专家 | 黄道丽:网络安全漏洞披露规则及其体系设计
摘要:网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求,可借鉴域外经验,以协同披露为导向,围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系,为安全漏洞披露行为提供明确指引。
关键词:网络安全漏洞;披露;类型;规则;协同
1
引 言
近年来,利用网络安全漏洞实施攻击的安全事件在全球范围内频发,给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节,对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。
国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。2016年我国某“白帽子”披露世纪佳缘网站漏洞引发刑事立案,2017年相继发生的WannaCry勒索病毒全球攻击事件引发微软等厂商对美国政府机构未披露漏洞行为的严厉批评、网易向未经授权擅自公开披露漏洞细节的某“白帽子”发公开声明、国家信息安全漏洞共享平台CNVD公告称因漏洞的不当披露引发党政机关和重要行业网站受到大规模攻击威胁等事件则进一步彰显了网络安全漏洞不规范或非法披露的现实冲击,安全漏洞合法披露主体、合法披露程序、不当披露法律后果等问题成为法律和行业界共同关注的焦点。
向不特定的社会公众披露网络安全漏洞可以提升网络安全防护的实时性和有效性,但恶意或非法的网络安全漏洞披露同样为攻击者提供了可利用的攻击武器。漏洞发现之后应该由谁披露,怎样披露,何时披露等问题变得日益复杂且重要,漏洞披露制度不同,不仅对用户、提供商、协调者等利益相关方造成的影响有很大差异,更会对国家安全、企业利益及个人隐私产生深远影响。出于国家安全和公共利益的现实考虑,网络安全漏洞披露应当遵循特定规则,至少在“由谁披露”和“如何披露”这两个核心问题上满足国家立法的强制性规定。我国《网络安全法》第22条、26条和51条和国家互联网信息办公室2017年7月10日发布的《关键信息基础设施安全保护条例(征求意见稿)》第35条已提出网络安全漏洞合法披露的规则框架和基本要求,但仍然缺乏对于规则实现的具体设计,无法为安全漏洞披露行为提供明确指引。
2
网络安全漏洞披露的概念与类型
1网络安全漏洞及其披露的相关概念
漏洞(Vulnerability),又称脆弱性,这一概念的出现已有30多年历史,技术、学术和产业界从不同角度给出了不同的定义。目前普遍接受的定义是:漏洞是一个或多个威胁可以利用的一个或一组资产的弱点,是违反某些环境中安全功能要求的评估对象中的弱点,是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷,具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的网络安全风险,各界基本将漏洞和网络安全漏洞的概念混用不加区分,漏洞称之为内在的脆弱性,与之相对的是外部安全威胁,内部脆弱性和外部安全威胁结合起来共同构成安全风险。
针对网络安全漏洞本身,尽管国内外立法缺少明确的概念界定,但均延续了传统信息安全的内外两分法,将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。在安全风险层面,《网络安全法》第25条规定将系统漏洞(内部脆弱性)和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险,强调了网络运营者的风险控制和应急处置责任。美国《网络安全信息共享法》(CISA)强调网络安全的目的是“保护信息系统或者使在信息系统存储、处理、传输的信息免于网络安全威胁或网络安全漏洞的侵害”,也将网络安全威胁和网络安全漏洞并列,作为安全风险予以共同防范和控制。其中,更是指明了安全漏洞包括显示存在安全漏洞的异常活动。相比之下,《关键信息基础设施安全保护条例(征求意见稿)》第35条规定将漏洞纳入“安全威胁信息”范畴,则存在定义使用上缩小化的误区。在网络安全信息层面,《网络安全法》第26条通过列举方式界定了网络安全信息的一般范围,包括系统漏洞、计算机病毒、网络攻击、网络侵入等,将漏洞作为第一位的网络安全信息,也体现了网络安全信息承载网络安全风险的基本功能。
