合作主义：网络安全漏洞治理的范式转型*

郑丁灏

（厦门大学 法学院，福建 厦门 361005）

0 引 言

近年来，网络安全治理议题已成为全球各主权国家制定战略政策的焦点与学术理论研究的高频点，而伴随全球网络黑客攻击的不断增多，网络安全漏洞亦开始进入全球治理和国家治理的视线内。从全球治理视角，网络安全漏洞事关各国之间的协调与合作，以之建构对等互助的国际网络秩序；从国家治理视角，其不单关涉网络安全部门，同时漏洞的全流程治理也涉及各政府部门及其与社会民众之间的相互配合。目前，我国虽已初步建立起以《中华人民共和国刑法》《中华人民共和国网络安全法》为主要法律规范，以《网络安全漏洞管理规定（征求意见稿）》《网络安全威胁信息发布管理办法》等为配套规定的整体制度框架，但纵观各制度规范，其对网络安全漏洞的规制条款却缺乏对漏洞治理环境、漏洞整体流程与社会主体责任等因素的细致考量，导致在治理实践中尚存诸多困境亟需解决。本文即以此为主题，分析上述“命令控制型”治理模式的弊端，并引入合作主义范式，以期对我国网络安全漏洞治理提出完善建议。

1 传统网络安全漏洞治理的“漏洞”

当前，传统由政府掌握主导权的治理机制在网络安全漏洞肆意扩张的背景下日渐式微。由此需反思，网络安全漏洞治理自身的“漏洞”何在？

1.1 标准漏洞：评级指标缺乏参与性

漏洞评级串联漏洞的发现与披露周期，其关键性不言而喻。2021年6月最新实施的GB/T 30279—2020《信息安全技术网络安全漏洞分类分级指南》将漏洞评级指标划分为“被利用性”“影响程度”以及“环境因素”，主要关注网络安全漏洞对目标对象所造成损害的严重程度。在上述指标的考量因素中，诸多数据需采集于网络公众用户以及其他网络主体，例如“被利用性”指标下的“交互条件”“环境因素”指标下的“影响范围”等。然而，在既有网络安全漏洞治理规范中，却未见网络公众用户或其他网络主体参与前述信息采集的具体配套细则，故上述二者应如何提供与网络安全漏洞有关的信息，并确保信息的真实、有效、客观，尚处空白地带。同时，在当前网络安全环境复杂，各层级网络主体拥有不同网络安全需求的背景下，上述评级指标在缺乏网络公众用户以及其他网络系统主体有序参与的情况下，是否能够对网络安全漏洞作出准确、实时的评级，也值得深思。

1.2 激励漏洞：管理规范削弱积极性

2019年发布的《网络安全漏洞管理规定（征求意见稿）》旨在规范网络安全漏洞的检测、评估等行为。其虽明确中央各部委及行业主管部门在漏洞管理中的主导地位，但却限制了第三方组织或个人对网络安全漏洞的挖掘与披露。例如，该规定第6条指出“第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息，应当……遵守以下规定：……（三）不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具；……”此规定不仅使网络安全爱好者的专业技术讨论陷入“人人自危”的境地，削弱其共享信息的积极性，并极有可能链接《中华人民共和国网络安全法》第62条，使信息披露主体遭受行政处罚。正如某网络安全人士表示，限制漏洞利用代码及相关技术文章的分享，将限制漏洞研究和安全社区的发展，并可能将网络安全漏洞信息转向地下黑产圈，使黑产圈的信息交换更为活跃。此外，上述规定第7条明确指出第三方组织应当加强内部管理，但其语句的概括性使之缺乏可操作的规程，而其中的“必要措施”表述则更令第三方组织者惘然无措。

