專家 | 黃道麗：網絡安全漏洞披露規則及其體系設計

摘要

       網絡安全漏洞披露已成為網絡安全風險控制的中心環節。不規範或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯法律規定的灰色地帶。實踐中網絡安全漏洞披露表現為不披露、完全披露、負責任披露和協同披露等類型。美國從法律和政策層面分别建構網絡安全漏洞披露規則，并根據形勢不斷進行調整，規則設計呈現從負責任披露到協同披露的變化趨勢，國家層面統一的網絡安全漏洞披露協調和決策機制也在進一步完善中。我國現行立法從産品和服務提供者、第三方和國家三個層面提出了網絡安全漏洞合法披露的基本要求，可借鑒域外經驗，以協同披露為導向，圍繞披露主體、披露對象、披露方式和披露的責任豁免論證和設計網絡安全漏洞披露規則體系，為安全漏洞披露行為提供明确指引。

關鍵詞：網絡安全漏洞；披露；類型；規則；協同 

引 言

近年來，利用網絡安全漏洞實施攻擊的安全事件在全球範圍内頻發，給網絡空間安全帶來了不可逆的危害。網絡安全漏洞披露已成為網絡安全風險控制的中心環節，對于降低風險和分化風險起着至關重要的作用。強化網絡安全漏洞收集、分析、報告、通報等在内的風險預警和資訊通報工作已成為國家網絡安全保障的重要組成部分。

國内外不同主體基于不同動機和利益驅動開展了廣泛的網絡安全漏洞披露實踐并引發各方對不利法律後果的反思。2016年我國某“白帽子”披露世紀佳緣網站漏洞引發刑事立案，2017年相繼發生的WannaCry勒索病毒全球攻擊事件引發微軟等廠商對美國政府機構未披露漏洞行為的嚴厲批評、網易向未經授權擅自公開披露漏洞細節的某“白帽子”發公開聲明、國家資訊安全漏洞共享平台CNVD公告稱因漏洞的不當披露引發黨政機關和重要行業網站受到大規模攻擊威脅等事件則進一步彰顯了網絡安全漏洞不規範或非法披露的現實沖擊，安全漏洞合法披露主體、合法披露程式、不當披露法律後果等問題成為法律和行業界共同關注的焦點。

向不特定的社會公衆披露網絡安全漏洞可以提升網絡安全防護的實時性和有效性，但惡意或非法的網絡安全漏洞披露同樣為攻擊者提供了可利用的攻擊武器。漏洞發現之後應該由誰披露，怎樣披露，何時披露等問題變得日益複雜且重要，漏洞披露制度不同，不僅對使用者、提供商、協調者等利益相關方造成的影響有很大差異，更會對國家安全、企業利益及個人隐私産生深遠影響。出于國家安全和公共利益的現實考慮，網絡安全漏洞披露應當遵循特定規則，至少在“由誰披露”和“如何披露”這兩個核心問題上滿足國家立法的強制性規定。我國《網絡安全法》第22條、26條和51條和國家網際網路資訊辦公室2017年7月10日釋出的《關鍵資訊基礎設施安全保護條例（征求意見稿）》第35條已提出網絡安全漏洞合法披露的規則架構和基本要求，但仍然缺乏對于規則實作的具體設計，無法為安全漏洞披露行為提供明确指引。

一、網絡安全漏洞披露的概念與類型

1.網絡安全漏洞及其披露的相關概念

漏洞（Vulnerability），又稱脆弱性，這一概念的出現已有30多年曆史，技術、學術和産業界從不同角度給出了不同的定義。目前普遍接受的定義是：漏洞是一個或多個威脅可以利用的一個或一組資産的弱點，是違反某些環境中安全功能要求的評估對象中的弱點，是在資訊系統（包括其安全控制）或其環境的設計及實施中的缺陷、弱點或特性。這些缺陷或弱點可被外部安全威脅利用。漏洞是“非故意”産生的缺陷，具備能被利用而導緻安全損害的特性。網絡安全漏洞具備可利用性、難以避免性、普遍性和長存性等技術特征。為強調漏洞可能導緻的網絡安全風險，各界基本将漏洞和網絡安全漏洞的概念混用不加區分，漏洞稱之為内在的脆弱性，與之相對的是外部安全威脅，内部脆弱性和外部安全威脅結合起來共同構成安全風險。

針對網絡安全漏洞本身，盡管國内外立法缺少明确的概念界定，但均延續了傳統資訊安全的内外兩分法，将網絡安全漏洞納入安全風險和網絡安全資訊範疇予以規制。在安全風險層面，《網絡安全法》第25條規定将系統漏洞（内部脆弱性）和計算機病毒、網絡攻擊、網絡侵入等外部安全威脅作為整體安全風險，強調了網絡營運者的風險控制和應急處置責任。美國《網絡安全資訊共享法》（CISA）強調網絡安全的目的是“保護資訊系統或者使在資訊系統存儲、處理、傳輸的資訊免于網絡安全威脅或網絡安全漏洞的侵害”，也将網絡安全威脅和網絡安全漏洞并列，作為安全風險予以共同防範和控制。其中，更是指明了安全漏洞包括顯示存在安全漏洞的異常活動。相比之下，《關鍵資訊基礎設施安全保護條例（征求意見稿）》第35條規定将漏洞納入“安全威脅資訊”範疇，則存在定義使用上縮小化的誤區。在網絡安全資訊層面，《網絡安全法》第26條通過列舉方式界定了網絡安全資訊的一般範圍，包括系統漏洞、計算機病毒、網絡攻擊、網絡侵入等，将漏洞作為第一位的網絡安全資訊，也展現了網絡安全資訊承載網絡安全風險的基本功能。