一般来说,漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中,漏洞发布即为本文所探讨的漏洞披露,一旦漏洞发现者揭示了厂商(或者其他主体)的漏洞,则漏洞披露阶段随即产生,漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为,漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》(GB/T 30276-2013)将其定义为“在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露,其第26条规定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。
2网络安全漏洞披露的类型
国内外网络安全漏洞披露实践已开展多年,网络安全漏洞的披露类型一直是安全漏洞披露政策争议的焦点。在学者研究及行业发展中,网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。不披露是指漏洞发现者将安全漏洞保密并不进行报告,既不向厂商报告,又不披露给公众。不披露类型不考虑用户权益,漏洞极有可能在黑灰市交易,引发漏洞利用的网络安全危险还有可能引发漏洞利用攻击。完全披露与不披露正好相反,是指漏洞发现者将安全漏洞披露给不特定的公众。完全披露不给厂商充分的时间和警告来解决漏洞,将安全漏洞信息直接暴露于潜在的恶意攻击者,是争议较大的披露类型。支持方认为它可以迅速及时将缺陷告知用户,使其在漏洞被利用进行攻击之前禁用受影响的软硬件以降低损害,并可以敦促厂商及时承认并修补漏洞。反对方则认为在未与厂商协商的情况下暴露缺陷无疑会增加用户系统被广泛开发的风险,因为即使没有代码黑客也能够轻松的开发和编写漏洞。
负责任披露,也被称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。该类型的漏洞披露更具中立性,细节较为复杂,是前两种类型的折中和衍生,虽然存在诸多不合理之处,例如在没有补丁的情况下发布漏洞,仍然会引来类似完全披露导致的安全问题,但这种披露类型兼顾了用户和厂商的利益,被更多安全研究人员赞同。负责任披露中往往包括了协调者参与的协调程序。协调者是一个中立且独立的机构,其能够接收一个或多个厂商的响应,具有解决冲突协调各方利益的能力,是漏洞发现者、公众、用户及厂商之间的纽带。国际上比较有代表性的国家级协调者包括美国应急响应小组(US-CERT)、日本国家计算机应急响应协调中心(JPCERT/CC)、韩国国家网络安全中心等,我国中国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)、国家计算机网络入侵防范中心漏洞库(NCNIPC)等。
近年来,随着信息共享理念应对风险的有效性逐渐显现,网络安全漏洞披露的方式以更易于降低威胁的方式演化,网络安全漏洞发现与修复之间所需的时间差和平衡各方需求成为网络安全漏洞披露的基本考量,厂商、政府、安全研究人员等主体之间的漏洞安全信息共享成为漏洞披露的重要内容。业界普遍开始用“协同披露”代替“负责任披露”的说法。协同披露强调漏洞发现者、厂商、协调者和政府机构等利益相关方应共享安全漏洞信息、协同工作,积极协作处置风险,共同保障用户安全、社会公共利益和国家安全。2015年《中国互联网协会漏洞信息披露和处置自律公约》也体现协同披露这一理念,其第7条规定,“漏洞平台、相关厂商、信息系统管理方和国家应急处置协调机构应协同一致做好漏洞信息的接收、处置和发布等环节工作,做好漏洞信息披露和处置风险管理,避免因漏洞信息披露不当和处置不及时而危害到国家安全、社会安全、企业安全和用户安全”。
安全漏洞协同披露强调用户安全至上,要求面临同一风险的利益相关方分享安全信息、协同共治,实现降低整个群体所面临的网络安全风险。在高危安全漏洞日益增多,补丁修复耗费时间更长的后信息化时代,以信息共享和维护用户利益为导向的协同披露成为一些大型跨国厂商推行的解决方案,例如微软安全研究中心高级研究总监克里斯-贝斯就极力号召协同披露,类似观点也在2017年5月WannaCry勒索病毒攻击事件爆发后多次重提。在微软等跨国厂商的推动下,ISO等国际组织发展了ISO/IEC 29147: Vulnerability disclosure、ISO/IEC 30111: Vulnerability handling processes等若干标准体系,以“最佳实践”的形式指导厂商构建并实施安全漏洞披露制度。
