走向更为安全的互联网世界

陈庆春

剑心认识一个在杭州上大学的学生，两个人没有见过面，平时只通过QQ进行交流。此人在QQ上的网名叫“Z++”。Z++的独特之处在于，他靠着给Google发现安全漏洞已是收获不菲。我与Z++交流时，他正好在前一天收到了Google寄过来的1500美元。在我为此惊叹时，Z++发给我一条信息：“Google和Facebook奖励我发现漏洞的钱加起来，应该能把大学所有的花费都给报销了。”

说起这个事情，剑心总是透露出一丝酸意，“我们给国内企业找漏洞，非但没有奖励，还经常被无端指责成‘炫耀、‘恶意，而乌云平台自成立以来没收过一分钱，完全是公益行为。”在安全成为众矢之的的今天，Google奖励漏洞的行为成为中国企业解决安全问题的一个榜样。

奖励漏洞计划

Google从2010年10月开始启动奖励漏洞计划。谷歌产品安全团队在官方博客中说明了来意：“该计划旨在寻找任何影响用户数据保密性和完整性的严重漏洞。”“希望该计划能够吸引更多的开发人员，从而确保谷歌的产品更安全。”

根据漏洞的严重程度，Google规定开发人员所获得的奖励额度也不尽相同，分为500美元、1000美元、1337美元和3133美元不等。据悉到目前为止，谷歌已经累计发放了72.9万美元奖金。所涵盖的谷歌产品包括YouTube、Orkut、Blogger、Google Docs和Gmail等Web产品。日前Google宣布，该计划范围最新增加Chrome OS操作系统。

Facebook则是于去年6月开始向发现Facebook漏洞的研究人员派送奖金。根据漏洞的严重程度，Facebook向其奖励500美元到5000美元不等的现金。至今为止，Facebook已经支付了19万美元奖金。

无论是72.9万美元还是19万美元，对Google和Facebook来说都是九牛一毛。但这种奖励机制，让那些技术天才有了用武之地，而不用以黑色掩面。据悉，在推出该项目之前，Facebook每周可以发现2个高危漏洞，现在则升至8个到9个。一个与Z++一样同是大三学生的尼尔·普尔，已经发现了15个Facebook漏洞。善意发现的漏洞越多，黑势力乘虚而入的机会就越少。这是一个简单的道理。

在安全隐患暴露之前，做各项防护准备，而当安全防线失守之后，国外企业又采取了怎样的做法？在IT业界大凡都知道去年4月份索尼发生的一起重大泄露事件。索尼PlayStation游戏网络遭黑客入侵事件中，索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取，包括姓名、住址、生日、登录名和密码等，受影响用户多达7700万人，涉及57个国家和地区。之后一个月内，美国各级联邦法院就收到至少40起集团诉讼，指控索尼未能充分保护玩家个人数据和信用卡信息。

这类案件通常遵循统一的模式：用户隐私信息被泄露引发大规模诉讼，企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。追溯更早的一起安全事件，结果也同样如此。2004年，日本雅虎约有460万用户的个人信息外露，日本雅虎向每位用户“赔偿”6美元购物券。

这些有责任的企业奖赔行为，必然带来安全的良性循环。安全本身就是一个永无止境的事情，谁也不能保证有一天就绝对安全。做安全是需要日积月累的投入，才能夯实安全的堡垒。

腾讯安全GM杨勇也很羡慕发达国家对安全的重视，“国外有各种各样的论坛，比如blackhat、bluehat论坛等，让人感觉安全是一步一步做出来的。”杨勇甚至觉得，在国外，像Google和Facebook这样的奖励计划还不是最好的模式，因为漏洞级别如何定，可能会在发现漏洞者和组织者之间产生间隙，比如发现者用心险恶不满组织者所定级别，就会发生恶意攻击的行为。所以，他更推崇idefense的模式，即：发现者向idefense平台提供漏洞，由idefense定级，企业来认领并进入奖励流程。

与国外企业所营造的安全机制相比，国内已被落下至少两个身位的距离。但国内企业何时才能意识到解决问题的关键所在？杨勇觉得，国内企业大多先要商业后要安全，只有当消费者因为安全问题而放弃这个企业，也就是当安全成为产品体验的一部分、安全问题大幅影响到企业的商业收入时，企业才会想到要改一改安全机制。

回过头来再想想此次CSDN密码泄露事件的整个过程，CSDN等网络服务提供者，既是黑客入侵受害者，对用户而言，也是密码泄露责任者之一，用户能否追责？奇虎360副总裁石晓虹笑着反问，“请问你的账号被泄露，你因此损失了多少财产？你自己能算清楚吗？如果算不清楚，连立案都不给你立案，你又怎么追责？”

