摘 要:利用網絡安全漏洞實施攻擊的安全事件頻發,使網絡安全漏洞治理成為保障國家網絡安全的重要議程。當前,囿于在漏洞評級指標、漏洞披露政策以及“白帽子”法律責任層面缺乏整體性考量,我國網絡安全漏洞治理框架亟待面向“合作主義”轉型。為此,需通過行政與司法的合作明晰“白帽子”法律責任的邊界,通過行政部門之間的合作搭建網絡安全漏洞協同機制,通過行政與公眾的合作拓寬社會公眾參與漏洞治理的渠道,協力共筑網絡安全漏洞治理的“合作主義”范式。
0 引言
近年來,網絡安全治理議題已成為全球各主權國家制定戰略政策的焦點與學術理論研究的高頻點,而伴隨全球網絡黑客攻擊的不斷增多,網絡安全漏洞亦開始進入全球治理和國家治理的視線內。從全球治理視角,網絡安全漏洞事關各國之間的協調與合作,以之建構對等互助的國際網絡秩序;從國家治理視角,其不單關涉網絡安全部門,同時漏洞的全流程治理也涉及各政府部門及其與社會民眾之間的相互配合。目前,我國雖已初步建立起以《中華人民共和國刑法》《中華人民共和國網絡安全法》為主要法律規范,以《網絡安全漏洞管理規定(征求意見稿)》《網絡安全威脅信息發布管理辦法》等為配套規定的整體制度框架,但縱觀各制度規范,其對網絡安全漏洞的規制條款卻缺乏對漏洞治理環境、漏洞整體流程與社會主體責任等因素的細致考量,導致在治理實踐中尚存諸多困境亟需解決。本文即以此為主題,分析上述“命令控制型”治理模式的弊端,并引入合作主義范式,以期對我國網絡安全漏洞治理提出完善建議。
1 傳統網絡安全漏洞治理的“漏洞相關工作
當前,傳統由政府掌握主導權的治理機制在網絡安全漏洞肆意擴張的背景下日漸式微。由此需反思,網絡安全漏洞治理自身的”漏洞“ 何在?
1.1 標準漏洞:評級指標缺乏參與性
漏洞評級串聯漏洞的發現與披露周期,其關鍵性不言而喻。2021 年 6 月最新實施的 GB/ T 30279—2020《信息安全技術網絡安全漏洞分類分級指南》將漏洞評級指標劃分為”被利用性“”影響程度“以及”環境因素“,主要關注網絡安全漏洞對目標對象所造成損害的嚴重程度。在上述指標的考量因素中,諸多數據需采集于網絡公眾用戶以及其他網絡主體,例如 ”被利用性“指標下的”交互條件“”環境因素“ 指標下的”影響范圍“等。然而,在既有網絡 安全漏洞治理規范中,卻未見網絡公眾用戶或 其他網絡主體參與前述信息采集的具體配套細 則,故上述二者應如何提供與網絡安全漏洞有關的信息,并確保信息的真實、有效、客觀, 尚處空白地帶。同時,在當前網絡安全環境復雜, 各層級網絡主體擁有不同網絡安全需求的背景 下,上述評級指標在缺乏網絡公眾用戶以及其 他網絡系統主體有序參與的情況下,是否能夠對網絡安全漏洞作出準確、實時的評級,也值得深思。
1.2 激勵漏洞:管理規范削弱積極性
2019 年發布的《網絡安全漏洞管理規定(征求意見稿)》旨在規范網絡安全漏洞的檢測、評估等行為。其雖明確中央各部委及行業主管部門在漏洞管理中的主導地位,但卻限制了第三方組織或個人對網絡安全漏洞的挖掘與披露。例如,該規定第 6 條指出”第三方組織或個人通過網站、媒體、會議等方式向社會發布漏洞信息,應當……遵守以下規定:……(三)不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具;……“此規定不僅使網絡安全愛好者的專業技術討論陷入”人人自危“的境地,削弱其共享信息的積極性,并極有可能鏈接《中華人民共和國網絡安全法》第 62 條,使信息披露主體遭受行政處罰。正如某網絡安全人士表示,限制漏洞利用代碼及相關技術文章的分享, 將限制漏洞研究和安全社區的發展,并可能將網絡安全漏洞信息轉向地下黑產圈,使黑產圈的信息交換更為活躍。此外,上述規定第 7 條明確指出第三方組織應當加強內部管理,但其語句的概括性使之缺乏可操作的規程,而其中的”必要措施“表述則更令第三方組織者惘然無措。