可以看出,从不披露、完全披露、负责任披露到协同披露,安全漏洞披露类型涉及到的利益相关方侧重点各有不同,显示了漏洞披露过程的复杂性,也表明调动各利益相关方共同治理安全漏洞观念的逐渐成熟和体系化。总体来说,以上披露类型在国内外目前的披露实践中均有出现,且往往交织在一起。近年来,虽然在一定程度上更多的协同披露动向正在显现,但漏洞披露环境在很多方面仍然是割裂的,相关问题依然有待解决。鉴于利益相关方的侧重点有所差异,漏洞披露目前仍然没有统一的标准,但都应以最大限度减少损害的方式进行。
3
网络安全漏洞披露规则的域外考察:以美国为例
只要不存在完美的安全软件,漏洞信息的优化配置对于网络社会的稳定性仍是重要要素。在网络安全立法和实践始终处于领先地位的美国,网络安全漏洞披露作为整个网络安全生态系统的关键一环,早已引起法律和政策上的广泛关注。美国涉及安全漏洞信息的直接规定体现在《计算机欺诈与滥用法》、《数字千年版权法》(DMCA)、《爱国者法》、《2002年关键基础设施信息保护法》和《网络安全信息共享法》(CISA)等法律和《关于提升关键基础设施网络安全的行政命令》等行政文件中,这些法律文件在未经授权披露的法律责任、强化关键基础设施漏洞安全保护、信息共享和例外情况下披露的责任豁免等方面做了统一规定。对法律框架下的网络安全漏洞披露规则,美国采取了以政策先行为导向的规范措施,早期政策主要体现在“以负责任披露为核心”的CERT/CC 漏洞披露机制、国家基础设施委员会(NIAC)披露政策和OIS漏洞披露指引中;随着网络安全漏洞的资源性和武器化趋势成为国际组织和国家政府层面的普遍共识,美国的网络安全漏洞披露规则正在经历以协同披露为趋势的现代变革,主要体现在《网络安全信息共享法》(CISA)、《商业与政府信息技术和工业控制产品或系统的漏洞裁决政策和程序》(Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process,简称“VEP”)、《2017补丁法案》和落实《瓦森纳协定》的漏洞出口管控等相关规定中。
1以负责任披露为核心的传统漏洞披露政策及实践
漏洞披露政策与漏洞披露类型密切相关,后者是前者的基础和铺垫,实践中适用最广的漏洞披露类型是制定漏洞披露政策考虑的主要因素。2015年前,美国行业界广泛承认和支持的是负责任披露,当时的披露政策也偏重该种类型。美国“以负责任披露为核心”的政策包括美国计算机紧急事件响应小组协调中心(CERT/CC)、国家基础设施委员会( NIAC)等政府机构制定的框架,以及由大型互联网企业组成的网络安全组织(OIS)主导的指引政策等。
CERT/CC 2000年发布的披露机制属于负责任披露中较为开放的,偏重于保护用户的知情权。CERT/CC起到的作用类似于第三方政府机构,负责将漏洞发现者报告的漏洞反馈给厂商,督促其测试、研发补丁,披露期限为收到该漏洞后的45天之后。这里包括一个例外情况,即有证据表明厂商具有积极的补救漏洞的作为,例如改变其系统组件以降低漏洞被利用的风险等,为鼓励厂商的积极行为可将45天期限延长至90天。该例外情况将厂商的技术限制、社会责任心、安全义务纳入考虑范围,表明了政府机构的中间立场和协调的监管职责,较为科学合理。
NIAC 2004年向总统提交的漏洞披露政策是在调查、研究实践基础上,提出的更全面的漏洞披露政策,包括根据危害性进行漏洞评分、鼓励公私部门信息共享、漏洞修复具有优先级等。该政策将漏洞信息规定为敏感机密的信息,要求对漏洞沟通的所有电子邮件都必须进行加密。若漏洞发现者提交的漏洞信息准确,则厂商应该在7天内响应并禁止其威胁发现者,以切实保护漏洞研究工作者的合法权益和积极性。
OIS 2004年发布的漏洞披露指引政策更侧重漏洞报告的响应机制,规定发现者向厂商发送漏洞报告之后,厂商应在7个工作日内进行回复。研究出补丁之后方可向社会发布漏洞,为加快研究速度以维护安全,相关部门30天内可向利益相关方分享漏洞的详细信息。在整个漏洞修补过程中,若发现者未得到厂商的回复,则可向厂商发送一个收到漏洞的确认请求,厂商若在3天内仍然不予回应,发现者可以寻求第三方协调机构的帮助,协调过程出现冲突还可进一步寻求仲裁,先决条件之一是发现者和厂商均同意且授权范围统一。