1.3 责任漏洞：“白帽子责任”存在模糊性

“白帽子”特指通过技术手段侵入系统获取数据的方式检测查找安全漏洞并加以合法披露的善意第三人[1]。在我国法律体系下，“白帽子”的法律责任却存在高度模糊性，其所实施的漏洞挖掘及披露行为长期处于罪与非罪的夹缝之中。首先，在主体身份层面，“白帽子”往往是未经专业认证的网络安全人员，其在身份上并未与网络黑客有所区别，并且其多为社会主体，带有极强的非官方性质，故其在主体身份上即无法获得法律责任上的豁免。其次，在行为层面，由于“白帽子”检测或挖掘漏洞需采用特定的网络检测手段。虽然该手段对于“白帽子”自身而言，系以获取网络安全漏洞为目标，但从网络安全管理者或司法机关的视角，在未检测出网络安全漏洞之前，前述准备工作在实质上与《中华人民共和国刑法》第285、286条的破坏计算机信息系统行为并无差异。更何况在某些情况下，“白帽子”所使用的软件内含自动缓存功能，虽然其无意在检测过程中获取数据，但该软件却可能自动缓存数据，造成信息泄露[2]。故实践中“白帽子”的行为确实存在触犯破坏计算机信息系统罪的可能。最后，在规范层面，依据上述刑法条文，其难以在客观层面区分“白帽子”和不法黑客，仅能从主观层面进行考量[3]。但司法实践中对技术的“恶意利用”判断又存在较为宽泛的自由裁量权，其需遵守《中华人民共和国刑法》第285条第1款的“严格保护”立场或是第2款的“非法控制”立场至今未有准确答案，导致司法实践再次转向对客观行为的认定，单纯依赖情节与后果定罪。2016年的袁炜案即为上述判定标准缺失的典型判例。

2 合作主义治理与网络安全漏洞规制

如上所述，网络安全漏洞治理规范带有传统的管制型色彩，未能充分考量网络社会的积极因素，致使其忽略社会公众的治理力量。对此，引入合作主义模式以发挥治理合力，应有助于完善网络安全漏洞的防治体系。

2.1 以合作主义为核心的新治理范式

理论上，“合作主义”强调多元主体的合作与参与，以包容性更强的合作方式，促进各主体之间的资源分享与利益协调，以完成行政任务[4]。不同于以往由政府主导的“命令控制型”治理模式，合作主义治理旨在形成由政府、市场（社会组织）、企业协同的三方制衡关系，在保持宏观治理环境整体稳定的背景下解决变动性强、复杂性高的治理难题。同时合作主义治理的定位是政府治理的有益补充，通过扩充行政治理资源以适配联系日趋紧密的公私关系网络，进而提高政府治理能力。

实践中，行政治理视阈下的“合作主义”拥有广泛的应用范围，其自身既是一种柔性的治理理念，也可外化为体现价值理念取向的硬性制度规范，故其有能力为网络安全漏洞规制提供一种全新的转型范式。基于前述分析，缺少公众参与的政府中心主义治理不可避免地存在治理失灵的现实困境，“合作主义”的引入既可为网络安全漏洞规制提供价值指导，促使网络社会主体积极融入治理参与方，还可具体搭建多方协作的网络安全漏洞治理网络，在充分考量各方利益需求的基础上填补既有治理机制的空白，提供满足公众需求的治理公共产品，并在治理进程中更好地处理网络空间安全与网络技术创新发展的平衡关系。

2.2 “合作主义”治理在网络安全漏洞治理中的必要性

2.2.1 网络社会权力扁平化

从社会权力视角而言，网络社会权力的扁平化决定了政府权力必须实现从科层制向扁平化的转变，此种信息力量直接影响政府的决策，改变着传统政府自上而下的权力的运行机制[5]。因此，单纯由政府主导的垂直治理必然无法因应扁平化的网络社会转型。

1.2 家庭农场在现代农业生产的优势 家庭农场的内在市场化运作方式和家庭经营的稳定性决定了在市场经济下有较高的竞争力，在发达国家，以家庭农场为经营方式的已存在近200年，今天依然为农业的最重要经营方式。我国家庭农场是在家庭承包经营基础上发展起来的，它保留了家庭承包经营的稳定性特点，同时又吸纳了现代农业市场化运作方式，其优势有以下几点。