1.3 責任漏洞:”白帽子責任“存在模糊性
”白帽子“特指通過技術手段侵入系統獲取數據的方式檢測查找安全漏洞并加以合法披露的善意第三人[1]。在我國法律體系下,”白帽子“的法律責任卻存在高度模糊性,其所實施的漏洞挖掘及披露行為長期處于罪與非罪的夾縫之中。首先,在主體身份層面,”白帽子“往往是未經專業認證的網絡安全人員,其在身份上并未與網絡黑客有所區別,并且其多為社會主體, 帶有極強的非官方性質,故其在主體身份上即無法獲得法律責任上的豁免。其次,在行為層面, 由于”白帽子“檢測或挖掘漏洞需采用特定的網絡檢測手段。雖然該手段對于”白帽子“自身而言,系以獲取網絡安全漏洞為目標,但從網絡安全管理者或司法機關的視角,在未檢測出網絡安全漏洞之前,前述準備工作在實質上與《中華人民共和國刑法》第 285、286 條的破壞計算機信息系統行為并無差異。更何況在某些情況下,”白帽子“所使用的軟件內含自動緩存功能,雖然其無意在檢測過程中獲取數據, 但該軟件卻可能自動緩存數據,造成信息泄露[2]。故實踐中”白帽子“的行為確實存在觸犯破壞計算機信息系統罪的可能。最后,在規范層面, 依據上述刑法條文,其難以在客觀層面區分”白帽子“和不法黑客,僅能從主觀層面進行考量 [3]。但司法實踐中對技術的”惡意利用“判斷又存在較為寬泛的自由裁量權,其需遵守《中華人民共和國刑法》第 285 條第 1 款的”嚴格保護“立場或是第 2 款的”非法控制“立場至今未有準確答案,導致司法實踐再次轉向對客觀行為的認定,單純依賴情節與后果定罪。2016 年的袁煒案即為上述判定標準缺失的典型判例。
2 合作主義治理與網絡安全漏洞規制
如上所述,網絡安全漏洞治理規范帶有傳統的管制型色彩,未能充分考量網絡社會的積極因素,致使其忽略社會公眾的治理力量。對此, 引入合作主義模式以發揮治理合力,應有助于完善網絡安全漏洞的防治體系。
2.1 以合作主義為核心的新治理范式
理論上,”合作主義“強調多元主體的合作與參與,以包容性更強的合作方式,促進各主體之間的資源分享與利益協調,以完成行政任務 [4]。不同于以往由政府主導的”命令控制型“治理模式,合作主義治理旨在形成由政府、市場(社會組織)、企業協同的三方制衡關系, 在保持宏觀治理環境整體穩定的背景下解決變動性強、復雜性高的治理難題。同時合作主義治理的定位是政府治理的有益補充,通過擴充行政治理資源以適配聯系日趨緊密的公私關系網絡,進而提高政府治理能力。
實踐中,行政治理視閾下的”合作主義“ 擁有廣泛的應用范圍,其自身既是一種柔性的治理理念,也可外化為體現價值理念取向的硬性制度規范,故其有能力為網絡安全漏洞規制提供一種全新的轉型范式。基于前述分析,缺少公眾參與的政府中心主義治理不可避免地存在治理失靈的現實困境,”合作主義“的引入既可為網絡安全漏洞規制提供價值指導,促使網絡社會主體積極融入治理參與方,還可具體搭建多方協作的網絡安全漏洞治理網絡,在充分考量各方利益需求的基礎上填補既有治理機制的空白,提供滿足公眾需求的治理公共產品, 并在治理進程中更好地處理網絡空間安全與網絡技術創新發展的平衡關系。
2.2 ”合作主義“治理在網絡安全漏洞治理中的必要性
2.2.1 網絡社會權力扁平化
從社會權力視角而言,網絡社會權力的扁平化決定了政府權力必須實現從科層制向扁平化的轉變,此種信息力量直接影響政府的決策, 改變著傳統政府自上而下的權力的運行機制 [5]。因此,單純由政府主導的垂直治理必然無法因應扁平化的網絡社會轉型。
