虞浔 马寅宵
〔摘要〕 大数据时代,我国网络安全漏洞治理的重要性更加凸显,与社会各方面的关系也更加密切。目前,相关法律还没有明确界定“众测平台”“白帽子”等概念,也缺少对漏洞测试行为的规范指引和监督制约。实践中,应在法律框架下对“众测平台”“白帽子”概念进行界定,将善意因素作为主要评价对象;对“众测平台”“白帽子”在法律意义上的权利义务加以明确并进行限定,确立受偿机制与披露机制;建立“众测平台”及“白帽子”的有效运行机制和综合监管机制,以维护网络安全和相关民众的合法权益。
〔关键词〕 漏洞治理;“白帽子”;“众测平台”;受偿权;披露权
〔中图分类号〕D923 〔文献标识码〕A 〔文章编号〕1009-1203(2019)05-0084-04
《网络安全法》自2017年6月开始施行,它标志着我国对网络安全领域治理的正式立法。早在此之前,民间自发形成的网络安全漏洞治理产业就已逐步成型。网络安全漏洞的治理包括如下内容:通过计算机技术对漏洞的挖掘与测试、组织技术人员针对特定系统的测试、以众包众测的方式组建第三方平台、对已确认的漏洞进行披露,以及对漏洞解决进度进行社会反馈等,其中,漏洞众测是核心部分。漏洞众测一般有以下三个步骤:首先,“众测平台”获得产品测试授权,在网站上标明测试目标和奖赏,允许在平台注册的“白帽子”(互联网语中的“白帽子”一词是指道德计算机黑客或计算机安全专家,专门从事渗透测试和运用其他测试方法,以确保组织信息系统的安全)对其进行漏洞治理;其次,由“白帽子”向平台上报其所发现的漏洞,平台在网站适度披露,同时向测试产品的运营者进行反馈;最后,由运营者确认漏洞,向“白帽子”发放奖励,并在修补后向社会公众完整披露。然而,即使在《网络安全法》施行之后,仍然存在着一些法律漏洞与制度缺位,导致我国对网络安全漏洞治理从业者的不当刑事制裁。因此,我国亟需通过相关法律对关键的主体概念进行界定,将善意因素作为主要评价对象;对利益相关方的权利义务加以明确并进行限定,在对网络安全漏洞的法律属性分析后确立受偿机制与披露机制,以更为完善的法律法规为网络安全治理领域提供充足的理论支撑。
一、网络安全漏洞治理领域法律法规的制定
网络安全漏洞治理自21世纪初就开始兴起,软件技术伴随着摩尔定律下的硬件升级一同发展。在大数据时代,安全漏洞治理的重要性愈发凸显,与社会治理的关系更加密切,测试技术和交易市场均形成了一定的体系与规模。但我国目前针对安全漏洞测试和交易的体系化立法还不完善,相关规定零散分布在《网络安全法》《刑法》以及《治安管理处罚法》等法律法规中,善意的、正当的安全漏洞测试行为有时会受到法律的制裁。
(一)《网络安全法》关于安全漏洞测试的相关规定
《网络安全法》首次从网络安全保障基本法的高度确定安全漏洞这一客观事实,该法第22条规定了网络产品和服务的提供者对其产品、服务负有补救、告知义务;第25条明确了网络经营者负有制定应急预案、及时处置系统漏洞的安全保护义务;第26条系对安全漏洞披露行为的引导性规定,该规定目前实施性不强,应属于预留性条款;第60条、第62条规定了网络运营者违反上述条文时应承担的法律责任。从以上法条可以看出,《网络安全法》的相关规定倾向于鼓励网络运营者自觉遵守、自我审查、自主报告,但没有涉及设立相对更有效的政府机构或第三方监管措施,也没有从网络漏洞的测试方面界定该行为的法律边界,更没有在罚则与漏洞严重程度、危害程度等衡量标准之间建立直接而详细的关联。
(二)《治安管理处罚法》《刑法》关于安全漏洞测试的相关规定