从某种程度来说，国家立法的滞后也纵容了国内企业的不负责任行为。

国家应监管

知道英国汽车品牌劳斯莱斯的人很多，但是知道“红旗法规”的人不多。1865年英国制定了“红旗法规”，为了避免汽车的噪音、尾气污染和行人的不安全因素，该法规规定汽车必须有两人以上参加驾驶，车前方55米处必须有人高举红旗或红灯开路，示意马车、行人避让。这条法规执行多年，有人说英国汽车产业的落后与此法规有关。

汽车所带来的问题，需要的是汽车产业的技术创新和整个社会交通治理水平的不断提高，而不是简简单单的将其拒绝。毫无疑问，对于信息安全，我们也不能制定所谓的“红旗法规”，而是需要整个产业和社会共同努力，才能有一个安全放心的网络环境。

中国网络法律网首席法律顾问赵占领认为，《刑法》有明确规定，入侵计算机系统，获取其中存储的数据或者实施非法控制的都构成犯罪，一般處3年以下有期徒刑，情节特别严重的，处3年以上7年以下有期徒刑。

赵占领还提出了三个追责方向：一是向公关机关报案，通过刑事途径追究黑客的责任；二是直接向黑客索赔，前提是查出黑客真实身份，目前仅靠个人力量很有难度；三是看看网站有没有过错，有没有尽到基本的信息安全保障义务，有过错的话可以向网站索赔。

但是，黑客是谁？另外，《刑法》的适用门槛比较高，需要“违反国家规定”和“情节严重”的条件，何况这两个条件目前都缺乏相应的标准。

同样的情况，2009年，全国人大常委会还出台《侵权责任法》，规定网络服务提供者和网络用户利用网络侵害他人民事权益的，应当承担侵权责任;网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。2010年，全国人大常委会又专门制定了《关于维护互联网安全的决定》，重申各种互联网违法的刑事责任和民事责任。但是，《侵权责任法》的适用，在网络环境下，当事人举证非常困难，而且存在成本投入和收益不对称的情况。谁会为了一个账号跑断腿？

事实上，从当前立法来看，我国有多部法律法规都有涉及个人信息法律保护的内容。同时，在重要行业的信息保护方面，金融、医疗等重要行业也有部分个人数据保护的相关法律规定。

但是，整体上我国并没有完整的统一的个人数据保护法，个人数据保护规则有待完善。《刑法》和《侵权责任法》都属于事后救济，在网络时代，由于损害的发生是系统性的、不可复原的，所以对网络安全以及个人信息进行全流程的监管才更为有效。目前对于这种全流程的监管，中国既缺乏专门的法律，也没有专门的执法机关，搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。

此时，法国在流程监管上就起到了表率的作用。法国于1978年通过了《数据处理、档案与自由法案》，其中第一条明确规定立法原则：信息应该为每一个公民服务。其次，独立专业的监管机构。国家信息与自由委员会（CNIL）为法国个人数据保护机构，其为独立的行政机构，由1978年个人信息保护法案成立。该机构不接受任何其他机构指示，直接向议会负责，其主要职责在于保护个人隐私与自由。

CNIL会审查管理个人数据：个人信息的收集与处理通常需要向其申报或获得许可。该委员会具有一系列强制措施。从2004年8月修改该法案后，CNIL对于违反相关法律者可以罚款最高至30万欧元或5年监禁。CNIL还接受民众个人信息与隐私被侵犯等相关投诉，向政府提出个人信息保护相关立法建议，接受政府在个人信息保护立法方面的咨询。而且会向数据库负责人提出履行个人信息保护义务的相关建议。

对于信息安全方面的事件，网络服务提供商有义务向CNIL报告并接受其相关检查。在数据安全方面，数据处理负责人必须采取与数据性质相适应的物理安全措施与信息系统安全措施。违反该规定可能被处于最高30万欧元的罚款及5年的监禁。

在法国实例的对照下，我国即将推行的实名制，以及公安部对两名发布安全漏洞者的处理方式，均有待商榷。其一，在不安全的情况下实名制会造成更大的不安全隐患，韩国曾于2007年实施实名制，在安全隐患的挑战下，去年不得已又改了回来；其二，在公安部的处理决定中，首先发布消息的“臭小子”得到了训诫，发布京东商城安全漏洞的“我心飞翔”以敲诈罪被刑事拘留，国外奖励发现漏洞者，我们则惩罚，这是否是一种堵塞言路的做法？