毋庸置疑,隨著網絡技術的迅猛發展,傳統的網絡權力格局被打破,以往居于金字塔頂端、主導網絡權力的政府力量被社會網絡權力逐漸分散。在當前以”去中心化、去組織化“ 為主要特征的網絡權力格局中,網絡權力不斷被稀釋,網絡空間中的社會主體顯然均可成為網絡權力的擁有者 [6],并依托私有權力威脅整體網絡空間安全,其中就包括掌握網絡安全漏洞等關鍵信息的網絡黑客。比如,去中心化區塊鏈技術運行環境下的智能合約編程 solidity 安全漏洞、邏輯漏洞和代碼漏洞等,均可由普通的社會主體所掌握。網絡社會權力的扁平化發展趨勢決定了政府的治理架構必須相應作出調整, 以妥善應對分散于各私主體之間的網絡安全漏洞。此外,由于各網絡主體的安全需求不盡相同, 故需同時依托各私主體間的相互協作,利用技術與政策兼顧各方利益,全面實現網絡安全漏洞的合作主義治理。
2.2.2 網絡安全相互依賴性脆弱
網絡安全的”相互依賴性脆弱“使傳統由政府主導的”命令控制型“治理顧此失彼,亟待合作主義規制對網絡安全漏洞進行整體修補與完善。具體而言,其主要體現為如下兩個層面, 一是網絡信息技術的蓬勃發展使網絡主體間的相互聯系相較以往愈加緊密。傳統被地域分割的社會個體如今可以通過網絡信息技術而被聚集至單一的網絡社區或社群之間,形成比以往社會個體聯系更為緊密的網絡關系。這種網絡主體間的相互依賴導致單個網絡主體存在網絡安全漏洞時,其所生風險可能依托各主體間的網絡關系迅速蔓延,從而導致與其相關的網絡主體亦被卷入網絡安全風險之中,形成網絡安全的”多米諾骨牌“效應,直至危及系統整體安全。二是網絡信息的相互依賴性。一方面, 對于網絡攻擊的守方而言,網絡安全依賴于與之相關的信息可信度與可獲取性。網絡安全漏洞的存在將使網絡信息的存儲與交流受到巨大威脅,尤其是涉及國家安全或各類基礎設施的關鍵信息、敏感信息等。若此類信息被網絡黑客篡改或盜取,其后果將十分慘重。另一方面, 對于網絡攻擊的攻方而言,其攻擊能力與頻率依仗網絡信息的相互依賴性顯著提升,而網絡安全漏洞的出現則直接為其提供攻破系統安全屏障的內部突破口。因此,只有構筑各利益相關方相互協作、信息共享的機制,方可在脆弱的網絡安全體系下防范漏洞風險。
3 網絡安全漏洞”合作主義“治理的美國經驗
作為網絡安全規制的先行者,美國擁有全球最為完善的網絡安全漏洞治理體系。本文即以其為分析對象,探究社會主體與政府部門在該體系下的融合之道,為我國構建”合作主義“ 框架提供借鑒藍本。
3.1 ”合作主義“與網絡安全漏洞挖掘激勵
在漏洞挖掘階段,美國政府部門主要通過對私主體的獎勵計劃以激勵其對網絡安全漏洞的挖掘。典型者如知名白帽子平臺 Hackerone與美國國防部為測試后者防御網絡漏洞攻擊能力而聯合發起的”黑掉五角大樓“(Hack the Pentagon)漏洞眾測計劃。該項目由美國國防部數字化服務部主導,由網絡安全工程師和專家組成。在為期近一個月的活動中,共有約 250 名漏洞研究人員提交了關于五角大樓的漏洞報告, 其中 138 份報告鑒定合格并被發放賞金。在”黑掉五角大樓“計劃成功實施后,美國國防部又先后舉辦了”黑掉陸軍“(Hack the Army)和”黑掉空軍“(Hack the Air Force)等多個類似懸賞計劃,旨在鼓勵民間網絡安全人員對網絡漏洞的挖掘和發現,為官方政府提供更為全面與安全的解決方案。據統計,從美國國防部展開漏洞挖掘項目以來,受邀的安全專家已提交超過2.9萬個漏洞報告,其中逾 7 成屬于有效漏洞。為此,2021 年 5 月,美國國防部宣布將漏洞挖掘項目擴大至所有可公開訪問的美國國防部信息系統, 以拓寬網絡安全人員查找安全漏洞的覆蓋面 [7]。
3.2 ”合作主義“與網絡安全漏洞披露規制