从以上典型的漏洞披露政策分析可知,“以负责任披露为核心”的美国传统漏洞披露政策以保护用户知情权为出发点,在明确漏洞披露周期管理的基础上重视利益相关方的协调,开始鼓励公私部门信息共享,同时也注重保护漏洞发现者的合法利益和积极性。实践中厂商也会对善意的漏洞发现者做出一定程度的让步,即使以牺牲自身经济利益为代价,也不愿意引起整个安全研究人员群体的排斥,以防止打压发现者寻求其漏洞、改善其软硬件安全性的主动性。“惠普起诉SnoSoft 公司研究者”一案即体现了这个思路。2002年,惠普公司起诉一家名为SnoSoft的安全研究机构(现更名为Netragard),认为其涉嫌发现和披露惠普Tru64(惠普的 Unix 操作系统)中的22项漏洞,依据《数字千年版权法》(DMCA),安全研究机构和相关人员可能面临高达50万美元的罚款和5年监禁。但惠普员工和其他相关人士都警告惠普公司时任CEO Carly Fiorina,公司如果采取强硬立场可能会打压漏洞研究,对未来惠普软件的安全不利,最终惠普公司选择了撤诉。
此外,“Tornado起诉员工Bret McDanel”一案也反映出对善意漏洞安全研究人员的承认。Tornado是美国一家提供网页邮件和语音邮件服务的公司,其员工Bret McDanel发现公司电子邮件系统存在严重网络安全漏洞,可导致客户隐私泄露,McDanel随即向上级反映,但该漏洞并未得到修复。McDanel离开Tornado公司6个月后得知该漏洞仍未被修复,其便向约5600个客户发送匿名邮件披露了该漏洞详情。2002年,美国法院根据解释《计算机欺诈与滥用法》的相关条款对McDanel定罪,判处16个月监禁。McDanel服刑结束后,美国法院判定此前对他的起诉存在错误并撤销了定罪,原因在于McDanel是在公司拒绝修复漏洞之后选择告知用户,其目的是为了确保用户采取安全措施。
2以协同披露为趋势的现代漏洞披露政策及演化
随着安全漏洞协同披露为更多的组织所支持和倡导,政府机构在制定安全漏洞披露规则时也对其加以吸收,以协同披露为核心的规则成为现行美国政策和立法的新趋势,2015年美国通过的《网络安全信息共享法》(CISA)、2016年公开的VEP政策、2017年《补丁法案》体现了这一趋势。
1. 《网络安全信息共享法》(CISA)
《网络安全信息共享法》(CISA)是美国关于网络安全信息共享的第一部综合性立法,也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息。CISA将共享的网络安全信息分为“网络威胁指标”和“防御措施”两大类。网络威胁指标实质即为直接的漏洞威胁和与漏洞相关的其他威胁,防御措施则是针对网络威胁指标做出的技术和其他措施的回应。总体来说,CISA围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本框架。CISA鼓励私企与美国政府实时共享网络安全威胁信息,特别规定了私主体共享信息的责任豁免;对于通过合法共享而获得的网络威胁指标和防御措施,联邦政府基于识别网络安全威胁或者安全漏洞的需要可以披露。
具体而言,如果将披露视为共享的一种特殊方式,那么CISA建立的网络安全威胁信息共享框架事实上可以延及漏洞披露的规范体系,目标在于确保相关机构具备并保持与信息安全相协调的实时共享网络安全威胁指标的能力。CISA规定私人实体享有监控和获取网络安全威胁信息,当然也包括安全漏洞信息的权利,但除其自身信息系统外,对其他信息系统中网络安全威胁信息的监控、获取、使用和共享均以事先授权为基础,并且该授权需要获得书面同意。可以认为,CISA建立一套“授权——发现——共享”的网络安全威胁信息共享的合规路径,在赋予私人主体发现和共享网络安全威胁信息权利的同时,将其行为的合法性边界限制在法律规定和授权基础的范围内。根据CISA的规定,向联邦政府提供网络安全威胁指标和防御措施必须基于特定的目的,包括维护网络安全,识别网络安全威胁或安全漏洞来源,识别外国敌对人员或恐怖分子使用信息系统造成的网络安全威胁,应对、制止或缓解由恐怖行为或使用大规模杀伤性武器产生的威胁,预防、调查和起诉犯罪等等。
尽管CISA并非专门针对安全漏洞信息披露而设计共享框架,但其相关举措仍然衍生出一条重要的安全漏洞信息披露原则,即合法披露原则。虽然私人实体被赋予了广泛的网络安全威胁信息的发现和共享权利,但这一权利的实现需要满足两个必要的前提,即合法目的和行为授权,这对于建立我国安全漏洞信息披露的相关制度具有重要的指导意义。
2. VEP政策
奥巴马政府时期,美国联邦调查局、国家安全局等政府机构一方面通过采购、收集等方式进行网络安全漏洞的攻击性研究和储备,另一方面制定和施行VEP政策,评判收集到的漏洞对网络安全、信息保障、情报、执法、国防和关键基础设施保护的影响,裁决是披露已经获得或发现的安全漏洞,还是保留安全漏洞用于情报、执法或者其他目的。VEP整体内容在美国现行制度下仍属于“国家秘密”信息,直至2016年才向公众公布其中一部分。