一般來說，漏洞生命周期包括生成、發現、釋出、流行、修複、衰敗、消亡利用腳本等7個階段。其中，漏洞釋出即為本文所探讨的漏洞披露，一旦漏洞發現者揭示了廠商（或者其他主體）的漏洞，則漏洞披露階段随即産生，漏洞資訊可通過将其釋出到第三方平台或黑客之間進行的秘密交易而完全公開。一般認為，漏洞披露是指漏洞資訊通過公開管道告知公衆。國家标準《資訊安全技術資訊安全漏洞管理規範》（GB/T 30276-2013）将其定義為“在遵循一定的釋出政策的前提下，對漏洞及其修複資訊進行釋出”。《網絡安全法》即采用“釋出”一詞直接規定了漏洞披露，其第26條規定，“開展網絡安全認證、檢測、風險評估等活動，向社會釋出系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全資訊，應當遵守國家有關規定”。

2.網絡安全漏洞披露的類型

國内外網絡安全漏洞披露實踐已開展多年，網絡安全漏洞的披露類型一直是安全漏洞披露政策争議的焦點。在學者研究及行業發展中，網絡安全漏洞披露被概括為不披露、完全披露和負責任披露三種類型。不披露是指漏洞發現者将安全漏洞保密并不進行報告，既不向廠商報告，又不披露給公衆。不披露類型不考慮使用者權益，漏洞極有可能在黑灰市交易，引發漏洞利用的網絡安全危險還有可能引發漏洞利用攻擊。完全披露與不披露正好相反，是指漏洞發現者将安全漏洞披露給不特定的公衆。完全披露不給廠商充分的時間和警告來解決漏洞，将安全漏洞資訊直接暴露于潛在的惡意攻擊者，是争議較大的披露類型。支援方認為它可以迅速及時将缺陷告知使用者，使其在漏洞被利用進行攻擊之前禁用受影響的軟硬體以降低損害，并可以敦促廠商及時承認并修補漏洞。反對方則認為在未與廠商協商的情況下暴露缺陷無疑會增加使用者系統被廣泛開發的風險，因為即使沒有代碼黑客也能夠輕松的開發和編寫漏洞。

負責任披露，也被稱為有限披露，是指漏洞發現者以幫助廠商解決安全漏洞問題為出發點，将安全漏洞報告給廠商。當解決方案完備後，廠商公布漏洞同時将更新檔釋出給使用者。該類型的漏洞披露更具中立性，細節較為複雜，是前兩種類型的折中和衍生，雖然存在諸多不合理之處，例如在沒有更新檔的情況下釋出漏洞，仍然會引來類似完全披露導緻的安全問題，但這種披露類型兼顧了使用者和廠商的利益，被更多安全研究人員贊同。負責任披露中往往包括了協調者參與的協調程式。協調者是一個中立且獨立的機構，其能夠接收一個或多個廠商的響應，具有解決沖突協調各方利益的能力，是漏洞發現者、公衆、使用者及廠商之間的紐帶。國際上比較有代表性的國家級協調者包括美國應急響應小組（US-CERT）、日本國家計算機應急響應協調中心（JPCERT/CC）、南韓國家網絡安全中心等，我國中國國家資訊安全漏洞庫（CNNVD）、國家資訊安全漏洞共享平台（CNVD）、國家計算機網絡入侵防範中心漏洞庫（NCNIPC）等。

近年來，随着資訊共享理念應對風險的有效性逐漸顯現，網絡安全漏洞披露的方式以更易于降低威脅的方式演化，網絡安全漏洞發現與修複之間所需的時間差和平衡各方需求成為網絡安全漏洞披露的基本考量，廠商、政府、安全研究人員等主體之間的漏洞安全資訊共享成為漏洞披露的重要内容。業界普遍開始用“協同披露”代替“負責任披露”的說法。協同披露強調漏洞發現者、廠商、協調者和政府機構等利益相關方應共享安全漏洞資訊、協同工作，積極協作處置風險，共同保障使用者安全、社會公共利益和國家安全。2015年《中國網際網路協會漏洞資訊披露和處置自律公約》也展現協同披露這一理念，其第7條規定，“漏洞平台、相關廠商、資訊系統管理方和國家應急處置協調機構應協同一緻做好漏洞資訊的接收、處置和釋出等環節工作，做好漏洞資訊披露和處置風險管理，避免因漏洞資訊披露不當和處置不及時而危害到國家安全、社會安全、企業安全和使用者安全”。

安全漏洞協同披露強調使用者安全至上，要求面臨同一風險的利益相關方分享安全資訊、協同共治，實作降低整個群體所面臨的網絡安全風險。在高危安全漏洞日益增多，更新檔修複耗費時間更長的後資訊化時代，以資訊共享和維護使用者利益為導向的協同披露成為一些大型跨國廠商推行的解決方案，例如微軟安全研究中心進階研究總監克裡斯-貝斯就極力号召協同披露，類似觀點也在2017年5月WannaCry勒索病毒攻擊事件爆發後多次重提。在微軟等跨國廠商的推動下，ISO等國際組織發展了ISO/IEC 29147: Vulnerability disclosure、ISO/IEC 30111: Vulnerability handling processes等若幹标準體系，以“最佳實踐”的形式指導廠商建構并實施安全漏洞披露制度。

