ChinaLegalScience

【中文关键词】网络安全漏洞；披露；类型；规则；协同

【摘要】网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全，凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则，并根据形势不断进行调整，规则设计呈现从负责任披露到协同披露的变化趋势，国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求，可借鉴域外经验，以协同披露为导向，围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系，为安全漏洞披露行为提供明确指引。

【全文】

引言

近年来，利用网络安全漏洞实施攻击的安全事件在全球范围内频发，给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节，对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。[1]

一、网络安全漏洞披露的概念与类型

漏洞（Vulnerability），又称脆弱性，这一概念的出现已有30多年历史，技术、学术和产业界从不同角度给出了不同的定义。目前普遍接受的定义是：漏洞是一个或多个威胁可以利用的一个或一组资产的弱点，是违反某些环境中安全功能要求的评估对象中的弱点，是在信息系统（包括其安全控制）或其环境的设计及实施中的缺陷、弱点或特性。[10]这些缺陷或弱点可被外部安全威胁[11]利用。漏洞是“非故意”产生的缺陷，具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性[12]、难以避免性[13]、普遍性[14]和长存性等[15]技术特征。为强调漏洞可能导致的网络安全风险，各界基本将漏洞和网络安全漏洞的概念混用不加区分，漏洞称之为内在的脆弱性，与之相对的是外部安全威胁，内部脆弱性和外部安全威胁结合起来共同构成安全风险。

针对网络安全漏洞本身，尽管国内外立法缺少明确的概念界定，但均延续了传统信息安全的内外两分法，将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。在安全风险层面，《网络安全法》第二十五条[16]规定将系统漏洞（内部脆弱性）和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险，强调了网络运营者的风险控制和应急处置责任。美国《网络安全信息共享法》（CISA）强调网络安全的目的是“保护信息系统或者使在信息系统存储、处理、传输的信息免于网络安全威胁或网络安全漏洞的侵害”，也将网络安全威胁和网络安全漏洞并列，作为安全风险予以共同防范和控制。其中，更是指明了安全漏洞包括显示存在安全漏洞的异常活动。相比之下，《关键信息基础设施安全保护条例（征求意见稿）》第三十五条[17]规定将漏洞纳入“安全威胁信息”范畴，则存在定义使用上缩小化的误区。在网络安全信息层面，《网络安全法》第二十六条通过列举方式界定了网络安全信息的一般范围，包括系统漏洞、计算机病毒、网络攻击、网络侵入等，将漏洞作为第一位的网络安全信息，也体现了网络安全信息承载网络安全风险的基本功能。

一般来说，漏洞生命周期包括生成、发现、发布、流行、修复、衰败、消亡利用脚本等7个阶段。其中，漏洞发布即为本文所探讨的漏洞披露，一旦漏洞发现者[18]揭示了厂商（或者其他主体）的漏洞，则漏洞披露阶段随即产生，漏洞信息可通过将其发布到第三方平台或黑客之间进行的秘密交易而完全公开。一般认为，漏洞披露是指漏洞信息通过公开渠道告知公众。国家标准《信息安全技术信息安全漏洞管理规范》（GB/T30276-2013）将其定义为“在遵循一定的发布策略的前提下，对漏洞及其修复信息进行发布”。《网络安全法》即采用“发布”一词直接规定了漏洞披露，其第二十六条规定：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

（二）网络安全漏洞披露的类型

二、网络安全漏洞披露规则的域外考察：以美国为例

（一）以负责任披露为核心的传统漏洞披露政策及实践

CERT/CC2000年发布的披露机制属于负责任披露中较为开放的，偏重于保护用户的知情权。CERT/CC起到的作用类似于第三方政府机构，负责将漏洞发现者报告的漏洞反馈给厂商，督促其测试、研发补丁，披露期限为收到该漏洞后的45天之后。这里包括一个例外情况，即有证据表明厂商具有积极的补救漏洞的作为，例如改变其系统组件以降低漏洞被利用的风险等，为鼓励厂商的积极行为可将45天期限延长至90天。该例外情况将厂商的技术限制、社会责任心、安全义务纳入考虑范围，表明了政府机构的中间立场和协调的监管职责，较为科学合理。