《治安管理处罚法》《刑法》侧重于对非授权访问行为的治安处罚和刑事打击。从表面来看已经形成了以《治安管理处罚法》与《刑法》为核心的二元制裁体系,但实际上该制裁体系较为零散,且对作为漏洞治理的核心行为规制的操作性不强,实践中多通过适用《刑法》第285条加以规制。《刑法》第285条、第286条规定了“非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪;破坏计算机信息系统罪;网络服务渎职罪”。实践中,如果漏洞测试者利用系统安全漏洞实施了相关行为,就可能触犯上述罪名,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》也进一步明确了以上罪名中“情节严重”“后果严重”“情节特别严重”的判断依据。对于尚未触犯《刑法》第285条、第286条的违法行为,《治安管理处罚法》第29条规定了拘留的治安处罚。《刑法修正案(九)》第286条中新增了“拒不履行信息网络安全管理义务罪”,强调了网络运营者对安全漏洞的管理责任,该新增条款适用于漏洞隐患致使用户个人信息泄露而网络服务的提供者不作为的情况,但对漏洞测试行为又未涉及。
关于善意的漏洞测试行为的规制。在司法实践中,绝大部分黑客专门利用网络安全漏洞从事系统破坏行为,司法实践多直接适用《刑法》第286条加以规制,但还有部分黑客仅将漏洞利用行为作为其他犯罪的手段,也就是说在触犯《刑法》第285条第一、二款的同时还触犯其他罪名,大多构成择一重罪处罚的牵连犯。这就导致在漏洞利用规制问题上,直接适用《刑法》第285条的案例数量相对较少。
当前我国与漏洞治理相关的法律规范过于强调事后救济,多以禁止性规定为主,将情节和后果作为认定犯罪的依据,并不考虑漏洞测试行为人的社会危害性,这显然并不符合《刑法》的谦抑性特点。结合国内相关案例看,我国现行法律对漏洞测试者的规制存在两大问题:一是对漏洞测试持否定性评价,二是对测试者自发组织的漏洞测试行为呈现重刑主义倾向。
二、网络安全漏洞治理领域法律法规建设存在的主要问题
通过对我国安全漏洞治理领域法律法规建设现状分析,可以看出总体上我国法律法规没有明确界定类似安全漏洞测试者(以下简称“白帽子”)、安全漏洞众测平台(以下简称“众测平台”)等概念,也缺少對漏洞测试行为的规范指引和监督制约。现有立法的模糊性,导致从业者对于安全漏洞测试行为合法性缺乏必要的预判,也容易出现漏洞测试行为超出合理边界导致侵犯他人合法权益的现象。
(一)对“众测平台”概念界定不清晰
尽管《网络安全法》对网络安全各方面进行了较为详细的规定,但在网络安全漏洞的治理方面还存在缺位,尤其是在主体概念定义的规定上,这就导致现实生活中存在不少争议与纠纷,甚至还可能导致执法司法的不当。目前我国法律中对于安全漏洞众测平台并没有明确界定,唯一可以被认为与众测平台相关的法律规定是在2017年11月1日发布的《中华人民共和国电子商务法》第九条中:本法所称电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。本法所称平台内经营者,是指通过电子商务平台销售商品或者提供服务的电子商务经营者。但“电子商务平台经营者”中是否也包括“众测平台”呢?事实上,网络安全漏洞“众测平台”并不像天猫、京东等互联网销售平台,漏洞测试服务由不以盈利为目的的“白帽子”提供,“众测平台”也并不从资金流动中获利,因此“白帽子”不属于电子商务经营者,而“众测平台”似乎也谈不上是电子商务平台经营者。2016年“乌云平台”停运事件,也暴露出相关法律对网络安全漏洞平台的概念界定还不清晰。
(二)“众测平台”与“白帽子”的权利义务不明确
解决现实中的网络安全漏洞测试、披露、交易问题,关键要厘清“众测平台”与“白帽子”在法律意义上的权利与义务。针对网络安全漏洞测试行业,由于法律法规保护与规制不到位,行业公约或行业协会的自律规定就在实践中充当了替代品。如国家信息安全漏洞共享平台公布的《中国互联网协会漏洞信息披露和处置自律公约(签约版)》、互联网安全工作组发布的《互联网企业安全漏洞披露与处理公约》提出,互联网企业应:(1)承诺提供可用的官方安全事件、漏洞反馈渠道;(2)承诺对每位报告者反馈的问题都有专人进行跟进、分析和处理,并给予及时答复或公告;(3)承诺对于每位以保护用户利益为目的、帮助企业提升产品安全质量的报告者,将给予感谢和回馈;(4)反对在安全问题解决前公开披露漏洞细节的行为;(5)反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虛拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。相对来说,我国网络安全漏洞测试行业的法律法规还不够专门化、系统化。
