张培田 唐 犀 周倩琳
内容提要:大数据、云计算云存储、互联网+与区块链等高新技术日新月异的发展,促进了社会信息利用的转型升级,也使得逐利的各级各类信息传输处理服务商,利用信息服务设备后门和技术漏洞,危害国家安全和社会个人隐私保护等良善运行秩序。本文从信息服务基础设备后门和技术漏洞的社会危害、信息服务设备后门和技术漏洞产生的原因及其行为的法律定性、信息服务设备后门和技术漏洞法律规制的理由和目的、强化信息服务设备后门和技术漏洞法律应对的建议等方面,进行分析论述。并就当下及今后我国以法律规制信息传输设备后门和技术漏洞的法律问题,应对大数据、云计算云存储、互联网+与区块链等伴随高新科技演变的信息安全危害,提出改善建议。
随着电脑手机及互联网大数据的市场化加速,各种各类细分信息传输服务设备不断升级。从技术上来看,相应的信息基础传输设备,常用的有线渠道需通过双绞线、同轴电缆和光纤,无线传输媒体则通过卫星通信、无线通信、红外通信、激光通信以及微波通信等方式。信息传输的处理环节主要包括数据(Data)、信号(Signal)、信道(Channel)、比特率(BitRate)、码元(Code Cell)、多路复用(Multiplexing)、数据交换(Data Switching)、差错控制(error control)等。服务设备制造商为抢占针对消费者的服务市场,一方面有意为信息服务使用商垄断或推送特定服务留下后门,另一方面在信息技术欠缺的情况下仓促推出存在技术漏洞的设备。由于设备制造商和使用商追求其商业利润最大化,这些后门和技术漏洞通常置信息使用终端消费者群体信息安全利益于不顾,必然对消费者群体的信息安全带来直接隐患和危害,甚至威胁国家安全。
信息服务设备上出现的后门或技术漏洞,集中发生在硬件搭载的应用软件或是操作系统软件设计上。出现后门的原因主要是编写系统应用软件和操作系统软件的程序员,在软件开发的阶段即在软件内故意设置创建后门,作为绕过安全性控制而获取对程序或系统访问的方法,体现出设计人及知晓该后门缺陷而故意利用人主观上的明知故犯。而出现技术漏洞的主要原因则是编写系统应用软件和操作系统软件的技术有局限性,人类目前无法预料缺陷并找到解决的技术方案。无论是后门还是技术漏洞,都导致设备存在可被非法利用的隐患,有可能被电脑黑客等不法者利用,在未授权的情况下通过植入木马、病毒等方式攻击或控制整个电脑或其他信息使用设备,从而窃取使用者电脑或其他信息使用设备的重要资料和信息,甚至导致使用者信息使用设备被破坏的结果。
信息服务设备后门和技术漏洞存在的主要差别在于,信息服务设备后门是设计者刻意为之,利用者通过后门在相对长的期限内维持对被攻击设备的高权限。而技术漏洞属于设备自身在硬件、软件、协议中存在的缺陷,并非有意为之,但随着用户的持续使用而被暴露出来。漏洞一经发现,安全人员会很快打补丁以消除漏洞。不过在实务中,故意和过失的界限非常模糊,难以界定。无论是缓冲区的溢出漏洞,还是加密算法的问题导致加密强度下降,或者是SQL 注入漏洞,在被安全专家发现之后,也很难确定是故意放的后门还是编程缺乏安全意识留下的错误。信息服务设备制造商的主观意图难以被认定,这也造成了法律规制后门和技术漏洞的极大难度。
不法分子主要通过以下几种攻击方式攻击信息传输服务设备后门和技术漏洞,对个人隐私与公共安全产生极大的威胁。
1.XSS 蠕虫
XSS 蠕虫是指一种具有自我传播能力的XSS 攻击,杀伤力很大。引发XSS 蠕虫的条件比较高,需要在用户之间发生交互行为的页面才能形成有效的传播。一般要同时结合反射型XSS 和存储型XSS。1邱仲潘、洪镇宇:《网络安全》,清华大学出版社2016 年版,第15 页。XSS蠕虫可以将用户的数据信息发送给Web 应用程序,并且将代码植入其中,如果被感染的用户访问到这些存在问题的Web 应用程序时,XSS 蠕虫开始进行数据发送和感染,并且随着用户的访问量而大量扩散。因此XSS 蠕虫能够用来发送垃圾广告、刷流量、挂马、毁坏网上数据、实行DDOS 攻击等。其造成的伤害也是多样化的。
2.网站及网页挂马
