谁该为网络安全负责

云贺

政府和其他参与主体应根据不同的网络安全事件情境，决定各自该承担的责任和义务。

随着第四次工业革命向各产业的深入渗透，全球掀起数字化变革潮流。与此同时，网络安全问题也变得愈加棘手：网络病毒跨领域传播、安全漏洞快速传导、企业而非政府站在了消费者网络安全的第一道防线上。

近年来一系列全球网络攻击事件表明，是时候构筑起一道社会全员参与建设的“网络安全防线”了。然而，这背后的争议也显而易见：政府干预与个人隐私的边界如何确定？防守过度会不会造成资源浪费？政府与企业谁该为网络安全问题负责？哪些安全数据应为全社会共享？

今年1月，世界经济论坛联合波士顿咨询公司发布了名为《构筑“弹性”网络：探讨公私合作模式》的报告，试图通过剖析近年来各国政府与企业携手预防和抗击网络安全问题的成功案例，为上述争议寻求解决方案。报告认为，政府和其他参与主体应根据不同的网络安全事件情境，决定各自该承担的责任和义务。

参与主体众多

自古以来，保护公民安全就是政府的重要职责之一。进入21世纪，人类社会的网络化、电子化、互联化趋势愈发明朗，政府的上述职责也被网络世界赋予了新的意义，“如何守卫网络领土”已成为当前各国政府都在努力探求答案的重要议题。

与传统意义上的安全问题不同，网络安全事件往往更为复杂。突发性强、传导速度快，是其首要特征。可以说，网络世界中的每一项技术创新都伴随着未知的漏洞和潜在风险。在几乎没有国界限制的网络空间中，任何一道被恶意撕开的“口子”都可能会以迅雷不及掩耳的速度传播到地球的另一端，并对实体经济安全造成程度不一的威胁。

另外，网络安全领域的参与主体众多，政府、企业、个人等都可能是安全防线上的关键环节。如今，在很多时候，政府往往不能站在发现危险乃至对抗危险的第一线。特别是在一些欧美国家，那些活跃在虚拟世界、掌握着行业大把数据资源的大型互联网企业，才是网络安全的第一道防线。

可见，网络安全防线的构建需要政府、企业、公民等多主体的协同参与和配合，仅靠政府资源已不足以抵御和解决这一新兴领域的问题了。

多主体协同参与这一解决办法的基本逻辑看似简单，但真正操作起来却面临着诸多挑战。其中，最主要的一个问题在于如何清晰地界定网络空间中的国家主权概念。这将决定政府和各主体在保护网络安全过程中扮演的角色以及需要承担的责任和义务。毕竟，一旦涉及国家安全话题，任何一国政府都不可能也不应该把维护主权的责任推给企业和个人。

对此，《构筑“弹性”网络：探讨公私合作模式》这篇报告认为，尽管各国对网络主权的理论认识不尽相同，但不可否认，在实践层面，各国均需根据网络安全事件的不同性质，明确各主体的职责和参与程度。

分类制定应对政策

为帮助各国政府理清头绪、对症下药，《构筑“弹性”网络：探讨公私合作模式》这篇报告总结了常见的14类应对网络安全事件的情境，主要包括抵御“零日攻击”、打击僵尸网络、安全威胁情报共享、关键数据加密、跨国界信息传播等。

报告提出，这14类情境对国家安全和实体经济的威胁度、对公民个人隐私的侵害度、对公私合作的诉求都不尽相同，因此相应的政策模型也大相径庭。同时，政府在推出解决方案之前，应主要从经济效益、国家安全、公民隐私、公平公正和责任权限这五个维度入手，综合考虑和权衡其对社会经济的影响。

以应对“零日攻击”为例，“零日攻击”又名零时差攻击，是指某个漏洞被发现后立即被恶意利用的攻击行为，具有很大的突发性与破坏性。由于其可能造成的潜在经济损失巨大，且处置不当极有可能威胁到国家安全，为此，政府在极端情境下应与企业达成数据共享的共识，其他主体不应以“企业机密”或“个人隐私”等理由封锁关键信息。

同时，某些大型互联网企业往往能率先发现和掌握该类网络攻击的相关信息，因此它们也应站在网络安全的第一道防线上。

对此，各国政府和企业可以效仿谷歌的“零日项目”（Project Zero）。该项目的首要目标就是赶在黑客在暗网出售漏洞之前，发现并披露安全漏洞给软件供应商，帮助其即时进行自我纠错。谷歌能提供这项服务有其先天优势，许多谷歌员工在工作和业余生活中会发现大量第三方软件的漏洞，将这些程序漏洞集合起来便会形成一个巨大的数据库。

再如，对于涉及较高级别情报的国家安全相关的网络攻击事件，可通过安全威胁情报共享的方式加以应对，报告指出，在此类情境中，政府应责无旁贷地站在网络安全的第一道防线上。在权衡政策利弊时，要以国家利益为先，与企业、个人等主体达成“越分享、越安全”的共识。在必要时，企业机密和个人信息应适当让步于社会整体利益，做到及时与政府安全部门合理共享。

对此，报告建议，各国可参考美国国土安全部的自动指标共享项目（Automated Indicator Sharing，简称AIS），由政府牵头并统筹各方的安全威胁情报信息，用以切实保护本国经济社会安全。

为了搭建公私部门之间快速、高效的安全威胁情报共享机制，美国国土安全部牵头开发并推出了可供各方交换网络安全威胁情报的生态系统，即AIS。联邦及各州政府、本国企业、国外合作伙伴或企业，都可在与美国国土安全部签署相关协议文件后直接接入AIS平台，平台各参与主体均可即时分享潜在的网络安全威胁情报。

此外，为保障公民信息安全及隐私，AIS项目还在信息分享环节设立了PII（Personally identifiable information，即个人身份信息）保护措施，主要包括由机器自动识别与网络安全威脅无关的PII，并在发布到共享平台前删除，利用人工审核方式确认无关PII不被共享和传播等。endprint