可以看出，從不披露、完全披露、負責任披露到協同披露，安全漏洞披露類型涉及到的利益相關方側重點各有不同，顯示了漏洞披露過程的複雜性，也表明調動各利益相關方共同治理安全漏洞觀念的逐漸成熟和體系化。總體來說，以上披露類型在國内外目前的披露實踐中均有出現，且往往交織在一起。近年來，雖然在一定程度上更多的協同披露動向正在顯現，但漏洞披露環境在很多方面仍然是割裂的，相關問題依然有待解決。鑒于利益相關方的側重點有所差異，漏洞披露目前仍然沒有統一的标準，但都應以最大限度減少損害的方式進行。

二、網絡安全漏洞披露規則的域外考察：以美國為例

隻要不存在完美的安全軟體，漏洞資訊的優化配置對于網絡社會的穩定性仍是重要要素。在網絡安全立法和實踐始終處于領先地位的美國，網絡安全漏洞披露作為整個網絡安全生态系統的關鍵一環，早已引起法律和政策上的廣泛關注。美國涉及安全漏洞資訊的直接規定展現在《計算機欺詐與濫用法》、《數字千年版權法》（DMCA）、《愛國者法》、《2002年關鍵基礎設施資訊保護法》和《網絡安全資訊共享法》（CISA）等法律和《關于提升關鍵基礎設施網絡安全的行政指令》等行政檔案中，這些法律檔案在未經授權披露的法律責任、強化關鍵基礎設施漏洞安全保護、資訊共享和例外情況下披露的責任豁免等方面做了統一規定。對法律架構下的網絡安全漏洞披露規則，美國采取了以政策先行為導向的規範措施，早期政策主要展現在“以負責任披露為核心”的CERT/CC 漏洞披露機制、國家基礎設施委員會（NIAC）披露政策和OIS漏洞披露指引中；随着網絡安全漏洞的資源性和武器化趨勢成為國際組織和國家政府層面的普遍共識，美國的網絡安全漏洞披露規則正在經曆以協同披露為趨勢的現代變革，主要展現在《網絡安全資訊共享法》（CISA）、《商業與政府資訊技術和工業控制産品或系統的漏洞裁決政策和程式》（Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process，簡稱“VEP”）、《2017更新檔法案》和落實《瓦森納協定》的漏洞出口管控等相關規定中。

1.以負責任披露為核心的傳統漏洞披露政策及實踐

漏洞披露政策與漏洞披露類型密切相關，後者是前者的基礎和鋪墊，實踐中适用最廣的漏洞披露類型是制定漏洞披露政策考慮的主要因素。2015年前，美國行業界廣泛承認和支援的是負責任披露，當時的披露政策也偏重該種類型。美國“以負責任披露為核心”的政策包括美國計算機緊急事件響應小組協調中心（CERT/CC）、國家基礎設施委員會（ NIAC）等政府機構制定的架構，以及由大型網際網路企業組成的網絡安全組織（OIS）主導的指引政策等。

CERT/CC 2000年釋出的披露機制屬于負責任披露中較為開放的，偏重于保護使用者的知情權。CERT/CC起到的作用類似于第三方政府機構，負責将漏洞發現者報告的漏洞回報給廠商，督促其測試、研發更新檔，披露期限為收到該漏洞後的45天之後。這裡包括一個例外情況，即有證據表明廠商具有積極的補救漏洞的作為，例如改變其系統元件以降低漏洞被利用的風險等，為鼓勵廠商的積極行為可将45天期限延長至90天。該例外情況将廠商的技術限制、社會責任心、安全義務納入考慮範圍，表明了政府機構的中間立場和協調的監管職責，較為科學合理。

NIAC 2004年向總統送出的漏洞披露政策是在調查、研究實踐基礎上，提出的更全面的漏洞披露政策，包括根據危害性進行漏洞評分、鼓勵公私部門資訊共享、漏洞修複具有優先級等。該政策将漏洞資訊規定為敏感機密的資訊，要求對漏洞溝通的所有電子郵件都必須進行加密。若漏洞發現者送出的漏洞資訊準确，則廠商應該在7天内響應并禁止其威脅發現者，以切實保護漏洞研究工作者的合法權益和積極性。

OIS 2004年釋出的漏洞披露指引政策更側重漏洞報告的響應機制，規定發現者向廠商發送漏洞報告之後，廠商應在7個工作日内進行回複。研究出更新檔之後方可向社會釋出漏洞，為加快研究速度以維護安全，相關部門30天内可向利益相關方分享漏洞的詳細資訊。在整個漏洞修補過程中，若發現者未得到廠商的回複，則可向廠商發送一個收到漏洞的确認請求，廠商若在3天内仍然不予回應，發現者可以尋求第三方協調機構的幫助，協調過程出現沖突還可進一步尋求仲裁，先決條件之一是發現者和廠商均同意且授權範圍統一。