网站挂马是指行为人以非法获利为目的,利用浏览器存在的漏洞(脚本),跨站后应用IFrame嵌入潜藏的歹意网站或将被攻击者定向到恶意网站上(木马服务端),以弹出歹意网站窗口等方式进行挂马袭击。2关于“网页挂马”的详情介绍参见百度百科网:https://baike.baidu.com/item/网页挂马/2368054,2019 年10 月15 日访问。当不知情的互联网用户进行网页浏览时,具有破坏性的木马或病毒就被同时悄悄安装进了用户的电脑中,从而破坏用户的电脑信息,偷盗用户的各种账号及密码。用户的电脑甚至能被黑客远程操作,成为僵尸网络中的一份子,对别的正常网站发动DDOS 攻击。
3.用户身份盗用
用户身份盗用,是指行为人进行session 跟踪而盗取储存在用户本地终端上的Cookie,以冒充用户本人。Cookie 是贮存在用户当地终端上关于特定网站的身份考证标记数据。XSS 能够偷取用户的Cookie,从而应用该Cookie 猎取用户对该网站的操纵权限。一旦窃取到用户Cookie 从而获取到用户身份时,攻击者能够获取到用户对网站的操纵权限,从而检查用户隐藏信息。一些高等的XSS 袭击甚至能够挟制用户的Web 行动,用于发送与接受数据等。
4.渣滓信息发送
渣滓信息,意指无用的糟粕信息,如发送的各类垃圾广告。这类渣滓信息不但占据用户网速和空间,还严重影响信息用户信息获取和利用的合法权益。
5.垂纶诈骗
所谓“垂纶”是一种网络讹诈行动,这意味着行为人使用各种方法来伪造真实网站的URL 位置和页面内容,或者在真实网站服务器程序上应用漏洞以在其中插入危险的HTML。该代码的最典型示例即是应用程序目标网站的反射性跨站点脚本漏洞,该漏洞将目标网站重定向到垂纶网站,或注入垂纶Java 来监视目标网站的表单输出。垂纶漏洞是被广泛使用于新注册域名(NRD)的便于恶意攻击的漏洞现象。学术界和行业的研究报告已经以统计学方式证明了新注册域名存在着确实的风险,攻击者经常恶意使用新注册域名进行网络钓鱼、恶意软件和诈骗。
6.直接侵入操控硬件设备
不法分子还可以利用信息服务设备的技术漏洞侵入设备本身,并进行操控,对使用信息终端的消费群体产生直接危害,最容易发生问题的设备包括路由器、主机及网络摄影设备。
Fortinet 2018 年第四季度威胁形势的报告显示,全球12 大漏洞中有一半是物联网(IoT)设备,而且前12 个中有4 个与支持IP 的摄像机相关。3详见https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2018.pdf,2019 年9 月20 日访问。
目前我国关于规范信息服务设备后门和技术漏洞的法律法规大体上有两类,一类是以《网络安全法》为核心的规范体系,一类是以保障《网络安全法》实现为内容的法律规范。
1.以《网络安全法》为核心的规范体系
以《网络安全法》为核心的规范体系包括法律、行政法规、国家政策、规范、司法解释等。法律方面有全国人大常委会颁布的《网络安全法》(2015 年6 月1 日);行政法规有国务院颁布的《中华人民共和国计算机信息系统安全保护条例(2011 年修订)》(2011 年1 月8 日);国家政策有全国人大常委会颁布《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012 年12 月28日),国家互联网信息办公室颁布《国家网络空间安全战略》(2016 年12 月27 日),外交部和国家互联网信息办公室颁布《网络空间安全合作战略》(2017 年3 月1 日);规范方面有国务院、国家互联网信息办公室、全国信息安全标准化技术委员会、工业和信息化部、中央网络安全和信息化领导小组办公室、中国互联网络信息中心等部门机构颁布的关于网络安全等级保护制度、关键信息基础设施的认定和保护制度、个人信息和重要数据保护制度、网络产品和服务的国家安全审查制度、网络安全事件管理制度等。司法解释有《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014 年10 月10 日)、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题解释》(2017 年6 月1 日)。
2.以保障《网络安全法》实现为内容的法律规范
这类法律规范的范围非常宽泛,包括《民法总则》《侵权责任法》《国家安全法》《刑法》《治安管理处罚法》《反恐怖主义法》《保密法》等现行法律,共同构成中国对信息安全管理的法律保护。