依据VEP公开的规定,美国政府实体对于任何来源的网络安全漏洞信息裁决程序如下:第一,基于漏洞分级,在触发特定阈值时向国家安全局指定担任的执行秘书长通报;第二,执行秘书长通知政府相关的利益相关方,指定特定联络人,由各方反馈是否启动裁决程序;第三,提出裁决要求的所有利益相关方指派特定专家参与讨论,并向裁决审查委员会(Equities Review Board)提供决策建议;第四,裁决审查委员会做出如何响应漏洞的倾向性决定,如有利益相关方异议,则该机构可向某特定内设机构提出申诉。
VEP规定体现出这一阶段美国网络安全漏洞披露政策的三大特点:第一,网络安全漏洞的来源十分广泛。VEP政策下的漏洞来自政府软硬件、商用软硬件、工控系统、国家安全系统等任何可能存在网络安全漏洞的场景,包括开源软件等;第二,网络安全信息呈单向线性流动。由于政府在政策制定和执行中的主导作用,任何来源的网络安全漏洞信息只限于在政府及相关实体中共享和决策,在VEP裁决之前,限制向政府之外的实体披露网络安全漏洞,政府(包括关键基础设施)的利益保障具有绝对的优先性;第三,国家安全局具有多重身份和相当的自由裁量权。VEP规定,“国家安全局对其认证或批准的或具有密码功能的设备、系统等中漏洞附有前置性安全审查义务,因此亦应当尽快向其报告,并由其履行适当的VEP程序”,由于密码应用的普遍性、政府软硬件认证或批准的强制性、接受报告的优先性,此规定实际上赋予了国家安全局决断和裁量网络安全漏洞的绝对垄断权力。
综合CISA和VEP政策可以发现,VEP政策赋予了美国国家安全局裁决网络安全漏洞的绝对权力,供其决断的安全漏洞来源广泛且信息共享更多限于政府实体范围,与CISA所倡导的公私实时共享威胁信息理念存在一定的冲突。2017年5月全球勒索软件攻击事件发生后,美国国家安全局因其披露或保留漏洞用于情报收集目的的行为饱受争议,也引发美国政府对国家安全局主导的VEP政策的审查与反思。
3. 2017年补丁法案
为将VEP政策正式纳入立法范畴,进一步规范政府、厂商等披露主体的行为,同时解决CISA法案和VEP政策在安全漏洞信息共享和披露实施方面的衔接问题,2017年5月17日,美国国会提出了一项新法案—《2017反黑客保护能力法案》(Protecting Our Ability to Counter Hacking Act of 2017) ,该法案也被称为《2017补丁法案》(PATCH Act of 2017)。
总体来说,2017年补丁法案在“是否披露”和“如何披露”两个核心问题上体现出美国政府对VEP政策的改进。首先,补丁法案改变了漏洞披露裁决的顶层决策机制,实现了从国家安全局到国土安全部主导的过渡。补丁法案规定,由国土安全部长(或其指定人员)担任的“漏洞裁决审查委员会”主席代替VEP政策中国家安全局指定的执行秘书长,“漏洞裁决审查委员会”主席与联邦调查局、国家情报总监、中央情报局、国家安全局,以及商务部、国务院、财政部、能源部和联邦贸易委员会的指定人员等共同组成漏洞裁决审查委员会。这一决策主体的变化用意在于增加透明度,规避公众对国家安全局的敏感性;其次,补丁法案增加了推定披露程序。法案规定将通过制定标准,指引对推定披露程序的适用,以此弥合常规披露与“黑市披露”之间的时间差。但由于最终由国土安全部长代表联邦政府实施披露,因此其有效性仍有待观察和评估;再次,补丁法案加大了向厂商的安全漏洞披露倾向。法案规定,如果漏洞裁决审查委员会决定向特定厂商披露,则应当国土安全部长实施披露。此种情形属于向特定人的有限披露;最后,补丁法案规定,对于裁决禁止披露、但因任何原因进入公众领域的网络安全漏洞,应按照CISA制定的程序实施。
4.《瓦森纳协定》
在美国VEP政策制定和实施的同一时期,国际层面正式开始将网络安全漏洞纳入网络武器范畴管理。2013年12月,41个成员国参与的多边出口管控体制《关于常规武器和两用物品及技术出口控制的瓦森纳安排》(简称《瓦森纳协定》)修订附加条款,将一些特殊的入侵软件列入其两用物项清单中。为落实《瓦森纳协定》的附加条款,2015年5月20日,美国商务部下属的工业与安全局(BIS)提出实施规则草案《2013年<瓦森纳协议>全会决议的执行:入侵和检测物项》,草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”,拟将入侵软件纳入美国《出口管理条例(EAR)》的管控范围。如果草案施行,美国企业或个人向境外厂商披露安全漏洞是一种出口行为,需预先申请政府许可,否则将被视为非法,美国厂商举办的安全漏洞悬赏计划也不例外。