(三)相关部门的监管机制不完善
我国在网络安全漏洞测试的相关市场中,由于没有形成相对稳定的商业范式,中间环节多而繁杂,交易的保密性、完整性、可溯源性难以得到保证。同时,相关部门对网络安全漏洞测试市场的监管不到位,粗放甚至缺乏监管机制,因此,很难实现这一领域商业交易的效率与公平,更起不到切实保护人民群众网络安全利益的作用。
三、网络安全漏洞治理领域法律框架建设的思考
基于网络安全漏洞治理的立法框架进行研究,首先应在立法中明确各个概念的定义,确立网络安全漏洞治理的主要目标;其次应通过区分合法测试与非法入侵的界限,分清情况明确权利责任以及相关原则;最后在执法司法中应明确各种行为的性质,尤其应在最高人民法院、最高人民检察院的《司法解释》《指导意见》等法律文件中予以体现。
(一)应明晰网络安全漏洞的法理属性
随着信息技术的快速发展,我国网络安全漏洞无处不在,但对其法理属性的界定比较模糊。笔者认为,网络安全漏洞应被认为是一种债务预期违约情形。假设有一网络产品对社会公众提供服务,在服务协议中有用户安全保障规则条款,其中直接规定或可以推知产品运营商有防止由于漏洞被恶意利用导致用户权益受损害的义务。在产品安全漏洞未被发现之前,尽管漏洞依然存在,但是由于未被发现也未被利用,其本身并不具备法律含义。若安全漏洞在被发现并及时告知运营方的情况下,漏洞就成为运营商单方原因导致的预期违约情形,债务人若在漏洞信息强制披露后的合理期限内不进行修补,即构成明示预期违约,应当承担违约责任。“白帽子”在其中扮演的角色,或是对于无众测政策的产品安全性的无因管理,或是对于有众测政策的产品运营商悬赏广告的完成。“白帽子”对于漏洞信息并无所有权,因为漏洞本身并不是物或债,而是一种情形,所以不存在归属问题,故“白帽子”只能对相应企业进行报告而无处分权利。
(二)在立法层面完善“众测平台”及“白帽子”的主体概念
在法律层面,目前对“白帽子”这一群体并未与从事危险危害行为的“网络黑客”区分开来,这对“白帽子”群体法律地位的确认与规制非常不利。参照信息发达国家《2012年网络安全法案》以及《2015年网络安全信息共享法案》中对于“私人实体”(Private Entity)行为的规定,尽管有任何其他法律规定,但出于网络安全目的,私人实体可监察:(1)该私人实体的信息系统;(2)经该另一实体的授权和书面同意,另一实体的信息系统;(3)由私人实体根据本段监控的信息系统存储、处理信息。根据这条规定,可以认为网络安全漏洞“众测平台”是实行以上规定中行为的非公权力主体。按照吴沈括教授的观点,根据《刑法》第285条规定,“白帽子”有两条基本特征:一是构成入侵行为,二是构成“非法获取”或“非法控制”且情节严重。在这“两条红线”规范下,“白帽子”与不法黑客的不同点在刑法领域主要体现在两个方面:一是主观意图不同,二是造成后果不同。根据两个“不同”,可以简单地概括出“白帽子”在法律上的主体概念,即通过技术手段侵入系统获取数据的方式检测查找安全漏洞并加以合法披露的善意第三人。
(三)明确“众测平台”和“白帽子”的义务权利