NIAC2004年向总统提交的漏洞披露政策是在调查、研究实践基础上，提出的更全面的漏洞披露政策，包括根据危害性进行漏洞评分、鼓励公私部门信息共享、漏洞修复具有优先级等。该政策将漏洞信息规定为敏感机密的信息，要求对漏洞沟通的所有电子邮件都必须进行加密。若漏洞发现者提交的漏洞信息准确，则厂商应该在7天内响应并禁止其威胁发现者，以切实保护漏洞研究工作者的合法权益和积极性。

（二）以协同披露为趋势的现代漏洞披露政策及演化

随着安全漏洞协同披露为更多的组织所支持和倡导，政府机构在制定安全漏洞披露规则时也对其加以吸收，以协同披露为核心的规则成为现行美国政策和立法的新趋势，2015年美国通过的《网络安全信息共享法》（CISA）、2016年公开的VEP政策、2017年《补丁法案》体现了这一趋势。

1.《网络安全信息共享法》（CISA）

2.VEP政策

奥巴马政府时期，美国联邦调查局、国家安全局等政府机构一方面通过采购、收集等方式进行网络安全漏洞的攻击性研究和储备，另一方面制定和施行VEP政策，评判收集到的漏洞对网络安全、信息保障、情报、执法、国防和关键基础设施保护的影响，裁决是披露已经获得或发现的安全漏洞，还是保留安全漏洞用于情报、执法或者其他目的。VEP整体内容在美国现行制度下仍属于“国家秘密”信息，直至2016年才向公众公布其中一部分。

3.2017年补丁法案

为将VEP政策正式纳入立法范畴，进一步规范政府、厂商等披露主体的行为，同时解决CISA法案和VEP政策在安全漏洞信息共享和披露实施方面的衔接问题，2017年5月17日，美国国会提出了一项新法案《2017反黑客保护能力法案》（OurAbilitytoCounterHackingActof2017），该法案也被称为《2017补丁法案》（PatchActof2017）。

4.《瓦森纳协定》

在美国VEP政策制定和实施的同一时期，国际层面正式开始将网络安全漏洞纳入网络武器范畴管理。2013年12月，41个成员国参与的多边出口管控体制《关于常规武器和两用物品及技术出口控制的瓦森纳安排》（简称《瓦森纳协定》）[24]修订附加条款，将一些特殊的入侵软件列入其两用物项清单中。为落实《瓦森纳协定》的附加条款，2015年5月20日，美国商务部下属的工业与安全局（BIS）提出实施规则草案《2013年〈瓦森纳协议〉全会决议的执行：入侵和检测物项》，草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”，拟将入侵软件纳入美国《出口管理条例（EAR）》的管控范围。[25]如果草案施行，美国企业或个人向境外厂商披露安全漏洞是一种出口行为，需预先申请政府许可，否则将被视为非法，美国厂商举办的安全漏洞悬赏计划也不例外。[26]

（三）美国网络安全漏洞披露规则的主要特点

考察美国网络安全漏洞披露规则的具体设计、实践情况和演变趋势，本文认为，可概括出以下特点：

三、我国网络安全漏洞披露规则体系设计

（一）我国网络安全漏洞披露立法现状

（二）网络安全披露规则的体系设计构想

1.网络安全漏洞披露的主体

（1）厂商。即《网络安全法》中的产品和服务提供者。厂商对自身的软硬件负有产品责任和安全保障义务，因此是最初始意义上的安全漏洞发现者和最无争议的安全漏洞披露主体。《网络安全法》第二十二条明确了厂商向用户和有关主管部门披露安全漏洞的安全义务。