《网络安全法》作为信息安全管理的基本法律,明确立法目的是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。4相关“网络安全法立法”的详情介绍参见中国人大网:http://www.npc.gov.cn/zgrdw/npc/lfzt/rlyw/node_27975.htm,2019 年9 月20 日访问。《网络安全法》除在中华人民共和国境内适用以外,其第七十五条规定采用了有限的域外管辖原则,对境外的主体实施入侵或攻击境内关键信息基础设施的活动,造成严重后果的,依法追究法律责任并可采取冻结财产或者其他必要的制裁措施。《国家安全法》第二十五条更提出要以保护网络和信息关键基础设施的方式打击网络违法犯罪行为,并创造性地提出了“网络空间主权”概念。5《国家安全法》第二十五条提到,“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”保护信息安全的着眼点已经从保护用户信息和个人信息提升到国家安全和信息现代化的层次。
1.对信息服务设备后门的法律规定
对于故意编程留置后门的危害信息安全秩序的行为,无论适用民事规范还是行政规范、刑事规范,都会在主观与客观、行为与结果方面,得到合理的法律推定。
民事责任主要处理信息服务设备提供商与用户之间的法律关系,可以基于《合同法》第一百五十三条及第一百五十五条判定。用户可要求信息服务设备提供商作为出卖方承担产品质量瑕疵。《产品质量法》第四十条、第四十六条及《消费者权益保护法》第四十六条均得以适用。
刑事责任方面,对于有意使用设备后门进行不法活动的行为人,如涉及触犯《刑法》第二百八十五条的非法侵入计算机信息系统罪及第二百八十六条破坏计算机信息系统罪,可以追究刑事责任。《刑法修正案(七)》第九条及最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条有细化规定。
行政责任则根据《网络安全法》第五十九至六十六条及《电信条例》第五十七条、第七十七条之法律法规进行处理。
2.对信息服务设备技术漏洞的法律规定
对于技术漏洞造成的问题,厂商及利用技术漏洞的不法分子都有责任。利用后门或者技术漏洞的不法分子之行为同样可以按照上述《刑法》规定进行处理。但对于技术漏洞的前端厂商基本没有相关法律规制,只能通过督促厂商自律的方式予以激励,这造成了法律上的真空地带。
笔者认为,对信息服务设备技术漏洞的法律规制更要给予相应的关注。从法律的功能来说。法律的规范功能除了对人的行为模式提出标准,区分出可以为、应当为和禁止为的事项以外,还包括对人们的行为有评价作用、教育作用、预测作用和强制作用。具体来说,首先信息服务设备技术漏洞的严峻危害已经不以人的意志为转移的客观存在。应对信息服务设备技术漏洞的危害单靠技术创新的解决办法,往往滞后且饱受危害才暂时局部地缓解。因此,应对信息服务设备技术漏洞的危害,应当使用技术手段无法取代的法律规制手段或方法。其次,对于不是人为恶意出现的信息服务设备技术漏洞的危害,法律规制应当仍然立足于规范调整人的行为。只不过这种法律规范调整,带有国家强制力保障实施的特性,有利于及时高效地发挥阻止或减少信息服务设备技术漏洞危害的作用。最后,人类社会发展史上对于不以人的意志为转移的客观存在危害,有过不少运用法律规范调整且取得有益回报的先例。诸如制定并实施法律应对因地震等重大自然灾害导致的损失,人类已经积累了不少宝贵的经验。
换言之,当下互联网+大数据推动的信息运行使用出现的安全问题,已经向人类社会法律规制提出了新的挑战。如果不能对客观上存在的技术漏洞有所作用,那人类现在及今后社会信息安全问题,也就无法从规范人的行为方面提供及时有效的保障和解决措施,伴随高新科技日新月异发展而产生的信息安全问题将会愈加严重。因此,笔者认为须同时展开对缘于人们科学技术局限技术漏洞的法律规制。
随着互联网+时代的到来,万物互联的大背景使得系统边界正在扩张。不法分子可攻击的信息服务设备后门及技术漏洞不断增多,攻击方式不断革新,使得被动防御变得愈加不可能。在此情况下,仅靠法律的事后规制不能解决有效提供防护,因此国家也建立了相关的配套监管预警机制。