針對網絡安全漏洞披露,美國主要以立法形式對其程序與界限作出具體規定,為社會主體構筑可信的披露框架。其早在 2012 年《網絡安全法案》(Cybersecurity Act )中,即詳細規定了網絡安全威脅可予合法披露的情形。根據該法案第 701 條,若獲得第三方合法授權,私人主體可監視其信息系統及其存儲、處理和傳輸的信息,并可對該信息采取相應措施。第 702 條規定,允許私人主體向其他主體披露其依法獲取的網絡安全威脅信息,但要求信息披露與接收方遵守特定限制,主要包括保護信息記錄、流量或與之相關的人員信息;遵守披露實體對披露或使用網絡安全威脅指標所設置的任何合法限制;不得獲取不公平競爭優勢;披露目的旨在保護信息系統及數據安全。此后,于 2018 年生效的《公私網絡安全合作法案》(Public- Private Cybersecurity Cooperation Act ) 則要求國土安全部為社會主體制定漏洞披露政策,包括披露程序、披露信息系統以及網絡安全漏洞的條件和標準等,以幫助其在國土安全部認可的信息系統上報告安全漏洞。同時該法案還提出在制定安全漏洞披露政策時,政策制定者應與司法部門、國防部門以及非官方安全研究人員進行協商,促使網絡安全漏洞的披露政策得以符合各方利益。
3.3 ”合作主義“與網絡安全漏洞信息共享
在司法層面,美國 2015 年通過的《網絡安全信息共享法案》(Cybersecurity Information Sharing Act,CISA )明確指出,對于非機密的”網絡威脅指標“和”防御措施“信息,聯邦政府不僅可在政府機構間共享,也可與企業組織和社會公眾分享;而對于機密的網絡安全信息,共享對象則僅限于具有安全資質的主體。該法案重申了社會公眾分享網絡信息時需出于網絡安全目的,并確立了”合法披露“原則:社會公眾只要在符合 CISA 要求的前提下共享、接收網絡安全信息,其即可免于承擔法律責任。在行政層面,奧巴馬政府曾于同年簽署行政命令,下令建立專門的”信息共享和分析機構“(ISAOs),以支持國土安全部的國家網絡安全和通信整合中心(NCCIC)成為私營企業共享網絡威脅數據的樞紐。而新任美國總統拜登于今年 5 月 12 日則再次簽署相關行政命令,要求網絡服務提供商應盡可能消除合同障礙,共享可能影響政府網絡安全的漏洞信息,以協助提高聯邦政府的網絡防御能力以及整體網絡。
4 我國網絡安全漏洞治理的”合作主義“框架
上述論述表明,”合作主義“范式在網絡安全漏洞治理中兼具必要性與可行性,故下文嘗試結合我國網絡安全規制現狀,構筑防控網絡安全漏洞的”合作主義“框架。
4.1 行政與司法的合作:明晰”白帽子“的權責邊界
目前,我國”白帽子“主要以個人身份對網絡安全漏洞進行檢測,或是利用眾測平臺等網絡安全服務機構進行實名注冊后進行 [8]。在個人主體挖掘漏洞的法律責任不甚明確的境況下, 可從與”白帽子“簽訂服務關系的網絡安全服務機構入手,為”白帽子“提供法律責任的豁免制度。因此,我國可出臺網絡安全服務機構的管理規章,細化服務機構對”白帽子“的認證管理制度,尤其需強化其對”白帽子“在漏洞挖掘許可與漏洞信息披露行為方面的管理。此外,網絡安全服務機構還可代表”白帽子“ 與政府、企業簽訂”網絡安全漏洞挖掘協議“, 并在協議中明確相關行為的法律責任,為司法裁判提供免責的法律基礎。
誠然,僅有行政領域的制度供給難以為”白帽子“的法律責任廓清界限。實踐中還需依托司法能動主義的”合作“,即考量多元社會價值,尋求建立恰當而有效的最高司法指導機制[9]。具體而言,雖然我國刑法第 285 條規定已對非法侵入計算機信息系統罪作出明文規定,但在司法實踐中,仍應充分考量”白帽子“在實施漏洞挖掘行為時的主觀狀態,將此作為定罪量刑的重要考量因素,而非徑直以危害后果作為司法裁判依據。同時,最高人民法院還可取材于司法實踐,制定司法解釋或發布典型司法案例以明確”白帽子“黑客挖掘、披露漏洞行為的法律責任邊界,以此作為對刑法第 285 條的有益補充。