從以上典型的漏洞披露政策分析可知，“以負責任披露為核心”的美國傳統漏洞披露政策以保護使用者知情權為出發點，在明确漏洞披露周期管理的基礎上重視利益相關方的協調，開始鼓勵公私部門資訊共享，同時也注重保護漏洞發現者的合法利益和積極性。實踐中廠商也會對善意的漏洞發現者做出一定程度的讓步，即使以犧牲自身經濟利益為代價，也不願意引起整個安全研究人員群體的排斥，以防止打壓發現者尋求其漏洞、改善其軟硬體安全性的主動性。“惠普起訴SnoSoft 公司研究者”一案即展現了這個思路。2002年，惠普公司起訴一家名為SnoSoft的安全研究機構（現更名為Netragard），認為其涉嫌發現和披露惠普Tru64（惠普的 Unix 作業系統）中的22項漏洞，依據《數字千年版權法》（DMCA），安全研究機構和相關人員可能面臨高達50萬美元的罰款和5年監禁。但惠普員工和其他相關人士都警告惠普公司時任CEO Carly Fiorina，公司如果采取強硬立場可能會打壓漏洞研究，對未來惠普軟體的安全不利，最終惠普公司選擇了撤訴。

此外，“Tornado起訴員工Bret McDanel”一案也反映出對善意漏洞安全研究人員的承認。Tornado是美國一家提供網頁郵件和語音郵件服務的公司，其員工Bret McDanel發現公司電子郵件系統存在嚴重網絡安全漏洞，可導緻客戶隐私洩露，McDanel随即向上級反映，但該漏洞并未得到修複。McDanel離開Tornado公司6個月後得知該漏洞仍未被修複，其便向約5600個客戶發送匿名郵件披露了該漏洞詳情。2002年，美國法院根據解釋《計算機欺詐與濫用法》的相關條款對McDanel定罪，判處16個月監禁。McDanel服刑結束後，美國法院判定此前對他的起訴存在錯誤并撤銷了定罪，原因在于McDanel是在公司拒絕修複漏洞之後選擇告知使用者，其目的是為了確定使用者采取安全措施。

2.以協同披露為趨勢的現代漏洞披露政策及演化

随着安全漏洞協同披露為更多的組織所支援和倡導，政府機構在制定安全漏洞披露規則時也對其加以吸收，以協同披露為核心的規則成為現行美國政策和立法的新趨勢，2015年美國通過的《網絡安全資訊共享法》（CISA）、2016年公開的VEP政策、2017年《更新檔法案》展現了這一趨勢。

1. 《網絡安全資訊共享法》（CISA）

《網絡安全資訊共享法》（CISA）是美國關于網絡安全資訊共享的第一部綜合性立法，也是奧巴馬政府最重要的網絡安全綜合性立法成果。該法授權政府機構、企業以及公衆之間可以在法定條件和程式下共享網絡安全資訊。CISA将共享的網絡安全資訊分為“網絡威脅名額”和“防禦措施”兩大類。網絡威脅名額實質即為直接的漏洞威脅和與漏洞相關的其他威脅，防禦措施則是針對網絡威脅名額做出的技術和其他措施的回應。總體來說，CISA圍繞“網絡威脅名額”和“防禦措施”建立了美國網絡安全資訊共享的基本架構。CISA鼓勵私企與美國政府實時共享網絡安全威脅資訊，特别規定了私主體共享資訊的責任豁免；對于通過合法共享而獲得的網絡威脅名額和防禦措施，聯邦政府基于識别網絡安全威脅或者安全漏洞的需要可以披露。

具體而言，如果将披露視為共享的一種特殊方式，那麼CISA建立的網絡安全威脅資訊共享架構事實上可以延及漏洞披露的規範體系，目标在于確定相關機構具備并保持與資訊安全相協調的實時共享網絡安全威脅名額的能力。CISA規定私人實體享有監控和擷取網絡安全威脅資訊，當然也包括安全漏洞資訊的權利，但除其自身資訊系統外，對其他資訊系統中網絡安全威脅資訊的監控、擷取、使用和共享均以事先授權為基礎，并且該授權需要獲得書面同意。可以認為，CISA建立一套“授權——發現——共享”的網絡安全威脅資訊共享的合規路徑，在賦予私人主體發現和共享網絡安全威脅資訊權利的同時，将其行為的合法性邊界限制在法律規定和授權基礎的範圍内。根據CISA的規定，向聯邦政府提供網絡安全威脅名額和防禦措施必須基于特定的目的，包括維護網絡安全，識别網絡安全威脅或安全漏洞來源，識别外國敵對人員或恐怖分子使用資訊系統造成的網絡安全威脅，應對、制止或緩解由恐怖行為或使用大規模殺傷性武器産生的威脅，預防、調查和起訴犯罪等等。

盡管CISA并非專門針對安全漏洞資訊披露而設計共享架構，但其相關舉措仍然衍生出一條重要的安全漏洞資訊披露原則，即合法披露原則。雖然私人實體被賦予了廣泛的網絡安全威脅資訊的發現和共享權利，但這一權利的實作需要滿足兩個必要的前提，即合法目的和行為授權，這對于建立我國安全漏洞資訊披露的相關制度具有重要的指導意義。

2. VEP政策

奧巴馬政府時期，美國聯邦調查局、國家安全局等政府機構一方面通過采購、收集等方式進行網絡安全漏洞的攻擊性研究和儲備，另一方面制定和施行VEP政策，評判收集到的漏洞對網絡安全、資訊保障、情報、執法、國防和關鍵基礎設施保護的影響，裁決是披露已經獲得或發現的安全漏洞，還是保留安全漏洞用于情報、執法或者其他目的。VEP整體内容在美國現行制度下仍屬于“國家秘密”資訊，直至2016年才向公衆公布其中一部分。