防范后门及技术漏洞的危害信息安全秩序的行为,可以选择的法律规制方式,首先应当包括后门及技术漏洞危害的监测、鉴别及预警法律规范机制。对此类问题,国外发达国家已按照行业自治的传统,实现了通过行业协会监测、鉴别及预警的法律规范机制。
我国目前相关的后门和技术漏洞的危害信息安全的监测、鉴别和预警,主要通过设立相应的行政机关进行。2001 年8 月,国家计算机网络应急技术处理协调中心(以下简称“CNCERT”)成立,是国家中央网络安全和信息化委员会办公室领导下的国家级网络安全应急机构。该机构负责全国范围内的网络安全监控,预警和紧急响应。2003 年,CNCERT 在中国中央政府直辖的31 个省、自治区、直辖市建立了分中心,并完成了跨网络、跨系统、跨区域的公共互联网网络安全应急技术支持系统的建设,形成了全国性的互联网网络安全信息共享,发起成立了国家信息安全漏洞共享平台(CNVD)、 中国反网络病毒联盟 (ANVA) 和中国互联网网络安全威胁治理联盟 (CCTGA)。CNCERT 还积极开展信息安全的国际合作,截至到2018 年,CNCERT 已与76 个国家和地区的233个组织建立了“CNCERT 国际合作伙伴”关系。
但是,该机构主要支持政府机构履行与网络安全相关的社会保障和公共服务职能,重点是国家安全基本信息网络的安全保护和安全运行,并支持该机构重要信息系统的网络安全、国家裁定、监测、预警和处置。因此对广泛的信息安全,特别是国家隐私信息安全的监视,识别,预警和处置的法律规范相对薄弱。相应地还存在着对普通公民信息安全的法律处罚不完善和不及时等问题。例如,当前该机构对于信息服务设备后门和技术漏洞监测、甄别和预警最为通行也最为有效的规制,是构建国家信息安全信息技术设备漏洞后门的情况通报制度。不过,CNCERT 的监测、预警通报制度,虽在协调国内安全应急组织(CERT)共同处理互联网安全事件方面发挥着重要作用,但仍有很多方面需要健全完善。
CNCERT 主要是通过联合国内重要的信息系统单位、基础电信运营商、软硬件厂商共同成立的国家信息安全漏洞共享平台(CNVD)来进行。CNVD 对信息系统用户通过网站、邮件、电话等方式上报的异常信息后,组织成员单位进行漏洞分析验证,核实该异常信息确实为漏洞后,便与相关厂商共同协商发布时间,根据漏洞发布的策略,加以选择地发布相关信息。CNVD 建立起了统一收集验证、预警发布及应急处置体系,但主要仍然是靠自律的方式来跟进及处理。漏洞的信息披露还要遵循客观、适时、适度的三原则。客观披露要求对公开发布的漏洞信息进行披露审核,确保涉及的目标对象、风险情况描述基本准确,对漏洞可导致的潜在风险不能作为网络攻击事件进行披露和引导。适时披露原则要求相关厂商和信息系统管理方在未接收到漏洞信息、完成漏洞处置前或预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期,各方研判后协商拟定灵活实际的漏洞公开披露时间。适度披露原则要求不得披露国家政策法规和主管部门禁止披露的信息系统漏洞,不得披露违反知识产权保护法律法规及商业机密协定的信息。在漏洞处置完成前,可对具体目标系统、攻击手法的信息进行弱化处理。
由于厂商的自律义务本身已经相对缺乏强制力和执行力,再加上为了避免产生披露漏洞而被黑客利用实施网络攻击的情况,漏洞的披露显得遮遮掩掩。而违反公约的厂商,也仅仅是进行调查,内部通报或取消公约签署单位资格的处理。在没有法律约束的情况下,很难取得实效。笔者通过CNVD 公布的自2017 年1 月至2019 年11 月的统计数据查询,2017 年漏洞披露共计15478 例,2018 年共计13957 例,2019 年1 月至11 月共计14358 例,其中高危漏洞14414 例,占21.91%,中危漏洞25900 例,占59.14%,低危漏洞3479 例,占7.94%。由此可见,漏洞的发生数量每年基本呈现均衡的态势,并且中高危漏洞占了绝大部分比重。在这些披露的漏洞中,设计错误共有26948 例,占61.53%为最多。漏洞引发的威胁在以下三类最多,管理员访问权限获取13426 例,占30.64%,未授权的信息泄露14062 例,占32.11%,未授权的信息修改7481 例,占17.08%。漏洞影响的类型中,应用程序发生25396 例,占57.99%,WEB 应用8434 例,占19.24%,操作系统5021例,占11.47%,网络设备(交换机、路由器等网络端设备)发生3461 例,占6.9%。CBVD 在进行漏洞披露方面确实取得了一些成绩,但笔者也发现,在其网站公布漏洞列表中,其点击数基本从几十到两三百不等,很难让社会公众周知漏洞的存在和危害。