《瓦森纳协定》和美国BIS的新规说明,网络安全漏洞的资源性和武器化趋势已成为国际和国家层面的普遍共识,网络安全漏洞披露规制的制定上升到与国家安全和政治利益密切相关的高度,VEP政策的秘密施行、2017年补丁法案的提出和改进进一步印证了这一点。
3美国网络安全漏洞披露规则的主要特点
考察美国网络安全漏洞披露规则的具体设计、实践情况和演变趋势,本文认为,可概括出以下特点:
第一,高度重视网络安全漏洞披露问题,很早在法律和政策中分别对网络安全漏洞披露问题进行规定,并根据形势变化不断做出调整,总体呈现从负责任披露到协同披露变革的趋势;第二,网络安全漏洞披露过程中注重充分保护用户知情权,强调政府机构主导下厂商、安全研究人员、用户等利益相关方的利益协调;第三,基于刑法和知识产权法对未经授权的漏洞发现和披露行为予以规制,实践中也注重保护善意漏洞发现和披露者的合法利益和积极性;第四,鼓励政府机构、企业和公众在法定条件和程序下实时共享网络安全信息,授权联邦政府披露合法共享的安全漏洞信息;第五,将安全漏洞作为网络空间战的战略资源和博弈资本,网络安全漏洞披露规则的制定上升到与国家安全和政治利益密切相关的高度;第六,构建国家层面统一的网络安全漏洞披露协调和决策机制,并积极推动从政策到立法的转变。
4
我国网络安全漏洞披露规则体系设计
1我国网络安全漏洞披露立法现状
截至目前,我国现有立法对网络安全漏洞披露的规定还不完善,相关规定散见在《刑法》《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》等法律法规中。《刑法》第285 条和第286 条规定了未经授权访问计算机信息系统的刑事责任,2016年某“白帽子” 披露世纪佳缘网站漏洞事件更多体现了《刑法》对“白帽子”未经授权的漏洞发现行为而非披露行为的否定评价,且引起了对行为人善恶意动机的学界争议。对恶意披露网络安全漏洞的行为,学界普遍认为,恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类行为加以入罪化处置。
《关键信息基础设施安全保护条例(征求意见稿)》第16条在延续《刑法》第285条和第286条规定的基础上进一步提出,“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”,第35条在《网络安全法》第26条基础上细化,规定“面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求”,同时授权国家网信部门会同国务院有关部门制定相关规定。虽然该条例目前还处于征求意见稿阶段,但这两条规定从关键信息基础设施安全保护层面强化了安全漏洞发现和披露行为的规制,意义十分重大。
2017年6月1日开始施行的《网络安全法》从网络空间安全基本保障法高度认识到了网络安全漏洞披露的重要性,第22条规定了产品和服务提供者对自身漏洞的告知和报告义务,第26条对第三方未经授权发布他人系统漏洞行为进行了初步规定,第51条强调由国家统一发布网络安全监测预警信息,从产品和服务提供者、第三方和国家三个主体层面规定了我国网络安全漏洞披露的基本要求,但其具体规则设计有待条文中“国家有关规定”和“规定”等方面的进一步细化和完善。
2网络安全披露规则的体系设计构想
网络安全漏洞披露作为网络空间治理的关键一环,其重要性在于:一方面,网络安全漏洞的危害性由互联网的迅速传播而被放大,不规范或非法披露会损害用户、企业和公共利益,甚至威胁包括关键信息基础设施安全等在内的国家安全;另一方面,通过对网络安全漏洞资源的合法披露、报告和利用,能够及时预警和有效管控网络安全风险,推动网络安全相关产业的创新,同时也能为执法活动和提升国家安全反制能力提供重要的技术保障。本文建议,借鉴美国网络安全漏洞披露规则在内的设计和论证经验,结合我国执法的实践和特点,以协同披露为导向,完善我国《网络安全法》框架下的厂商、第三方漏洞披露平台和政府机构的职责设置,围绕安全漏洞披露主体、披露对象、披露程序和披露的责任豁免进行网络安全漏洞披露规则体系的设计。
1.网络安全漏洞披露的主体
除了不披露,完全披露、负责任披露和协同披露类型都涉及披露主体。安全漏洞披露主体和漏洞发现者直接相关,漏洞发现者已从早期的厂商扩大到安全研究人员、安全公司、政府、黑客、恐怖组织和“白帽子”等,以上人员均可能在发现安全漏洞后基于不同的动机予以披露。由于网络安全漏洞披露实践中主体的广泛参与和多重角色,因此在构建网络安全漏洞披露规则时应首先明确合法披露主体。本文认为,安全漏洞合法披露主体包括以下几类:
(1)厂商。即《网络安全法》中的产品和服务提供者。厂商对自身的软硬件负有产品责任和安全保障义务,因此是最初始意义上的安全漏洞发现者和最无争议的安全漏洞披露主体。《网络安全法》第22条明确了厂商向用户和有关主管部门披露安全漏洞的安全义务。
(2)政府机构。政府机构作为合法漏洞披露主体,可包括两个层次:第一,国家级安全漏洞披露平台。中国国家信息安全漏洞库(CNNVD)和国家信息安全漏洞共享平台(CNVD)承担国家统一的安全漏洞收集、发布、验证、分析、通报、修补等工作,是我国国家级漏洞披露主体代表。第二,安全漏洞披露协调和决策机构。《网络安全法》第51条明确了我国网络安全监测预警和信息通报的工作机制,网信部门统筹协调有关部门统一发布网络安全监测预警信息。可考虑依据此条建立我国国家层面统一的跨部门、多机构网络安全漏洞披露协调与共同决策机制,赋予网信部门类似VEP政策中国家安全局和2017年补丁法案中国土安全部的职责,充分发挥“国家网络与信息安全信息通报中心”,主导我国网络安全漏洞披露协调与决策工作。
(3)网络安全服务机构。我国网络安全专业服务快速发展,专业机构开展网络安全产品和服务、网络运行管理等方面的安全认证、检测和风险评估业务,在提升网络安全保障能力方面发挥了重大作用。为进一步发挥网络安全服务机构的作用,《网络安全法》将“网络安全服务机构”纳入责任主体范畴,鼓励企业开展网络安全认证、检测和风险评估工作;《关键信息基础设施安全保护条例(征求意见稿)》赋予网络安全服务机构在关键信息基础设施保护中更多的工作内容,并鼓励其参与关键信息基础设施网络安全信息共享。网络安全服务机构在网络安全漏洞披露中可以协调厂商、漏洞发现者和政府机构的关系,构建漏洞发现与披露的协议范式,可以依法与政府机构、厂商、研究机构共享网络安全信息,同时能够为政府机构的漏洞披露与裁决提供专业的技术支持。近年来补天漏洞响应平台、漏洞盒子、乌云等第三方漏洞披露平台在国内兴起,但因商业运作模式、安全漏洞披露机制和透明度等问题的存在,第三方漏洞披露平台目前仍处于法律的灰色地带。本文认为,第三方漏洞披露平台应以成为专业的网络安全服务机构为发展方向,成为符合法律要求的责任主体。
2.网络安全漏洞披露的对象
网络安全漏洞披露应当有具体的披露对象,具体包括两类:第一,网络安全产品和服务的用户。用户是产品和服务的直接使用者,也是安全风险发生后的直接受害者。依据《合同法》《消费者权益保护法》等法律规定,用户拥有对网络安全产品和服务的知情权。美国网络安全披露政策中一直强调保护用户的合法知情权,协同披露类型中更是强调用户利益和安全至上。《网络安全法》也再次明确了用户是安全漏洞披露的对象,其第22条要求产品和服务提供者按照规定及时用户漏洞风险,并规定了产品和服务提供者违反告知义务的法律责任。第二,政府机构。《网络安全法》第22条同时要求产品和服务提供者向有关主管部门报告漏洞。在现行立法框架下,国家网信部门、国务院公安、国家安全、国家保密行政管理、国家密码管理和国家行业主管或监管部门等均有可能是此条规定的“有关主管部门”。本文认为,政府机构基于第22条获得的网络安全漏洞信息,不仅构成《网络安全法》第51条中监测预警信息的重要组成部分,也可成为我国安全漏洞披露协调和决策机制工作的重要信息来源。
值得一提的是,网络安全服务机构的平台模式,既可能是安全漏洞披露的主体,同时也可能成为安全漏洞披露的对象,其在漏洞协同披露的具体设计中起到极其重要的承接功能,一方面通过接收安全漏洞发现者的漏洞信息(自身也兼具漏洞发现功能),另一方面则需要按照《网络安全法》等规定履行披露的相关义务;围绕网络安全服务机构构建漏洞协调披露机制,将成为我国网络安全漏洞治理的关键一环。
3.网络安全漏洞披露的方式
《网络安全法》第22条、26条和51条提出了我国安全漏洞规制的四项基本要求,即告知、报告、发布和通报。本文认为,告知、报告、发布和通报构成了我国安全漏洞披露的四种基本方式,可对其规定内涵和具体实施进一步细化。第一,《网络安全法》第22条规定的“告知”行为对象是用户,指网络产品、服务的提供者基于产品、服务的漏洞“缺陷”向用户承担的初始义务和追责依据。“告知”行为内容包括说明某个产品或服务存在安全漏洞这一事实、漏洞缺陷可能造成的后果及用户可以采取的降低风险的措施、补丁修复或者找到其他解决办法之后的事后信息等。值得注意的是,这里的用户对象应基于不同利益进行优先性划分,考量涉及国家秘密、关键信息基础设施等不同对象确定告知的范围与次序。