依據VEP公開的規定，美國政府實體對于任何來源的網絡安全漏洞資訊裁決程式如下：第一，基于漏洞分級，在觸發特定門檻值時向國家安全局指定擔任的執行秘書長通報；第二，執行秘書長通知政府相關的利益相關方，指定特定聯絡人，由各方回報是否啟動裁決程式；第三，提出裁決要求的所有利益相關方指派特定專家參與讨論，并向裁決審查委員會（Equities Review Board）提供決策建議；第四，裁決審查委員會做出如何響應漏洞的傾向性決定，如有利益相關方異議，則該機構可向某特定内設機構提出申訴。

VEP規定展現出這一階段美國網絡安全漏洞披露政策的三大特點：第一，網絡安全漏洞的來源十分廣泛。VEP政策下的漏洞來自政府軟硬體、商用軟硬體、工控系統、國家安全系統等任何可能存在網絡安全漏洞的場景，包括開源軟體等；第二，網絡安全資訊呈單向線性流動。由于政府在政策制定和執行中的主導作用，任何來源的網絡安全漏洞資訊隻限于在政府及相關實體中共享和決策，在VEP裁決之前，限制向政府之外的實體披露網絡安全漏洞，政府（包括關鍵基礎設施）的利益保障具有絕對的優先性；第三，國家安全局具有多重身份和相當的自由裁量權。VEP規定，“國家安全局對其認證或準許的或具有密碼功能的裝置、系統等中漏洞附有前置性安全審查義務，是以亦應當盡快向其報告，并由其履行适當的VEP程式”，由于密碼應用的普遍性、政府軟硬體認證或準許的強制性、接受報告的優先性，此規定實際上賦予了國家安全局決斷和裁量網絡安全漏洞的絕對壟斷權力。

綜合CISA和VEP政策可以發現，VEP政策賦予了美國國家安全局裁決網絡安全漏洞的絕對權力，供其決斷的安全漏洞來源廣泛且資訊共享更多限于政府實體範圍，與CISA所倡導的公私實時共享威脅資訊理念存在一定的沖突。2017年5月全球勒索軟體攻擊事件發生後，美國國家安全局因其披露或保留漏洞用于情報收集目的的行為飽受争議，也引發美國政府對國家安全局主導的VEP政策的審查與反思。

3. 2017年更新檔法案

為将VEP政策正式納入立法範疇，進一步規範政府、廠商等披露主體的行為，同時解決CISA法案和VEP政策在安全漏洞資訊共享和披露實施方面的銜接問題，2017年5月17日，美國國會提出了一項新法案—《2017反黑客保護能力法案》（Protecting Our Ability to Counter Hacking Act of 2017） ，該法案也被稱為《2017更新檔法案》（PATCH Act of 2017）。

總體來說，2017年更新檔法案在“是否披露”和“如何披露”兩個核心問題上展現出美國政府對VEP政策的改進。首先，更新檔法案改變了漏洞披露裁決的頂層決策機制，實作了從國家安全局到國土安全部主導的過渡。更新檔法案規定，由國土安全部長（或其指定人員）擔任的“漏洞裁決審查委員會”主席代替VEP政策中國家安全局指定的執行秘書長，“漏洞裁決審查委員會”主席與聯邦調查局、國家情報總監、中央情報局、國家安全局，以及商務部、國務院、财政部、能源部和聯邦貿易委員會的指定人員等共同組成漏洞裁決審查委員會。這一決策主體的變化用意在于增加透明度，規避公衆對國家安全局的敏感性；其次，更新檔法案增加了推定披露程式。法案規定将通過制定标準，指引對推定披露程式的适用，以此彌合正常披露與“黑市披露”之間的時間差。但由于最終由國土安全部長代表聯邦政府實施披露，是以其有效性仍有待觀察和評估；再次，更新檔法案加大了向廠商的安全漏洞披露傾向。法案規定，如果漏洞裁決審查委員會決定向特定廠商披露，則應當國土安全部長實施披露。此種情形屬于向特定人的有限披露；最後，更新檔法案規定，對于裁決禁止披露、但因任何原因進入公衆領域的網絡安全漏洞，應按照CISA制定的程式實施。

4.《瓦森納協定》

在美國VEP政策制定和實施的同一時期，國際層面正式開始将網絡安全漏洞納入網絡武器範疇管理。2013年12月，41個成員國參與的多邊出口管控體制《關于正常武器和兩用物品及技術出口控制的瓦森納安排》（簡稱《瓦森納協定》）修訂附加條款，将一些特殊的入侵軟體列入其兩用物項清單中。為落實《瓦森納協定》的附加條款，2015年5月20日，美國商務部下屬的工業與安全局（BIS）提出實施規則草案《2013年<瓦森納協定>全會決議的執行：入侵和檢測物項》，草案界定入侵軟體包括“計算機和具有網絡功能的裝置使用入侵軟體而識别漏洞的網絡滲透測試産品在内”，拟将入侵軟體納入美國《出口管理條例（EAR）》的管控範圍。如果草案施行，美國企業或個人向境外廠商披露安全漏洞是一種出口行為，需預先申請政府許可，否則将被視為非法，美國廠商舉辦的安全漏洞懸賞計劃也不例外。