（2）政府机构。政府机构作为合法漏洞披露主体，可包括两个层次：第一，国家级安全漏洞披露平台。中国国家信息安全漏洞库（CNNVD）和国家信息安全漏洞共享平台（CNVD）承担国家统一的安全漏洞收集、发布、验证、分析、通报、修补等工作，是我国国家级漏洞披露主体代表。第二，安全漏洞披露协调和决策机构。《网络安全法》第五十一条明确了我国网络安全监测预警和信息通报的工作机制，网信部门统筹协调有关部门统一发布网络安全监测预警信息。可考虑依据此条建立我国国家层面统一的跨部门、多机构网络安全漏洞披露协调与共同决策机制，赋予网信部门类似VEP政策中国家安全局和2017年补丁法案中国土安全部的职责，充分发挥“国家网络与信息安全信息通报中心”[28]，主导我国网络安全漏洞披露协调与决策工作。

（3）网络安全服务机构。我国网络安全专业服务快速发展，专业机构开展网络安全产品和服务、网络运行管理等方面的安全认证、检测和风险评估业务，在提升网络安全保障能力方面发挥了重大作用。为进一步发挥网络安全服务机构的作用，《网络安全法》将“网络安全服务机构”纳入责任主体范畴，鼓励企业开展网络安全认证、检测和风险评估工作；《关键信息基础设施安全保护条例（征求意见稿）》赋予网络安全服务机构在关键信息基础设施保护中更多的工作内容，并鼓励其参与关键信息基础设施网络安全信息共享。网络安全服务机构在网络安全漏洞披露中可以协调厂商、漏洞发现者和政府机构的关系，构建漏洞发现与披露的协议范式，可以依法与政府机构、厂商、研究机构共享网络安全信息，同时能够为政府机构的漏洞披露与裁决提供专业的技术支持。近年来补天漏洞响应平台、漏洞盒子、乌云等第三方漏洞披露平台在国内兴起，但因商业运作模式、安全漏洞披露机制和透明度等问题的存在，第三方漏洞披露平台目前仍处于法律的灰色地带。本文认为，第三方漏洞披露平台应以成为专业的网络安全服务机构为发展方向，成为符合法律要求的责任主体。

2.网络安全漏洞披露的对象

3.网络安全漏洞披露的方式

4.网络安全漏洞披露的责任豁免规定

以第一种豁免情形为例，《网络安全法》中未直接明确安全漏洞善意披露行为的责任豁免规定。本文认为，我国现阶段的安全漏洞披露立法仍处于探索阶段，如安全漏洞披露豁免缺乏针对性，将导致法律适用时的不明确，造成豁免规定滥用，产生与不规范披露或非法披露同样的安全风险，因此安全漏洞披露豁免规定应该审慎论证和制定，在立法和技术时机成熟时，可以考虑通过《网络安全法》配套制度设定安全研究人员（如“白帽子”等）安全漏洞善意披露的责任豁免规定。在具体确定豁免条件时，必须基于技术可控的整体判断，合理限制善意披露的界限，避免矫枉过正扩大适用范围，如至少应综合考虑安全研究人员的背景、所披露漏洞的危害级别、给厂商和用户带来的实际负面影响等因素。

四、结语

【注释】作者简介：黄道丽，西安交通大学法学院，公安部第三研究所副研究员。

基金项目：国家社会科学基金重大项目“网络社会治理创新研究”（15ZDA047）；上海市科技创新行动计划“数据安全评估规范方案”（117DZ1101004）；公安理论及软科学研究计划“我国关键信息基础设施保护的法律对策研究”（2016LLYJGASS020）；公安部第三研究所所选项目“2017年度网络安全政策法律问题”（C17253）。

*本文在撰稿过程中受到西安交通大学法学院马民虎教授的指导。

[1]2011年《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）规定“建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时发布有关漏洞、风险和预警信息”，2012年《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）强调“保障工业控制系统安全。实行安全风险和漏洞通报制度”，2016年我国《国家信息化发展战略纲要》明确提出“提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作”，2016年《国家网络空间安全战略》也明确要求“做好漏洞发现等基础性工作”。

[2]“白帽子”是互联网中的俚语，是指有道德的电脑黑客或计算机安全专家。他们擅长用渗透测试和其他测试方法来确保一个组织的信息系统的安全性。“黑帽子”指恶意黑客。白帽黑客也可能会在团队中工作，这些团队被称为红队，或老虎队。

[7]《网络安全法》第二十六条规定：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

[8]《网络安全法》第五十一条规定：“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。”

[9]《关键信息基础设施安全保护条例（征求意见稿）》第三十五条规定：“面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。具体要求由国家网信部门会同国务院有关部门制定。”

[10]ISO/IECSC27.SD6:GlossaryofInformationSecurityTerms,InternationalOrganizationforStandardization（ISO）,2009.