到底是设备制造商有意为之的后门还是技术漏洞本就难以决断,漏洞披露的范围限制及跟进措施的缺乏更使得惩罚措施只能高高举起,轻轻放下。设备制造商和使用商推卸责任的态度造成消费者群体的信息安全得不到应有的尊重和保护,亟需建立更为完善的协调机制。
目前的解决之策应该把握以下几方面:
首先是立法环节,不能继续传统的部门主导模式,亟需改为统合主导模式。具体来说,就是应对网络信息安全的所有立法职能,均要统一到国家信息安全领导小组进行统合、研究、协调以及立法起草直到提案的通过。鉴于网络安全基于信息技术发展而变化的规律,对于信息传输运用的技术性规范,不能局限于以往部颁标准或行业标准一般不给予国家强制力保障实施的传统,而应当加大技术规范向法律规范转型升级的力度和效率。一方面,按照国际上行会自治高于一般国法的良法惯例,结合现代社会行业管理去行政化的自治改革,在执法和司法实践中承认行业技术规范或部颁技术规范的法律效力。另一方面,跟上互联网大数据技术应用日新月异的变化,对能够及时迅捷和有效地应对信息应用设备的后门及技术漏洞的行业技术规范,直接以国家立法的形式及途径固定下来。
其次是执法环节,对于网络信息服务设备后门及技术漏洞的危害,既要坚持法无明文不乱作为,又要根据其危害程度及危害速度,不断完善制止其危害的综合反应行动机制。因此,执法艺术的不断提高,已经毋庸置疑地摆在执法机构及其队伍的面前。至于如何才能在立法相对滞后的环境中,既要及时高效地遏制网络信息服务设备技术后门及技术漏洞的危害,又不能陷入无法可依的不作为甚至乱作为陷阱,笔者拟于另文阐述。
最后是司法环节。司法是法律防范的最后防线。但基于司法的被动性,对于当下及今后涉及国家和社会运行至关重要的信息安全,司法的救济显然有滞后的一面。在大数据时代,危害信息安全的设备后门和技术漏洞,因运营服务商追逐商业利润的客观规律,总是想方设法、改头换面甚至不断通过技术转型升级,已然造成人类社会可持续发展至关重要的隐患和问题。因此,如果继续按照以往司法必须有法可依的理论及原则才能进行司法救济,无论是救济效率还是救济成本,都不能达到理想的水平。要改变这种被动局面,笔者结合人类社会发展史上司法能动性经验教训,建议摆脱传统司法必须依靠制定法才能展开救济的类法律教条主义的束缚,吸收英美法系和大陆法系国家将法理作为最高司法准据法的有益经验,在应对大数据、互联网+、区块链等高新技术突飞猛进发展变化的当下及今后随之引发的信息安全法律规制的纠纷争议或事件的司法救济方面,及时高效地发挥作用。
1.完善《网络安全法》及相应的配套法律法规
《网络安全法》亮点突出,但在应对信息服务设备后门及技术漏洞方面的法律规定同样需要完善。
《网络安全法》在第二十二条、第二十五至二十七条针对信息设备服务厂商、网络运营者及挖掘发布安全漏洞的白帽子6白帽黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样系统可以在被其他人(例如黑帽子)利用之前修补漏洞。的法律责任进行了规定,但偏重于赋权而缺少具体对接的法律法规。譬如第二十五条提及网络运营商应在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。却未指出具体的报告程序及对接部门。第二十六条要求漏洞发掘者要遵守国家有关规定,却也未明确有哪些规定。《网络安全法》历经三次审议草案,给配套规章留下接口,但必须完善并出台实施细则,否则将沦为口号式的倡议。
此外,不法分子攻击信息服务设备的后门及技术漏洞主要为了获得系统的高权限,以便控制设备并盗取相关信息。《网络安全法》中用了将近三分之一的篇幅对严重危害国家安全、国计民生、公共利益的系统和设施运行安全进行规范,但却对个人信息的保护较少涉及。现行法规仅有工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》及《电信和互联网用户个人信息保护规定》有集中的概念界定,保护措施散见于《消费者权益保护法》《民法总则》《刑法》等诸多法律法规,缺乏统一的顶层设计。现在《个人信息保护法》已经列入十三届全国人大常委会立法规划中,希望能尽快出台。