《瓦森納協定》和美國BIS的新規說明，網絡安全漏洞的資源性和武器化趨勢已成為國際和國家層面的普遍共識，網絡安全漏洞披露規制的制定上升到與國家安全和政治利益密切相關的高度，VEP政策的秘密施行、2017年更新檔法案的提出和改進進一步印證了這一點。

3.美國網絡安全漏洞披露規則的主要特點 

考察美國網絡安全漏洞披露規則的具體設計、實踐情況和演變趨勢，本文認為，可概括出以下特點：

第一，高度重視網絡安全漏洞披露問題，很早在法律和政策中分别對網絡安全漏洞披露問題進行規定，并根據形勢變化不斷做出調整，總體呈現從負責任披露到協同披露變革的趨勢；第二，網絡安全漏洞披露過程中注重充分保護使用者知情權，強調政府機構主導下廠商、安全研究人員、使用者等利益相關方的利益協調；第三，基于刑法和知識産權法對未經授權的漏洞發現和披露行為予以規制，實踐中也注重保護善意漏洞發現和披露者的合法利益和積極性；第四，鼓勵政府機構、企業和公衆在法定條件和程式下實時共享網絡安全資訊，授權聯邦政府披露合法共享的安全漏洞資訊；第五，将安全漏洞作為網絡空間戰的戰略資源和博弈資本，網絡安全漏洞披露規則的制定上升到與國家安全和政治利益密切相關的高度；第六，建構國家層面統一的網絡安全漏洞披露協調和決策機制，并積極推動從政策到立法的轉變。

三、我國網絡安全漏洞披露規則體系設計

1.我國網絡安全漏洞披露立法現狀

截至目前，我國現有立法對網絡安全漏洞披露的規定還不完善，相關規定散見在《刑法》《網絡安全法》和《關鍵資訊基礎設施安全保護條例（征求意見稿）》等法律法規中。《刑法》第285 條和第286 條規定了未經授權通路計算機資訊系統的刑事責任，2016年某“白帽子” 披露世紀佳緣網站漏洞事件更多展現了《刑法》對“白帽子”未經授權的漏洞發現行為而非披露行為的否定評價，且引起了對行為人善惡意動機的學界争議。對惡意披露網絡安全漏洞的行為，學界普遍認為，惡意公布、售賣安全漏洞行為因為無限放大了黑客攻擊行為而使其本身具有巨大的社會危害性，此種危害性必将随着計算機和網絡在社會各個方面使用的更加普遍化和深入化而得到凸顯，在這種形勢下，應當将此類行為加以入罪化處置。

《關鍵資訊基礎設施安全保護條例（征求意見稿）》第16條在延續《刑法》第285條和第286條規定的基礎上進一步提出，“任何個人群組織未經授權不得對關鍵資訊基礎設施開展滲透性、攻擊性掃描探測”，第35條在《網絡安全法》第26條基礎上細化，規定“面向關鍵資訊基礎設施開展安全檢測評估，釋出系統漏洞、計算機病毒、網絡攻擊等安全威脅資訊，提供雲計算、資訊技術外包等服務的機構，應當符合有關要求”，同時授權國家網信部門會同國務院有關部門制定相關規定。雖然該條例目前還處于征求意見稿階段，但這兩條規定從關鍵資訊基礎設施安全保護層面強化了安全漏洞發現和披露行為的規制，意義十分重大。

2017年6月1日開始施行的《網絡安全法》從網絡空間安全基本保障法高度認識到了網絡安全漏洞披露的重要性，第22條規定了産品和服務提供者對自身漏洞的告知和報告義務，第26條對第三方未經授權釋出他人系統漏洞行為進行了初步規定，第51條強調由國家統一釋出網絡安全監測預警資訊，從産品和服務提供者、第三方和國家三個主體層面規定了我國網絡安全漏洞披露的基本要求，但其具體規則設計有待條文中“國家有關規定”和“規定”等方面的進一步細化和完善。

2.網絡安全披露規則的體系設計構想

網絡安全漏洞披露作為網絡空間治理的關鍵一環，其重要性在于：一方面，網絡安全漏洞的危害性由網際網路的迅速傳播而被放大，不規範或非法披露會損害使用者、企業和公共利益，甚至威脅包括關鍵資訊基礎設施安全等在内的國家安全；另一方面，通過對網絡安全漏洞資源的合法披露、報告和利用，能夠及時預警和有效管控網絡安全風險，推動網絡安全相關産業的創新，同時也能為執法活動和提升國家安全反制能力提供重要的技術保障。本文建議，借鑒美國網絡安全漏洞披露規則在内的設計和論證經驗，結合我國執法的實踐和特點，以協同披露為導向，完善我國《網絡安全法》架構下的廠商、第三方漏洞披露平台和政府機構的職責設定，圍繞安全漏洞披露主體、披露對象、披露程式和披露的責任豁免進行網絡安全漏洞披露規則體系的設計。

1.網絡安全漏洞披露的主體

除了不披露，完全披露、負責任披露和協同披露類型都涉及披露主體。安全漏洞披露主體和漏洞發現者直接相關，漏洞發現者已從早期的廠商擴大到安全研究人員、安全公司、政府、黑客、恐怖組織和“白帽子”等，以上人員均可能在發現安全漏洞後基于不同的動機予以披露。由于網絡安全漏洞披露實踐中主體的廣泛參與和多重角色，是以在建構網絡安全漏洞披露規則時應首先明确合法披露主體。本文認為，安全漏洞合法披露主體包括以下幾類：

