通知渠道,保证在安全漏洞被广泛揭晓之前,先让关键服务提供商拥有修复漏洞的机会。
工信部主导、建立网络安全威胁信息共享平台的原因即是确保让安全漏洞信息在尽可能保密的情况下尽快送达各合作单位。而阿里云作为工信部网络安全威胁信息共享平台的合作单位,却未履行通知漏洞信息的义务。最终,工信部以阿里云未有效支撑工信部开展网络安全威胁和漏洞管理为由,决定暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。暂停期满后,工信部门将根据阿里云公司整改情况,研究恢复其上述合作单位。
04 在哪儿摔倒,就从哪儿爬起来
阿里云这个跟头摔得不轻。不仅造成较大的社会关注,对企业正常运营也造成不小的障碍。
虽然阿里云技术团队专业能力出众,但正如其在对外说明中坦白的,团队合规意识亟待提升。本次阿里云合规事件也为中国相关企业的技术团队提了一个大醒,缺乏合规意识可能是一个普遍现象。率先对技术团队进行合规意识培训应是当务之急。
目前国家对网络安全、数据安全、个人隐私等问题的重视程度已到了前所未有的高度,随着网络安全和数据保护法律体系的不断健全,企业应积极地学习相关政策法规,响应法规要求,并在必要时进行整改。
广而言之,在目前政府在全面加强对企业监管力度的态势下,企业需提高与网络安全、数据安全与个人隐私保护、不正当竞争、反垄断等各方面的合规意识,并在必要时聘请专业人士予以协助,进行相关法律和制度的调查和评估,以排查与规避相关风险。
如果发生了重大调查或违规事件,企业也应尽早寻求专业律师的意见,以最大程度地避免损失和保护自身利益。
本文作者
孙坤铭
北京周泰律师事务所
顾问
邮箱:zt@zhoutailaw.com
孙坤铭顾问是法国艾克斯马赛大学商法硕士、中国人民大学法学院法学学士;拥有中国律师资格。执业方向为跨国并购、合资经营、项目融资和基础设施、竞争法以及一般公司事务等。
孙坤铭曾于法国基德国际律师事务所北京办公室担任法律顾问。另外也参与众多境外不同行业的世界领先公司在中国境内开展的直接投资和并购交易,熟悉该类投资项目不同阶段的各类法律问题,并协助外国公司在中国的子公司或代表机构处理日常公司事务。同时在国际仲裁方面也有为境内外客户提供通过仲裁解决跨境商事争议的相关经验。
此外孙坤铭顾问在中国竞争法领域也积累了丰富的专业知识,协助众多境外客户向国家市场监督管理总局反垄断局进行经营者集中申报,并为众多境内外大型企业就中国反垄断法项下的相关法律风险和合规问题提供法律咨询。
图片 | Pexels
首发于 Internet Law Review
以下点击可读:
合规系列 | 孙坤铭:2022年互联网反垄断强监管:首笔罚单后,下一位是谁?
孙坤铭:法网恢恢,“滴滴”不漏——为何赴美上市的滴滴网络安全审查难过关?
王兆峰、高洁、孙坤铭、刘妍妍:《数据安全法》的多维、专业、细分解读
小包公“企业合规大师”新增八大智慧功能 | “小包公”产品矩阵新成员
合规系列 | 杨含青:康美药业案—上市公司刑事合规风险知多少?
新媒首发 | 谢登科、张赫:论刑事合规不起诉中的检察建议——以高检院81号指导性案例为视角
合规系列 | 陈文海:经济纠纷还是合同诈骗?—从一起成功无罪辩护看刑事合规
合规系列 | 宋雷昌等:企业家如何避免“牢狱之灾”——企业刑事合规与危机管控
高显嵩、李敦、朱桐辉:《个人信息保护法》与《汽车数据规定》中的关键技术与规则 | 电子证据与网络法讲坛第四期
《数据安全法》立法组专家支振锋:警惕财务系统成为数据安全风险口