2.立法规范白帽子挖掘漏洞活动
白帽子与黑客的最大区别是其进行挖掘发布安全漏洞的主观意图是善意的,故此能成为国家力量以外不可或缺的补充力量,但我国对白帽子的行为进行严格规制。现行《网络安全法》第二十七条及工信部出台的《网络安全漏洞管理规定(征求意见稿)》将白帽子的行为予以禁止,《刑法》第二百八十五条及第二百八十六条和《治安管理处罚法》第二十九条规定则更为严格地处理。如果挖掘发布安全漏洞的白帽子未经授权就去开始渗透测试,或者开展渗透测试的时间不是在客户授权的时间,或者测试范围超过了客户的授权,都可能被认定为是非法入侵他人网络的违法行为,需要承担法律责任。
《网络安全漏洞管理规定(征求意见稿)》于2019 年6 月公开征求社会意见,同样要求白帽子发现漏洞必须上报工业与信息化部网络安全威胁信息共享平台,禁止私自发布或修复漏洞。第六条第三项规定:“不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。”
笔者认为,将漏洞管理整体纳入国家管理的出发点是好的,但还需考虑现实情况。上述严格的规定基本禁止白帽子之间的技术交流,各大网络安全论坛上的各种帖子会变得更加纯洁,表面看来是消弭了威胁,但所有发掘的漏洞均成为“国家财产”的做法却扼杀了白帽子研究的热情。目前中国的网络安全研究实力较弱,如果不开放较为自由的环境,白帽子在发布研究成果前都如履薄冰,短期上或许更为稳定,从长远来看却为中国安全人才的培养产生负面效果,甚至迫使相当一部分白帽子转入暗网成为黑客。
笔者建议,应以政府为主导,利用现有的漏洞发布平台组成行业协会,将白帽子的身份信息在协会进行备案并严格保密。协会根据《信息安全等级保护管理办法》的管理规定,明确会员挖掘漏洞的范围,并规定合法的挖掘漏洞方式、合法的挖掘工具及挖掘手段等前提条件。依据会员挖掘漏洞的过往记录区分会员等级,逐步开放相应权限,建立信息安全人才后备力量,并进一步建立政府、企业、个人多方参与的信息安全防御体系。同时在法律适用上应考虑白帽子挖掘信息服务设备漏洞的动机、行为及社会危害性,适当制定一些豁免条款。
3.立法加强CNVD 的指导功能及协调作用
现行的《网络安全法》及《信息系统安全等级保护基本要求》基本沿用政府主导的模式,按照等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度进行定级,根据不同定级制定相关国家标准及行业标准作为强制性标准,再配合其他必要措施的兜底内容。《网络安全法》第十条规定:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
现在攻击手段不断发展,国家层面的定级分类和强制性标准必然相对滞后。作为防范信息服务设备后门及技术漏洞的要求而言,达到强制性要求仅能完成表面上的合规,却造成事实上的不安全,这与按照企业情况制定的灵活安全策略的重要性不言而喻。笔者建议立法加强CNVD 的指导功能及协调作用。《网络安全法》第三十九条规定:“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:……(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。”这给CNVD 介入提供了法律依据。目前在《CNVD 漏洞安全相应指导规范》中已经规定了通用软硬件漏洞处置流程,但应更鼓励CNVD与信息服务设备制造商及安全服务企业进行合作,根据不同行业情况完成风险评估,制定出相应的安全标准,并制定更为灵活的安全策略以明确其他必要措施的内容,做好事前防范工作。在事后处置上,根据设备性质制定处理流程和公开策略。
4.加重前端厂商的法律责任
