为网络安全漏洞挖掘划定法律边界
2017-10-31宋皓
宋皓
【摘要】网络安全漏洞挖掘是网络安全治理的中心议题,其存在对于维护网络安全非常有必要。由于网络安全漏洞挖掘是一个复杂、动态的问题,对其进行法律规制不能单凭一部法律,应以《网络安全法》为核心,构建多元化的法律法规体系,约束网络安全漏洞挖掘行为,让其既能为网络安全服务,又能不触碰法律红线。
【关键词】网络安全 漏洞挖掘 法律规制 【中图分类号】D92 【文献标识码】A
《网络安全法》被视为规范网络安全漏洞挖掘最全面、最具体的法律,一方面给予网络安全漏洞挖掘合法性的肯定,另一方面又通过诸多条款来限制网络安全漏洞挖掘工作,符合现代法治文明和客观实际的双重需求。鉴于《网络安全法》刚刚实施,其实践效果尚未取得验证;同时,网络安全漏洞挖掘是一项复杂、动态的问题,对其进行法律规制不能单凭一部法律,所以笔者试图从《网络安全法》《互联网信息服务管理办法》《个人信息保护法》《电子商务法》《网络社会管理法》等相关法律出发,探讨网络安全漏洞挖掘的规制,让该项工作能够在法律框架下顺利开展。
将《网络安全法》作为规制网络安全漏洞挖掘的核心法律
《网络安全法》于2016年11月颁布,2017年6月正式开始实施,被认为是我国维护网络安全方面最全面、最重要的法律文件,其针对网络安全运行、信息基础设施安全运行、信息安全、监测与预警等各个方面都予以规定,其中对挖掘网络安全漏洞的行为也有专门规定。
《网络安全法》第4条、18条、21条以及51条都针对网络安全漏洞问题进行明确规定,要求网络服务商对自身产品存在的漏洞具有告知和补救责任,对自身存在的安全漏洞负有保护义务,如未能尽到相应义务应该承担责任。《网络安全法》认定个人和机构随意发布网络安全漏洞会对社会和网络安全造成巨大影响,并针对这种发布行为进行严格规范。同时,要求官方开展网络安全认定、风险评估等活动时,应遵守国家相关法律规定。显然,国家有关部门已经意识到网络安全漏洞对社会和网络安全造成的巨大影响,并试图借助法律规范来约束挖掘网络安全漏洞的行为,要求行为人在对外公布网络安全漏洞时应该规范化,并遵守相关法律法规。
《网络安全法》出台的目的就是打造我国网络安全管理最全面、最具体的法律法规,应将《网络安全法》作为规制网络安全漏洞挖掘的核心法律。需要指出的是,《网络安全法》对网络安全漏洞的规定和处罚,还没有特别具体的规定。比如,关键信息基础设施安全漏洞管控、网络安全漏洞挖掘的披露及出口行为等,都缺乏具体的认定。未来修改完善《网络安全法》时,应给予社会公众和行为人更加明确的指引。
完善《互联网信息服务管理办法》 ,防止网络安全漏洞信息传递
《互联网信息服务管理办法》早在2000年已经颁布并正式实施,核心内容就是管理网络中的信息传播,避免出现网络谣言、网络诽谤以及相关的犯罪信息,帮助社会公众屏蔽这些非法信息,净化网络环境。
在现代网络安全漏洞挖掘的过程中,时常会出现一些非真正网络安全漏洞的问题,其产生主要是由于一些个人和机构恶意诽谤和诬陷。他们宣称网络服务商提供的网络服务存在安全漏洞,通过这种方式来敲诈网络服务商。他们虽然没有在技术层面上真正挖掘网络安全漏洞,但已经借助网络安全漏洞实施了不法行为,给社会造成一定的负面影响。除此之外,个人和机构在挖掘网络安全漏洞之时,也会通过信息传递的方式将网络安全漏洞散播给社会大众,给服务商和社会公众造成巨大影响,并且容易出现一些与事实不符的虚假信息。
《互联网信息服务管理办法》的重要意义,就是防止这些涉及网络安全漏洞的信息传递给社会公众而造成恐慌。无论是否属于真实的网络安全漏洞信息都应该在信息传播中予以限制,笔者认为《互联网信息服务管理办法》应增设关于网络安全漏洞信息传递的具体化规定,并明确传播网络安全漏洞信息需要承担的责任,以此来规范网络安全漏洞信息传播,减少社会公众对网络安全漏洞的恐慌。