（1）廠商。即《網絡安全法》中的産品和服務提供者。廠商對自身的軟硬體負有産品責任和安全保障義務，是以是最初始意義上的安全漏洞發現者和最無争議的安全漏洞披露主體。《網絡安全法》第22條明确了廠商向使用者和有關主管部門披露安全漏洞的安全義務。

（2）政府機構。政府機構作為合法漏洞披露主體，可包括兩個層次：第一，國家級安全漏洞披露平台。中國國家資訊安全漏洞庫（CNNVD）和國家資訊安全漏洞共享平台（CNVD）承擔國家統一的安全漏洞收集、釋出、驗證、分析、通報、修補等工作，是我國國家級漏洞披露主體代表。第二，安全漏洞披露協調和決策機構。《網絡安全法》第51條明确了我國網絡安全監測預警和資訊通報的工作機制，網信部門統籌協調有關部門統一釋出網絡安全監測預警資訊。可考慮依據此條建立我國國家層面統一的跨部門、多機構網絡安全漏洞披露協調與共同決策機制，賦予網信部門類似VEP政策中國家安全局和2017年更新檔法案中國土安全部的職責，充分發揮“國家網絡與資訊安全資訊通報中心”，主導我國網絡安全漏洞披露協調與決策工作。

（3）網絡安全服務機構。我國網絡安全專業服務快速發展，專業機構開展網絡安全産品和服務、網絡運作管理等方面的安全認證、檢測和風險評估業務，在提升網絡安全保障能力方面發揮了重大作用。為進一步發揮網絡安全服務機構的作用，《網絡安全法》将“網絡安全服務機構”納入責任主體範疇，鼓勵企業開展網絡安全認證、檢測和風險評估工作；《關鍵資訊基礎設施安全保護條例（征求意見稿）》賦予網絡安全服務機構在關鍵資訊基礎設施保護中更多的工作内容，并鼓勵其參與關鍵資訊基礎設施網絡安全資訊共享。網絡安全服務機構在網絡安全漏洞披露中可以協調廠商、漏洞發現者和政府機構的關系，建構漏洞發現與披露的協定範式，可以依法與政府機構、廠商、研究機構共享網絡安全資訊，同時能夠為政府機構的漏洞披露與裁決提供專業的技術支援。近年來補天漏洞響應平台、漏洞盒子、烏雲等第三方漏洞披露平台在國内興起，但因商業運作模式、安全漏洞披露機制和透明度等問題的存在，第三方漏洞披露平台目前仍處于法律的灰色地帶。本文認為，第三方漏洞披露平台應以成為專業的網絡安全服務機構為發展方向，成為符合法律要求的責任主體。

2.網絡安全漏洞披露的對象

網絡安全漏洞披露應當有具體的披露對象，具體包括兩類：第一，網絡安全産品和服務的使用者。使用者是産品和服務的直接使用者，也是安全風險發生後的直接受害者。依據《合同法》《消費者權益保護法》等法律規定，使用者擁有對網絡安全産品和服務的知情權。美國網絡安全披露政策中一直強調保護使用者的合法知情權，協同披露類型中更是強調使用者利益和安全至上。《網絡安全法》也再次明确了使用者是安全漏洞披露的對象，其第22條要求産品和服務提供者按照規定及時使用者漏洞風險，并規定了産品和服務提供者違反告知義務的法律責任。第二，政府機構。《網絡安全法》第22條同時要求産品和服務提供者向有關主管部門報告漏洞。在現行立法架構下，國家網信部門、國務院公安、國家安全、國家保密行政管理、國家密碼管理和國家行業主管或監管部門等均有可能是此條規定的“有關主管部門”。本文認為，政府機構基于第22條獲得的網絡安全漏洞資訊，不僅構成《網絡安全法》第51條中監測預警資訊的重要組成部分，也可成為我國安全漏洞披露協調和決策機制工作的重要資訊來源。

值得一提的是，網絡安全服務機構的平台模式，既可能是安全漏洞披露的主體，同時也可能成為安全漏洞披露的對象，其在漏洞協同披露的具體設計中起到極其重要的承接功能，一方面通過接收安全漏洞發現者的漏洞資訊（自身也兼具漏洞發現功能），另一方面則需要按照《網絡安全法》等規定履行披露的相關義務；圍繞網絡安全服務機構建構漏洞協調披露機制，将成為我國網絡安全漏洞治理的關鍵一環。