[11]国际标准《信息技术安全技术信息安全管理系统综述和词汇》（IS0/IEC27000:2016）延续了对脆弱性（漏洞）、威胁等概念的定义，将漏洞（Vulnerability）定义为“可为威胁利用的资产或控制的脆弱性”，将威胁定义为“指可能导致系统或组织损害的潜在事件因素（对系统、组织自身而言，这些事件、因素具有外部性）”。

[12]网络安全漏洞的存在并不能导致损害，但是可以被攻击者利用，从而造成对系统安全的威胁、破坏。网络安全漏洞会成为攻击者进人计算机系统进行数据篡改或窃取的途径，也会成为传播病毒、蠕虫的通道，往往造成灾难性后果。

[13]软硬件自身不断增加的复杂性已经超越了现有技术的验证能力，检测技术的发展不足以在产品上市之前发现所有漏洞，加上补丁信息发布的滞后性，当前的技术局限性使得网络安全漏洞在很大程度上难以避免。

[14]编程过程中出现逻辑错误是很普遍的现象，这些错误绝大多数都是由于疏忽造成的。在所有的漏洞类型中，逻辑错误所占的比例是最高的，而绝大多数漏洞是由于疏忽造成的。数据处理（例如对变量赋值）比数值计算更容易出现逻辑错误，过小和过大的程序模块都比中等程序模块更容易出现错误。

[16]《网络安全法》第二十五条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵人等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

[17]《关键信息基础设施安全保护条例（征求意见稿）》第三十五条规定：“面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。”

[18]安全漏洞处理流程开始于漏洞发现者，国家标准《信息安全技术信息安全漏洞管理规范》（GB/T30276-2013）将“漏洞发现者”定义为“发现信息系统中潜在漏洞的个人或组织”。任何使用信息系统及软件的个人或组织都可能成为漏洞的发现者。

[19]全球范围内安全漏洞黑色交易已经常态化，美国兰德公司2014年黑客市场报告《信息犯罪工具与被窃数据的市场》指出，“2005年以来黑客社会一直在稳定发展日益成熟，可以预见，地下市场将继续发展，将更有针对性，并将继续创新、适变，继续成熟”。

[20]2015年6月19日，我国32家单位签署了《漏洞信息披露和处置自律公约》，这是我国在互联网领域首个以行业自律的方式共同规范安全漏洞信息的接收、处置和发布的公约。

[24]《瓦森纳协定》是美国主导的一项多边出口管控体制，对于两用货物和技术的出口要求许可证，包括军用设备、特殊物质等。

[26]漏洞悬赏计划已经成为企业和政府寻找漏洞的重要举措，如谷歌的“安卓系统漏洞安全漏洞奖励计划”、惠普的“零日计划”、VeriSign的“安全漏洞贡献者计划”。事实上，该实施规则草案的负面影响已经有所体现，2015年9月，惠普一名发言人在邮件中表示，由惠普零日计划（ZDI）组织的Pwn20wn安全竞赛“由于获得实时进出口许可的复杂性，ZDI已经通知承办方，今年11月份的PacSecWest将不再举行”。

[28]国家网络与信息安全信息通报中心2004年8月经中编办正式批准成立，负责重要敏感期、重大政治活动和重大网络安全事件的信息通报工作。

【期刊名称】《暨南学报》【期刊年份】2018年【期号】1

Sponsors:InstituteofLawandInstituteofInternationalLaw,ChineseAcademyofSocialSciences

Address:15ShatanBeijie,DongchengDistrict,Beijing100720