第二,《网络安全法》第22条规定的“报告”,明确和完整表述为“向有关主管部门报告”,根据网安法第8条的规定,目前我国形成了网信、工信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局,此处的“有关主管部门”也包括网信部门、工信部门和公安部门等。“报告”具有向主管部门提交的自下而上性质,报告的形式和内容上应包括对漏洞发现(含检测验证)的报告、漏洞网络安全风险的监测评估报告、漏洞引发的网络安全事件的处置/应急报告等。同样,应充分考虑与平衡向主管部门报告、向用户告知以及向社会发布三者的范围与次序。第三,《网络安全法》第26条规定的“发布”,具有向社会不特定人公开的特性。此概念对应于传统漏洞披露的“完全披露”类型,向社会发布会引发不可逆的各种可能,一旦发布,将对“告知”与“报告”产生直接影响。因此,《网络安全法》要求无论网络产品、服务提供者,或网络安全服务机构“向社会发布”,均“应当遵守国家有关规定”,强调对前置程序的规范审核。第四,《网络安全法》第51条规定的“通报”,具有网络安全信息共享的特性。其启动主体、指向对象都会因共享要素考虑的充分性、完备性与否而具有不同体现。
4.网络安全漏洞披露的责任豁免规定
网络安全漏洞披露规则的设计应充分考虑漏洞发现者、用户、厂商、政府机构等相关主体的利益平衡,并以保障用户合法权益、社会公共安全、关键信息基础设施安全乃至国家安全为最终目的。总结美国CISA的规定可以看出,合法披露是安全漏洞披露的首要原则,其必要前提是目的合法和行为授权。我国安全漏洞披露同样应该限定在目的合法和行为授权的框架内。安全漏洞披露的责任豁免是指在形式上符合漏洞披露禁止规定的行为,由于符合免除责任的规定而从安全漏洞披露规定的适用中排除,以豁免的形式授予相关主体和行为的合法性。安全漏洞责任豁免规定具有维护网络安全、推动网络安全产业的创新、实现多方利益平衡的重要价值。安全漏洞披露的责任豁免主要包括两种情形:一是对披露主体的安全研究人员(如“白帽子”等)善意披露安全漏洞行为给予的责任免除规定。美国“惠普起诉SnoSoft 公司研究者”和“Tornado起诉员工Bret McDanel”案均表明,无论是厂商还是法院都开始注重安全研究人员的善意动机,即使厂商出于自身发展利益考虑,也无法否认安全研究人员对网络安全的正面影响。二是针对特定行为,视为授权或授权追认的责任免除规定。如美国国防部2016年11月发布的《安全漏洞披露政策》明确规定,“安全研究以及漏洞发现行为充分符合政策中的限制与指导规定,国防部不会发起或者支持任何指向的执法及民事诉讼活动,且如果除国防部之外的某方进行执法或者民事诉讼,国防部方面将采取措施以证明行为拥有依据且并不与政策相违背”。
以第一种豁免情形为例,《网络安全法》中未直接明确安全漏洞善意披露行为的责任豁免规定。本文认为,我国现阶段的安全漏洞披露立法仍处于探索阶段,如安全漏洞披露豁免缺乏针对性,将导致法律适用时的不明确,造成豁免规定滥用,产生与不规范披露或非法披露同样的安全风险,因此安全漏洞披露豁免规定应该审慎论证和制定,在立法和技术时机成熟时,可以考虑通过《网络安全法》配套制度设定安全研究人员(如“白帽子”等)安全漏洞善意披露的责任豁免规定。在具体确定豁免条件时,必须基于技术可控的整体判断,合理限制善意披露的界限,避免矫枉过正扩大适用范围,如至少应综合考虑安全研究人员的背景、所披露漏洞的危害级别、给厂商和用户带来的实际负面影响等因素。
5
结 语
“网络的绝对安全不具有技术上的可能性,网络安全的破坏者与维护者之间注定是一个长期博弈的过程”。网络安全漏洞披露之上集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或“白帽子”等多方利益相关者及其协调关系,所有利益相关者均应肩负起应有的法律责任,共同推动网络社会的有序运行。
我国现行立法已提出网络安全漏洞合法披露的基本要求,但仍然缺乏对于规则实现的具体设计,无法为安全漏洞披露行为提供明确指引。美国很早开始从法律和政策层面构建网络安全漏洞披露规制,并根据情形不断调整,呈现从负责任披露到协同披露变革的趋势,现阶段网络安全漏洞披露规则的制定更是上升到与国家安全和政治利益密切相关的高度。本文建议,借鉴美国网络安全漏洞披露规则设计及其实践经验,以协同披露为导向,完善我国《网络安全法》框架下的产品和服务提供者、第三方漏洞披露平台和政府机构的职责设置,围绕安全漏洞披露主体、披露对象、披露方式和披露的责任豁免规定进行网络安全漏洞披露规则体系的论证与设计。
本文原发于《暨南学报(哲学社会科学版)》2018年1月,总第228期。为编辑需要,隐去脚注及参考文献。
编辑:公安部第三研究所 胡文华
西安交通大学法学院 梁思雨