1.“众测平台”的义务与权利。参照现行法律规定,众测平台的义务大致可归纳以下几点:一是保护国家利益、社会公益的义务。根据《国家安全法》第77条与《保守国家秘密法》第24条之规定,应认为禁止平台与“白帽子”对国家秘密、涉密国家信息系统漏洞的主动披露,同时对于国家许可的或者无关国家安全、国家秘密的情形,应遵循必要的弱化披露处理原则。二是保护互联网用户安全和隐私的义务。根据《网络安全法》第四章、第六章关于网络信息安全的规定与责任条款,平台获得漏洞报告后,应该尽一切措施保障漏洞涉及的用户安全和隐私,防止相关信息泄露造成有关主体的法益损害。三是尊重漏洞测试从业人员的智力劳动成果与价值的义务。根据《电子商务法》第42条、第43条的规定,平台有义务对每位报告者反馈的问题都有专人进行跟进、分析和处理,并给予及时答复或公告,对于“白帽子”劳动成果的价值予以认定,不擅自利用其成果。从权利角度来讲,安全“众测平台”应享有一定的披露权。依据《网络安全法》第60条第二款对于法律责任的规定,“经营产品的企业应该对产品漏洞有补救义务”。由此可知,在企业未尽到补救义务时,平台进行合理程度的披露,有利于促进企业对国家利益、社会公益进行及时保护。
2.“白帽子”的义务与权利。首先,从义务角度讲,“白帽子”测试漏洞中应履行无害化义务。根据《中国互联网协会漏洞发现与报告行为守则》第八条规定:按照对信息系统机密性、可用性、完整性等三方面要素的影响评估,漏洞风险发现与技术验证应遵循无害化原则,即“白帽子”应该在漏洞测试中承担技术无害化的义务。其次,从权利角度来讲,“白帽子”在漏洞测试中应享有以下权利:一是披露权。在平台披露权的前提上,需要特别指出一点,若响应处置期满,企业对漏洞仍未采取实质性修补措施,在救济用尽情况下,“白帽子”出于对社会公益保护目的,应当可以行使紧急避险,即对漏洞合理披露,而不对企业承担损害赔偿责任。二是豁免权。“白帽子”出于保护自身以及他人利益的目的,所对漏洞的测试行为,本身是可以豁免的行为,其可能承担的刑事责任以及民事责任,应以无故意过错为阻却事由的上限。三是受偿权。由于“白帽子”在漏洞测试过程中所付出的劳动本身是一种高技术活动,所以其测试漏洞行为应享有受偿权。
(四)健全网络安全漏洞治理的有效运行和综合监管机制
在“众测平台”与网络企业、“白帽子”形成的三角关系中,众测平台作为中间渠道的提供者,参与并掌控着交易中的所有流程与另外两方的信息交流,在漏洞治理过程中具有重要的衔接协调功能。对企业来说,平台一方面应以商业化为主,注重服务与客户体验,方便企业注册、发布、奖励并及时收到信息进行漏洞修补;另一方面应通过辅助制定披露政策,督促企业加强对产品漏洞的修补,促使其履行相应的社会责任。对“白帽子”来说,平台应形成与广大“白帽子”人才资源的良性互动,努力成为“白帽子”的代表者、发声者、引导者。在“白帽子”与企业之间,应建立更加规范透明的交流渠道,通过双方信息对称性的提高,既防止“白帽子”在奖励滞后的情况下走向黑产成为“黑客”,又保障“白帽子”不受到不利的诉讼威胁。而在这组三角关系之外,政府应当组建相应的漏洞治理机构,统合各方资源,制定漏洞治理的原则与规划,并主导技术规范与操作流程的制定,结合公权力与社会资源,形成一套行之有效的网络安全漏洞治理体系。另外,可以考虑建立行业自律协会,通过制定行业标准,弘扬行业自律文化,形成行业内良性竞争机制,促进漏洞治理产业与网络技术协调发展。同时,行业自律协会可与行政机关、司法机关共同构成监管体系,还可以与立法机关合作,起草制定行業内相关认定标准、认证程序等法律文件,从而达到保护社会公共利益的最终目的。
早在2014年2月27日,在中央网络安全和信息化领导小组第一次会议上,习近平总书记就已经阐明,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。在建设网络强国总目标下,构建网络安全漏洞治理体系至关重要,在理论上厘清概念、划定界限,在实践中明确义务、保障权利,以此形成的治理体系才能行有所据,才能保障人民群众财产安全与国家稳定发展。
〔参 考 文 献〕
〔1〕王 迁.知识产权法教程〔M〕.北京:中国人民大学出版社,2016.
〔2〕朱庆育.民法总论〔M〕.北京:北京大学出版社,2016.
〔3〕庄永廉,皮 勇,杨 明,等.对“白帽子”行为如何定性〔J〕.人民检察,2017(04):41-46.
责任编辑 李 雯