如前文所述,信息服务设备制造商的主观意图很难被认定,导致现行的法律法规对其难以进行管理。目前CNVD 的《中国互联网协会漏洞信息披露和处置自律公约》第二章自律条款的第八至十条分别规定了CNCERT、漏洞平台、相关厂商和信息系统管理方应遵循的自律义务。但相关厂商和信息系统管理方的自律义务相对空泛,仅仅要求高度重视软硬件产品漏洞和可能的危害,及时核实确认并提供和发布漏洞补丁或解决方案,确保漏洞修复措施的有效性和覆盖面,积极配合CNCERT作好技术分析和用户威胁评估,缩短应急响应周期,保障产品用户和系统用户的知情权和安全利益。7
笔者查看CNVD 漏洞分类中智能设备(物联网终端设备)中的信息,比如近期编号为CNVD-2019-29855 的文件,公开于2019 年9 月21 日关于大华某型号网络摄像头安全认证存在逻辑缺陷漏洞的披露信息。笔者将大华摄像头的漏洞信息进行数据检索,不但发现此安全认证漏洞并未得到解决, 更发觉2015 年CNVD-2015-05128 文件, CNVD-2017-08192 文件, 2017 年CNVD-2017-06997 文件等多份报告显示大华公司产品长期以来都存在极大隐患。安全专家bashis 认为大华设备的这些问题不仅仅是漏洞,更疑似大华科技自身预留的一个后门。而大华科技公司则只是将这些漏洞定级为“编码问题”,而且言明并不是公司故意为之。
笔者认为,需要加重前端厂商的法律责任。首先,在发布产品前应当以法律法规的激励性要求厂商自律并关注安全。有些设备商固件使用第三方开源代码,以便降低组装成本,但在出厂之前应强制要求通过扫描工具进行扫描,并与已建立并经常更新的安全漏洞数据库进行比较。国外立法经验亦可借鉴,2017 年美国提出《2017 年物联网网络安全改进法案》,要求所有联网设备的制造商都要确保联网设备的软件或固件(是固化在硬件中的软件)的组件能够被更新或替换,防止信息被未授权访问或者修改泄露。而加州率先通过SB-327 法案,并于2020 年元旦生效,要求任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能。英国则积极将欧盟《通用数据保护条例》(GDPR)转化为了《消费类物联网设备安全行为准则》。我国需要出台专门规范厂商责任的立法。其次,启动公益诉讼完善对产品的事后规制。美国联邦贸易委员会对一系列D-Link路由器缺乏安全性提起诉讼后,D-Link 公司便同意在产品发布前做好规划,完成应有的威胁建模、漏洞测试、以及软件安全计划。而在我国,尽管《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》明确了消费者协会、法律规定或者全国人大及其常委会授权的机关和社会组织作为公益诉讼原告的主体地位,但此类公益诉讼甚少开展。最后,对于经常出现产品问题的厂商,需要建立黑名单机制,施加更为严格的市场禁入,严格禁止政府采购不符合安全要求的物联网设备。
大数据、云计算云存储、互联网+、区块链等高新技术日新月异的发展,为人们的生产生活带来更加便捷的服务,但提供信息技术服务的各级各类分销服务商,受逐利的人性弱点驱使,都会在相应的信息基础传输设备进行后门设计。另一方面,人类高新技术发展的局限,也使得信息基础传输处理的生产厂商,无法做到一开始就杜绝技术漏洞的技术保障水平。因此,从信息服务形成商业化运用之初至今,各级各类信息服务设备制造商所出现的后门和技术漏洞引发的网络信息安全危害愈演愈烈。这也向人类社会在大数据、云计算云存储、互联网+、区块链等高新技术规模发展时空的法律规制,提出了前所未有的挑战。
基于以上,笔者提出相应浅见和建议,冀望能够引发大家的重视,在应对网络信息安全的法律7 《中国互联网协会漏洞信息披露和处置自律公约》第十条:“相关厂商和信息系统管理方遵循的自律义务有:高度重视软硬件产品漏洞和信息系统漏洞可能对产品用户和系统用户可能造成的危害,积极回应CNCERT、漏洞平台以及漏洞报送者提供的漏洞信息,及时核实确认并提供和发布漏洞补丁或解决方案。应从产品研发、测试和发布等环节加强协同管理,及时应对新出现的漏洞,在产品远程升级、用户系统维护方面做好技术准备和主动服务,确保漏洞修复措施的有效性和覆盖面。积极配合CNCERT 作好技术分析和用户威胁评估,缩短应急响应周期。通过网站、邮件等方式及时披露和推送本单位生产、提供的软硬件产品的漏洞描述信息。”规制方面,求同存异地探索,找到能够及时高效防范网络信息安全危害的法律之道。拙文权抛陋俗之砖,特求教于方家与同仁之玉。