4.2 行政與行政的合作:加強網絡安全漏洞協同機制
現階段,我國雖然已建立起由國家信息安全漏洞共享平臺(CNVD)為主導的網絡安全漏 洞信息披露機制,但是在網絡安全漏洞披露后的協同處置上卻略顯空白。2015 年簽訂的《中國互聯網協會漏洞信息披露和處置自律公約》僅對國家互聯網應急中心(CNCERT)與各社 會主體之間的協同處置作出規定,未有其他制度規范或自律性規范構筑各行政部門之間的協同處置框架。為填補此空白,不僅需建立網絡安全漏洞協同處置組織,由國家網絡安全和信息化委員會辦公室領銜,并且需制定網絡安全漏洞協同處置規范,細化上述自律公約中要求CNCERT”積極建立與政府和重要信息系統部門、行業單位的處置聯系渠道“的內容。此外,另需設計合理的協同處置網絡安全漏洞風險的責任制度。如針對硬件和軟件的漏洞,事先界定資產管理部門、業務管理部門以及信息安全部門之間的責任:資產管理應與服務供應商協調,修復漏洞并定期增補補丁;業務管理部門則應對網絡系統內部原因導致高危漏洞無法消除的情形制訂替代方案,廢除相關應用系統;信息安全部門則應對漏洞信息披露以及后續處置負責,防范利用網絡安全漏洞的攻擊。
4.3 行政與公眾的合作:推動漏洞挖掘公眾參與
如上所述,調動私主體挖掘漏洞的積極性是”合作主義“框架下公眾參與的重要環節,故行政部門可選擇增設網絡安全漏洞挖掘獎勵以及漏洞評級參與途徑,加強與社會公眾的互動。
首先,行政部需對《網絡安全漏洞管理規定(征求意見稿)》作出修訂,刪除其第六條第(一)款、第(三)款以及第七條第(三) 款的規定,另增設一條明確概括性的”合法原則“,即在符合整體網絡安全漏洞管理規定要求, 且為正當合法目的而進行網絡安全漏洞挖掘的社會主體,可免于承擔法律責任,以此增加法律法規的明確性并減少網絡安全漏洞挖掘者觸碰法律法規紅線的風險。其次,行政部門應拓寬社會主體參與漏洞評級的途徑,暢通行政部門與企業主體所掌握的漏洞評級信息的共享渠道。而通過對網絡安全信息的共享并對安全漏洞進行評級,亦可幫助同一領域內的其他主體發現更為隱秘的安全漏洞,提升漏洞處置的及時性。最后,行政部門可進一步拓寬網絡安全漏洞挖掘獎勵計劃的范圍。我國目前的漏洞獎勵計劃主要由社會企業發起,例如阿里巴巴、百度、京東等科技巨頭,但少見由官方行政部門發布的漏洞挖掘獎勵計劃。上述企業的激勵計劃自然系為其企業自身服務,故被挖掘出的網絡安全漏洞對國家整體網絡安全建設可能收效甚微。因此,我國行政管理部門后續可設置類似”黑掉五角大樓“項目的網絡安全漏洞挖掘獎勵活動,在內部網絡安全許可的前提下激勵社會主體進行網絡安全漏洞挖掘競賽,對優先挖掘或處置漏洞的網絡安全人員進行資金獎勵,以調動社會主體參與處置漏洞的熱情。
5 結 語
網絡安全漏洞治理日益成為各國網絡安全治理的中心議題。由于我國網絡安全漏洞治理存在”命令—控制“型的特征,故其不可避免地在漏洞評級指標、漏洞披露政策以及”白帽子“ 法律責任上缺乏整體性考量。因網絡社會權力扁平化和網絡安全相互依賴性脆弱等特征的存在,網絡安全漏洞治理范式亟需向”合作主義“ 轉型。現階段,我國首先需明晰”白帽子“法律責任的邊界,為社會公眾參與漏洞治理提供可預見的法律環境。其次,需構筑漏洞協同機制, 搭建行政部門之間的合作框架。最后,通過增設漏洞挖掘獎勵計劃并拓寬社會公眾參與漏洞評級的渠道,加速該領域的”公私合作“進程。2021 年 7 月 12 日,工業和信息化部、國家網信辦與公安部聯合印發《網絡產品安全漏洞管理規定》,對網絡安全漏洞協作管理、漏洞挖掘獎勵以及”白帽子“行為規范等內容作出回應, 初步勾勒出合作型網絡安全漏洞治理的規范框架。以此為基礎,我國網絡安全漏洞治理的配套措施與工作機制亦將陸續完善,為網絡安全漏洞產業的健康發展提供更為精細、全面的規范指導。