毋庸置疑，随着网络技术的迅猛发展，传统的网络权力格局被打破，以往居于金字塔顶端、主导网络权力的政府力量被社会网络权力逐渐分散。在当前以“去中心化、去组织化”为主要特征的网络权力格局中，网络权力不断被稀释，网络空间中的社会主体显然均可成为网络权力的拥有者[6]，并依托私有权力威胁整体网络空间安全，其中就包括掌握网络安全漏洞等关键信息的网络黑客。比如，去中心化区块链技术运行环境下的智能合约编程solidity安全漏洞、逻辑漏洞和代码漏洞等，均可由普通的社会主体所掌握。网络社会权力的扁平化发展趋势决定了政府的治理架构必须相应作出调整，以妥善应对分散于各私主体之间的网络安全漏洞。此外，由于各网络主体的安全需求不尽相同，故需同时依托各私主体间的相互协作，利用技术与政策兼顾各方利益，全面实现网络安全漏洞的合作主义治理。

2.2.2 网络安全相互依赖性脆弱

网络安全的“相互依赖性脆弱”使传统由政府主导的“命令控制型”治理顾此失彼，亟待合作主义规制对网络安全漏洞进行整体修补与完善。具体而言，其主要体现为如下两个层面，一是网络信息技术的蓬勃发展使网络主体间的相互联系相较以往愈加紧密。传统被地域分割的社会个体如今可以通过网络信息技术而被聚集至单一的网络社区或社群之间，形成比以往社会个体联系更为紧密的网络关系。这种网络主体间的相互依赖导致单个网络主体存在网络安全漏洞时，其所生风险可能依托各主体间的网络关系迅速蔓延，从而导致与其相关的网络主体亦被卷入网络安全风险之中，形成网络安全的“多米诺骨牌”效应，直至危及系统整体安全。二是网络信息的相互依赖性。一方面，对于网络攻击的守方而言，网络安全依赖于与之相关的信息可信度与可获取性。网络安全漏洞的存在将使网络信息的存储与交流受到巨大威胁，尤其是涉及国家安全或各类基础设施的关键信息、敏感信息等。若此类信息被网络黑客篡改或盗取，其后果将十分惨重。另一方面，对于网络攻击的攻方而言，其攻击能力与频率依仗网络信息的相互依赖性显著提升，而网络安全漏洞的出现则直接为其提供攻破系统安全屏障的内部突破口。因此，只有构筑各利益相关方相互协作、信息共享的机制，方可在脆弱的网络安全体系下防范漏洞风险。

3 网络安全漏洞“合作主义”治理的美国经验

作为网络安全规制的先行者，美国拥有全球最为完善的网络安全漏洞治理体系。本文即以其为分析对象，探究社会主体与政府部门在该体系下的融合之道，为我国构建“合作主义”框架提供借鉴蓝本。

3.1 “合作主义”与网络安全漏洞挖掘激励

在漏洞挖掘阶段，美国政府部门主要通过对私主体的奖励计划以激励其对网络安全漏洞的挖掘。典型者如知名白帽子平台Hackerone与美国国防部为测试后者防御网络漏洞攻击能力而联合发起的“黑掉五角大楼”（Hack the Pentagon）漏洞众测计划。该项目由美国国防部数字化服务部主导，由网络安全工程师和专家组成。在为期近一个月的活动中，共有约250名漏洞研究人员提交了关于五角大楼的漏洞报告，其中138份报告鉴定合格并被发放赏金。在“黑掉五角大楼”计划成功实施后，美国国防部又先后举办了“黑掉陆军”（Hack the Army）和“黑掉空军”（Hack the Air Force）等多个类似悬赏计划，旨在鼓励民间网络安全人员对网络漏洞的挖掘和发现，为官方政府提供更为全面与安全的解决方案。据统计，从美国国防部展开漏洞挖掘项目以来，受邀的安全专家已提交超过2.9万个漏洞报告，其中逾7成属于有效漏洞。为此，2021年5月，美国国防部宣布将漏洞挖掘项目扩大至所有可公开访问的美国国防部信息系统，以拓宽网络安全人员查找安全漏洞的覆盖面[7]。