出台《个人信息保护法》 ,切割网络安全漏洞对个人影响
《个人信息保护法》尚处于制定之中,其将成为个人信息保护的最重要的法律依据。在挖掘网络安全漏洞的行为中也存在对个人信息的披露和侵犯,针对这种侵犯个人信息的行为应该予以禁止,并对泄露个人信息的人员和单位予以惩处。
在利益的驱动下,个人信息经常被非法收集、买卖和滥用,给社会公众的日常生活及经济安全造成巨大影响。面对此问题,《个人信息保护法》正在制定之中,其结合了《宪法》《刑法》《关于加强网络信息保护的决定》《居民身份证法》等多部法律法规,构建出保护社会公众个人信息的全面法律规范。个人信息泄露的危害十分巨大,比如2015年2月,全国多家酒店由于网络安全漏洞造成房客信息泄露,其中部分信息就是由挖掘网络安全漏洞的相关人员泄露出来的,给社会公众造成极大的负面影响,并且形成了社会恐慌。一旦《个人信息保护法》制定完毕后,就可以针对挖掘网络安全漏洞中泄露个人信息行为进行打击,及时制止侵犯个人信息的行为,对社会公众的个人信息进行更好保护。
出台《电子商务法》 ,防止网络安全漏洞挖掘形成商业化模式
正在制定的《电子商务法》主要处理正常的电子商务贸易关系,针对网络安全漏洞挖掘行为约束较少,尚未意识到挖掘网络安全漏洞已经朝着商业化的模式迈进。
早期的网络安全漏洞挖掘主要由个人完成,其目的是挖掘者展示自我能力,但随着网络普及程度提升,挖掘网络安全漏洞的现象逐渐增多,以挖掘网络安全漏洞逐利的现象明显增多,并形成一种灰色的商业链条,给社会公众和经济发展都带来不利的影响。面对围绕挖掘网络安全漏洞的产业链条,《电子商务法》应该增设相关法律条款,用来限制挖掘网络安全漏洞的商业行为。
在制定《电子商务法》的过程中,应该针对挖掘网络安全漏洞的商业行为进行有效识别,防止不法分子或机构通过挖掘网络安全漏洞对网络服务商进行敲诈和威胁;应该禁止以经济利益为目的而进行网络安全漏洞挖掘工作,并针对以公益性为目的的挖掘网络安全漏洞商业组织进行监督和管理;坚决打击将挖掘网络安全漏洞行為与商业利益挂钩,特别要防止挖掘网络安全漏洞的行为逐渐形成一种商业模式。
建议制定《网络社会管理法》 ,维护网络安全漏洞挖掘者合法权益
目前我国尚未制定《网络社会管理法》,但迫于网络安全漏洞挖掘的现状,我们应该尽早制定。《网络社会管理法》的目的主要是对从事网络安全漏洞挖掘者的合法权益进行保护。
法学界的主流观点虽然倾向于否定网络安全漏洞挖掘工作,但客观上看,网络安全漏洞挖掘工作是一种必要性的工作,只不过这种工作应该在法律允许的范围内进行,应该不以经济利益、商业利益为目的而开展。在网络社会中,任何网络服务商在提供网络服务中都可能存在安全漏洞,这些漏洞一旦被不法分子掌控,极容易给网络服务商和消费者造成较大损失。此时需要借助相应的网络安全漏洞挖掘机构,对网络服务安全进行测试,及时了解网络服务安全情况。网络安全漏洞挖掘机构一旦发现安全漏洞,应该及时通知服务商,并尽可能提出修补方案,以此来维护网络服务的安全性。
规范网络安全漏洞挖掘行为要以目的为考量,只要网络安全漏洞挖掘机构出于维护网络安全的目的,挖掘出网络安全漏洞并及时进行告知,该种行为就应该予以鼓励,并予以保护。构建《网络社会管理法》就是要规范网络安全漏洞挖掘行为,保障从事相关工作的个人和机构能够享有合法权益,避免其遭受非法侵犯。
(作者为河南财经政法大学民商经济法学院讲师)
【参考文献】
①赵精武:《网络安全漏洞挖掘的法律规制研究》,《暨南学报(哲学社会科学版)》,2017年第6期。
②黄道丽、马民虎:《安全漏洞发现的合法性边界:授权模式下的行为要素框架》,《西安交通大学学报(社会科学版)》,2017年第2期。
责编/温祖俊 美编/杨玲玲endprint