Flash,做错了什么? ——从《网络安全法》看Flash停更导致的安全问题(上篇)
本来Flash这个事情不想再多说什么,毕竟证监会政务服务平台用Flash作Web应用基础架构,导致一众律师事务所花了两个月时间才完成备案——因为“国外主流”浏览器早已通过各种通知2020年底起不支持Flash, Adobe公司也早在2017年就声称在2020年底不再支持Flash。
结果就出现了某铁路系统因Flash停用导致的全局性故障。然后,该局又用古早的GHOST镜像系统恢复和降级Flash版本(从30.*降到29.*)的办法解决了古早的Flash问题。网上已经针对该问题和解决给出了各种吐槽。相信还会有其他行业、场景受到Flash停更产生方方面面的影响。
从《网络安全法》看,围绕Flash停更涉及网络产品安全责任、网络运营者安全保护义务乃至关键信息基础设施安全保障等诸多法律问题。本篇从网络产品责任角度进行简要分析,下篇考虑从网络运营者安全保护、关键信息基础设施网络安全风险评估等角度进行安全合规分析。
《网络安全法》第22条适用分析
单从Flash作为部署在系统中的产品这一场景来看,法律问题的实质是《网络安全法》第22条第2款的适用问题:网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。相应的,第60条第3项规定了网络产品、服务提供者擅自终止提供安全维护的法律责任,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款”。
当某一网络产品的架构、漏洞等难以通过更新方式解决时,厂商实践和《网络安全法》等都给出了一种终极路径,就是超过期限后停止使用。Flash适用于这种情况,在20多年的发展过程中,Flash走完了从辉煌到没落的生命周期,早年其将千篇一律的静态页面带入了动态阶段,鼎盛时期有超过80%的页面使用Flash技术。然而随着HTML5等新型开放网页技术的发展和移动终端的进步,以及对响应速度、交互安全要求的不断提高,Flash已经难以满足这些要求,到2017年时候,大致只有10%多的页面仍在使用Flash。
因此,厂商通过停更Flash放弃这一技术路线,本身无可厚非。在停更后,Flash理论上只剩下著作权意义的作品价值,而不再成为厂商“售后”维护的内容——如果将其视为类似《产品质量法》上的一种产品的话,这一产品已经被厂商“报废”。
但是,《网络安全法》这一条款的规定不在于确认厂商是否应该停更,而是指向厂商停更的“(法律法规和相关)规定或者当事人约定的期限”如何优先适用和是否合理的问题。这体现了软件不同于一般产品的特性。
1、停止更新不等于停止安全维护
一般意义上,停止更新并不当然意味着对“售后”安全维护的终止,这不仅是从《网络安全法》条款直接可以得出的结论,也符合软件同时适用著作权法和《网络安全法》等不同法律时的义务规定。软件在作为作品停更后,其作品主体仍然享有和承担著作权法下的权利义务(如作品完整权,向他人许可时的权利义务——见下文分析),也同时需要履行《网络安全法》下特定的安全维护义务。
从Windows XP的例子可以看出,在XP作为独立的作品停止更新后(后续的Windows 7于2009年10月发布,视为不同于XP的新作品而非版本更新),微软直到2014年4月8日之后,停止提供XP技术帮助。Flash也类似,厂商于2017年通知至2020年底停止支持服务(对2012年1月12日中国区出现的新版本,另见下文分析)。因此在适用《网络安全法》的场景下,任何厂商均不能以停止更新等同于停止安全维护。商业逻辑也很简单,停止更新后,产品服务仍可能在使用,而且由于软件产品的不特定性,厂商事实上也无法准确了解软件的实际部署情况,一旦立即停止安全维护,可能会导致业务影响、安全风险、合同纠纷等不利后果。在这一点上毫无疑问,微软和Adobe都采取了谨慎的态度。
2、法律法规和相关规定优先于当事人约定
《网络安全法》第22条在提到停止安全服务的期限时,列举了法律规定和当事人约定两种情况,在XP和Flash两种产品中,厂商都采用了当事人约定(包括在协议无约定下采取单方合理的事先通知的方式)终止了安全维护,这一方式在目前未明确何为“规定”的情况下,应属于合规的方式。但在未来涉及关键信息基础设施的行业规定中,如果有要求认为不应停止安全服务的,则将产生与当事人约定的效力冲突的问题(第22条并未明确规定和当事人约定哪个更优先,因此厂商可以主张当事人约定优先,从而规避规定的适用——但一旦监管意识到这一问题,未来将会在《网络安全法》的其他配套中进行“补强”解决)。
而且需要注意的是,第22条的规定并不局限于法律规定,因此我们也适当将规定扩展到法律法规和其他规定,包括已纳入国务院2020年立法工作计划并处于制定阶段的行政法规“关键信息基础设施安全保护条例”可能针对各自行业做出的特别规定,都可能将优先于当事人约定,从而增加厂商延期安全维护的义务。
3、针对中国大陆特别安排的评价
公开信息显示2021年1月15日位于重庆的重橙网络发布更新预告,表示Flash Player于2021年1月12日发行全新版本,在中国大陆继续运营。但具体内容作了适当缩减:在Windows 7以下(不包含Windows 7)、Linux、Mac操作系统中不再支持视频格式内容的播放功能。这一方面是从安全角度做出了妥协,另一方面从法律角度,则涉及到Adobe在向其他方许可软件时,是否可以降低或减轻本身义务的问题。
我们认为,这一可能寻求规避版本升级的网络安全法律义务的“合作”行为,没有改变Adobe作为软件厂商的根本属性,不符合《网络安全法》第22条对厂商安全维护义务的规定,不排除未来可能涉及对Adobe厂商的约谈或其他法律风险(而Adobe中国可能还在忙于各种打击盗版的诉讼业务)。
1. 第六十一期网络安全政策法律动态半月刊(2021.1.1—2021.1.15)
图文编辑:公安部第三研究所 梁思雨