第四届无名论坛在西安成功召开

2019年8月14日，由西安交通大学科教院网络安全法治研究所联合西安四叶草信息技术有限公司、西交苏州信息安全法律中心举办的第四届“无名论坛”在西安成功举办，这次论坛主题为“数字安全法律支点 & 安全人员权利边界”，与2019年第四届SSC安全峰会合办，以共同探讨中国网络安全产业和安全技术人员的发展和合规中的热点问题。

论坛特邀请中国电子商会自主可控技术委员会理事长冯燕春，北京赛博英杰科技有限公司董事长、曾任360集团技术总裁的谭晓生高级工程师，信息工程大学教授、博士生导师单征，中国信息安全测评中心、漏洞管理处杨一未工程师，西安市新城区人民法院院长姚建军法官，杭州安恒信息技术有限公司西北区技术总监、西北区副经理张百川，西安交通大学法学院副教授王玥，江苏竹辉律师事务所合伙人、西安交通大学苏州信息安全法律研究中心副主任原浩等来自国家机关、高校、大型企业、律师事务所等网络安全与数据合规的专家、学者作了主旨报告，西安交通大学苏州信息安全法律研究中心主任马民虎做了大会总结。会议由西安交通大学科教院网络安全法治研究所朱莉欣副教授主持，与会人员围绕网络安全立法和研究新趋势、网络安全企业如何管理和保护自身的安全研究人员，减少安全风险和法律合规等问题进行了深入讨论。

西安交通大学科教院副院长李成福作了论坛致辞，指出随着5G技术的成熟和应用，人工智能、物联网技术的发展和实践，数字经济与成为中国乃至全球经济转型升级的核心内容。然而，在地缘政治、网络黑产、黑客和病毒的影响下，安全问题成为数字经济发展过程中面临的首要问题；伴随着各行业业务模式创新与国际化发展，政治安全和合规问题也不断涌现。作为数字安全的前哨，网络安全人员一方面承担着发现漏洞，控制风险的第一线安防义务，另一方面也面临着在“灰色地带”攻防所特有的权利边界等法律风险。由此，各行业须积极响应国家有关安全的政策法律要求，并依据本行业业务和数据处理场景，主动实施组织内部的数字安全法律合规体系建设，保护自己的安全研究人员，减少安全风险和法律合规问题，更加自信地迎接数字经济的发展。

论坛第一阶段

中国电子商会自主可控技术委员会理事长冯燕春以“开源面临的安全挑战与对策”为题，从自主可控、自主创新和开源软件的关系说起，指出开源是IT发展重要趋势；开源软件也带来了信息安全和产业链安全等行业痛点；在比较了国内外开源安全产业态势各自具有的特点和不足后，提出了开源安全的新需求与新理念，并介绍了从成分检测、漏洞检测到许可证检测等开源软件的安全检测方法，为网络安全人员提供了可行而又合规的开源软件安全指导。

北京赛博英杰科技有限公司谭晓生董事长做了“安全研究人员管理挑战”的主旨演讲。管理安全研究人员首先要面临安全人员的从业职业操守问题、隐藏身份等问题；其次要经常面对安全人员在漏洞挖掘与通报中所遇到的合法合规问题；第三，在管理安全人员时，还要妥善处理漏洞报告奖金分配、公司之间的薪酬竞争、黑产的诱惑、干私活等涉及报酬的问题；第四，由于高校教育存在的问题、职业教育面临的挑战，我国安全研究人员短缺问题也一直存在。针对以上问题，应加强安全研究人员培养、并走安全研究人员培养多元化的道路。

信息工程大学单征教授围绕 “安全测试与测试安全”主题，从安全测试不安全，没有绝对的安全这个大前提下探讨了安全测试存在的风险，介绍了基因视角的供应链脆弱性分析平台；提出重视程度不足，检测难度加大，“自动化检测更困难”等当代安全检测问题，认为在这方面国家政策导向呈现空白，“急需完善”。而软件基因是软件体上具有功能或承载信息的二进制片段，可以通过软件基因检测有效促进安全测试。并且，只有进一步完善相关政策和法律，才能最终实现测试安全。

中国信息安全测评中心杨一未工程师结合漏洞管理工作实践，首先介绍了我国漏洞管理工作的现状，指出了我国漏洞资源流失的问题。漏洞作为国家重要的战略资源，美国、欧盟和日本等国家都出台了相关的政策和法律予以规范和利用，值得我国借鉴。而且只要重视漏洞管理，重视网络安全问题，我们能够做好漏洞治理工作；发言还就企业漏洞管理实践工作提出了有效的建议。

论坛第二阶段

西安市新城区人民法院院长姚建军法官围绕互联网背景下“合成内容”的知识产权风险及对策问题，结合司法实践中有关互联网企业的案件,深入浅出地对知识产权的保护在网络安全中表现出的一些问题进行了讲解。通过对淘宝、百度等企业涉及的一些诉讼案件剖析，在列举了互联网公司大数据业务合规方面所经常遇到的一些风险后，针对这些风险从审判实务方面提出了合规建议。

安恒信息技术有限公司西北区技术总监张百川在“网络安全人员的行为边界与权利保障”的主题发言中，认为网络安全人员日常的普通支持、普通安服、渗透测试等行为存在着法律上的灰色区域，我国的网络安全法和刑法等法律部门对这些行为的规范侧重于处罚，而较少有奖励和指导。互联网安全企业有必要明确禁止性行为，通过规范本企业网络安全人员行为，强调行为红线，以保证企业和自身行为合规。

江苏竹辉律师事务所合伙人原浩律师做了网络安全：人的因素与从业人员安全的汇报交流。近期发生的雅虎案件和VPN案件表明，在网络安全法领域，企业负责人、安全管理负责人、直接负责的主管人员如部门负责人和技术支持、运维、法务等其他直接责任人员都依法承担着网络安全法律责任，需要认真对待。而从立法的角度看，立法应平衡主体（监管对象、行为人）的权利义务，恰如软件设计应同时考虑功能与安全。同时，我们相关的执法和司法问题也进行相应的改进和完善

西安交通大学法学院王玥副教授基于民事裁判的实证分析，作了“企业个人信息利用的民事法律风险与防范”的主题发言，在对近期相关案件的数据收集和判决分析的基础上，分析了构成企业财产的个人信息的范围、公开的个人信息使用的边界、个人信息收集、使用的合法性判定；并强调了未成年人个人信息保护的要求。

最后，西安交通大学苏州信息安全法律中心主任马民虎教授作论坛总结发言，呼吁社会各界更加重视网络安全人员的培养和保护，并对网络安全治理的未来前景充满美好的期望。

关于无名论坛