3.網絡安全漏洞披露的方式

《網絡安全法》第22條、26條和51條提出了我國安全漏洞規制的四項基本要求，即告知、報告、釋出和通報。本文認為，告知、報告、釋出和通報構成了我國安全漏洞披露的四種基本方式，可對其規定内涵和具體實施進一步細化。第一，《網絡安全法》第22條規定的“告知”行為對象是使用者，指網絡産品、服務的提供者基于産品、服務的漏洞“缺陷”向使用者承擔的初始義務和追責依據。“告知”行為内容包括說明某個産品或服務存在安全漏洞這一事實、漏洞缺陷可能造成的後果及使用者可以采取的降低風險的措施、更新檔修複或者找到其他解決辦法之後的事後資訊等。值得注意的是，這裡的使用者對象應基于不同利益進行優先性劃分，考量涉及國家秘密、關鍵資訊基礎設施等不同對象确定告知的範圍與次序。第二，《網絡安全法》第22條規定的“報告”，明确和完整表述為“向有關主管部門報告”，根據網安法第8條的規定，目前我國形成了網信、工信、公安等部門各司其職并在網信部門統籌協調下開展網絡安全保護和監督管理工作的職責布局，此處的“有關主管部門”也包括網信部門、工信部門和公安部門等。“報告”具有向主管部門送出的自下而上性質，報告的形式和内容上應包括對漏洞發現（含檢測驗證）的報告、漏洞網絡安全風險的監測評估報告、漏洞引發的網絡安全事件的處置/應急報告等。同樣，應充分考慮與平衡向主管部門報告、向使用者告知以及向社會釋出三者的範圍與次序。第三，《網絡安全法》第26條規定的“釋出”，具有向社會不特定人公開的特性。此概念對應于傳統漏洞披露的“完全披露”類型，向社會釋出會引發不可逆的各種可能，一旦釋出，将對“告知”與“報告”産生直接影響。是以，《網絡安全法》要求無論網絡産品、服務提供者，或網絡安全服務機構“向社會釋出”，均“應當遵守國家有關規定”，強調對前置程式的規範稽核。第四，《網絡安全法》第51條規定的“通報”，具有網絡安全資訊共享的特性。其啟動主體、指向對象都會因共享要素考慮的充分性、完備性與否而具有不同展現。

4.網絡安全漏洞披露的責任豁免規定

網絡安全漏洞披露規則的設計應充分考慮漏洞發現者、使用者、廠商、政府機構等相關主體的利益平衡，并以保障使用者合法權益、社會公共安全、關鍵資訊基礎設施安全乃至國家安全為最終目的。總結美國CISA的規定可以看出，合法披露是安全漏洞披露的首要原則，其必要前提是目的合法和行為授權。我國安全漏洞披露同樣應該限定在目的合法和行為授權的架構内。安全漏洞披露的責任豁免是指在形式上符合漏洞披露禁止規定的行為，由于符合免除責任的規定而從安全漏洞披露規定的适用中排除，以豁免的形式授予相關主體和行為的合法性。安全漏洞責任豁免規定具有維護網絡安全、推動網絡安全産業的創新、實作多方利益平衡的重要價值。安全漏洞披露的責任豁免主要包括兩種情形：一是對披露主體的安全研究人員（如“白帽子”等）善意披露安全漏洞行為給予的責任免除規定。美國“惠普起訴SnoSoft 公司研究者”和“Tornado起訴員工Bret McDanel”案均表明，無論是廠商還是法院都開始注重安全研究人員的善意動機，即使廠商出于自身發展利益考慮，也無法否認安全研究人員對網絡安全的正面影響。二是針對特定行為，視為授權或授權追認的責任免除規定。如美國國防部2016年11月釋出的《安全漏洞披露政策》明确規定，“安全研究以及漏洞發現行為充分符合政策中的限制與指導規定，國防部不會發起或者支援任何指向的執法及民事訴訟活動，且如果除國防部之外的某方進行執法或者民事訴訟，國防部方面将采取措施以證明行為擁有依據且并不與政策相違背”。

以第一種豁免情形為例，《網絡安全法》中未直接明确安全漏洞善意披露行為的責任豁免規定。本文認為，我國現階段的安全漏洞披露立法仍處于探索階段，如安全漏洞披露豁免缺乏針對性，将導緻法律适用時的不明确，造成豁免規定濫用，産生與不規範披露或非法披露同樣的安全風險，是以安全漏洞披露豁免規定應該審慎論證和制定，在立法和技術時機成熟時，可以考慮通過《網絡安全法》配套制度設定安全研究人員（如“白帽子”等）安全漏洞善意披露的責任豁免規定。在具體确定豁免條件時，必須基于技術可控的整體判斷，合理限制善意披露的界限，避免矯枉過正擴大适用範圍，如至少應綜合考慮安全研究人員的背景、所披露漏洞的危害級别、給廠商和使用者帶來的實際負面影響等因素。

結 語

“網絡的絕對安全不具有技術上的可能性，網絡安全的破壞者與維護者之間注定是一個長期博弈的過程”。網絡安全漏洞披露之上集結了政府部門、産品和服務提供者、第三方研究機構、網絡安全服務機構、使用者、黑客或“白帽子”等多方利益相關者及其協調關系，所有利益相關者均應肩負起應有的法律責任，共同推動網絡社會的有序運作。

我國現行立法已提出網絡安全漏洞合法披露的基本要求，但仍然缺乏對于規則實作的具體設計，無法為安全漏洞披露行為提供明确指引。美國很早開始從法律和政策層面建構網絡安全漏洞披露規制，并根據情形不斷調整，呈現從負責任披露到協同披露變革的趨勢，現階段網絡安全漏洞披露規則的制定更是上升到與國家安全和政治利益密切相關的高度。本文建議，借鑒美國網絡安全漏洞披露規則設計及其實踐經驗，以協同披露為導向，完善我國《網絡安全法》架構下的産品和服務提供者、第三方漏洞披露平台和政府機構的職責設定，圍繞安全漏洞披露主體、披露對象、披露方式和披露的責任豁免規定進行網絡安全漏洞披露規則體系的論證與設計。

本文原發于《暨南學報（哲學社會科學版）》2018年1月，總第228期。為編輯需要，隐去腳注及參考文獻。