3.2 “合作主义”与网络安全漏洞披露规制

针对网络安全漏洞披露，美国主要以立法形式对其程序与界限作出具体规定，为社会主体构筑可信的披露框架。其早在2012年《网络安全法案》（Cybersecurity Act）中，即详细规定了网络安全威胁可予合法披露的情形。根据该法案第701条，若获得第三方合法授权，私人主体可监视其信息系统及其存储、处理和传输的信息，并可对该信息采取相应措施。第702条规定，允许私人主体向其他主体披露其依法获取的网络安全威胁信息，但要求信息披露与接收方遵守特定限制，主要包括保护信息记录、流量或与之相关的人员信息；遵守披露实体对披露或使用网络安全威胁指标所设置的任何合法限制；不得获取不公平竞争优势；披露目的旨在保护信息系统及数据安全。此后，于2018年生效的《公私网络安全合作法案》（Public-Private Cybersecurity Cooperation Act） 则要 求国土安全部为社会主体制定漏洞披露政策，包括披露程序、披露信息系统以及网络安全漏洞的条件和标准等，以帮助其在国土安全部认可的信息系统上报告安全漏洞。同时该法案还提出在制定安全漏洞披露政策时，政策制定者应与司法部门、国防部门以及非官方安全研究人员进行协商，促使网络安全漏洞的披露政策得以符合各方利益。

3.3 “合作主义”与网络安全漏洞信息共享

在司法层面，美国2015年通过的《网络安全信息共享法案》（Cybersecurity Information Sharing Act，CISA）明确指出，对于非机密的“网络威胁指标”和“防御措施”信息，联邦政府不仅可在政府机构间共享，也可与企业组织和社会公众分享；而对于机密的网络安全信息，共享对象则仅限于具有安全资质的主体。该法案重申了社会公众分享网络信息时需出于网络安全目的，并确立了“合法披露”原则：社会公众只要在符合CISA要求的前提下共享、接收网络安全信息，其即可免于承担法律责任。在行政层面，奥巴马政府曾于同年签署行政命令，下令建立专门的“信息共享和分析机构”（ISAOs），以支持国土安全部的国家网络安全和通信整合中心（NCCIC）成为私营企业共享网络威胁数据的枢纽。而新任美国总统拜登于今年5月12日则再次签署相关行政命令，要求网络服务提供商应尽可能消除合同障碍，共享可能影响政府网络安全的漏洞信息，以协助提高联邦政府的网络防御能力以及整体网络安全。

4 我国网络安全漏洞治理的“合作主义”框架

上述论述表明，“合作主义”范式在网络安全漏洞治理中兼具必要性与可行性，故下文尝试结合我国网络安全规制现状，构筑防控网络安全漏洞的“合作主义”框架。

4.1 行政与司法的合作：明晰“白帽子”的权责边界

诚然，仅有行政领域的制度供给难以为“白帽子”的法律责任廓清界限。实践中还需依托司法能动主义的“合作”，即考量多元社会价值，寻求建立恰当而有效的最高司法指导机制[9]。具体而言，虽然我国刑法第285条规定已对非法侵入计算机信息系统罪作出明文规定，但在司法实践中，仍应充分考量“白帽子”在实施漏洞挖掘行为时的主观状态，将此作为定罪量刑的重要考量因素，而非径直以危害后果作为司法裁判依据。同时，最高人民法院还可取材于司法实践，制定司法解释或发布典型司法案例以明确“白帽子”黑客挖掘、披露漏洞行为的法律责任边界，以此作为对刑法第285条的有益补充。

4.2 行政与行政的合作：加强网络安全漏洞协同机制

现阶段，我国虽然已建立起由国家信息安全漏洞共享平台（CNVD）为主导的网络安全漏洞信息披露机制，但是在网络安全漏洞披露后的协同处置上却略显空白。2015年签订的《中国互联网协会漏洞信息披露和处置自律公约》仅对国家互联网应急中心（CNCERT）与各社会主体之间的协同处置作出规定，未有其他制度规范或自律性规范构筑各行政部门之间的协同处置框架。为填补此空白，不仅需建立网络安全漏洞协同处置组织，由国家网络安全和信息化委员会办公室领衔，并且需制定网络安全漏洞协同处置规范，细化上述自律公约中要求CNCERT“积极建立与政府和重要信息系统部门、行业单位的处置联系渠道”的内容。此外，另需设计合理的协同处置网络安全漏洞风险的责任制度。如针对硬件和软件的漏洞，事先界定资产管理部门、业务管理部门以及信息安全部门之间的责任：资产管理应与服务供应商协调，修复漏洞并定期增补补丁；业务管理部门则应对网络系统内部原因导致高危漏洞无法消除的情形制订替代方案，废除相关应用系统；信息安全部门则应对漏洞信息披露以及后续处置负责，防范利用网络安全漏洞的攻击。

4.3 行政与公众的合作：推动漏洞挖掘公众参与

如上所述，调动私主体挖掘漏洞的积极性是“合作主义”框架下公众参与的重要环节，故行政部门可选择增设网络安全漏洞挖掘奖励以及漏洞评级参与途径，加强与社会公众的互动。首先，行政部门需对《网络安全漏洞管理规定（征求意见稿）》作出修订，删除其第六条第（一）款、第（三）款以及第七条第（三）款的规定，另增设一条明确概括性的“合法原则”，即在符合整体网络安全漏洞管理规定要求，且为正当合法目的而进行网络安全漏洞挖掘的社会主体，可免于承担法律责任，以此增加法律法规的明确性并减少网络安全漏洞挖掘者触碰法律法规红线的风险。其次，行政部门应拓宽社会主体参与漏洞评级的途径，畅通行政部门与企业主体所掌握的漏洞评级信息的共享渠道。

而通过对网络安全信息的共享并对安全漏洞进行评级，亦可帮助同一领域内的其他主体发现更为隐秘的安全漏洞，提升漏洞处置的及时性。最后，行政部门可进一步拓宽网络安全漏洞挖掘奖励计划的范围。我国目前的漏洞奖励计划主要由社会企业发起，例如阿里巴巴、百度、京东等科技巨头，但少见由官方行政部门发布的漏洞挖掘奖励计划。上述企业的激励计划自然系为其企业自身服务，故被挖掘出的网络安全漏洞对国家整体网络安全建设可能收效甚微。因此，我国行政管理部门后续可设置类似“黑掉五角大楼”项目的网络安全漏洞挖掘奖励活动，在内部网络安全许可的前提下激励社会主体进行网络安全漏洞挖掘竞赛，对优先挖掘或处置漏洞的网络安全人员进行资金奖励，以调动社会主体参与处置漏洞的热情。

5 结 语

网络安全漏洞治理日益成为各国网络安全治理的中心议题。由于我国网络安全漏洞治理存在“命令—控制”型的特征，故其不可避免地在漏洞评级指标、漏洞披露政策以及“白帽子”法律责任上缺乏整体性考量。因网络社会权力扁平化和网络安全相互依赖性脆弱等特征的存在，网络安全漏洞治理范式亟需向“合作主义”转型。现阶段，我国首先需明晰“白帽子”法律责任的边界，为社会公众参与漏洞治理提供可预见的法律环境。其次，需构筑漏洞协同机制，搭建行政部门之间的合作框架。最后，通过增设漏洞挖掘奖励计划并拓宽社会公众参与漏洞评级的渠道，加速该领域的“公私合作”进程。2021年7月12日，工业和信息化部、国家网信办与公安部联合印发《网络产品安全漏洞管理规定》，对网络安全漏洞协作管理、漏洞挖掘奖励以及“白帽子”行为规范等内容作出回应，初步勾勒出合作型网络安全漏洞治理的规范框架。以此为基础，我国网络安全漏洞治理的配套措施与工作机制亦将陆续完善，为网络安全漏洞产业的健康发展提供更为精细、全面的规范指导。