梁天生



网络安全漏洞披露规则及其体系设计

梁天生

广东理工学院，广东 肇庆 526100

随着社会经济的发展，网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全，凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求，可借鉴域外经验，以协同披露为导向，围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系，为安全漏洞披露行为提供明确指引。

网络安全漏洞；披露；类型；规则；协同

引言

近年来，利用网络安全漏洞实施攻击的安全事件在全球范围内频发，给网络空间安全带来了不可逆的危害。网络安全漏洞披露已成为网络安全风险控制的中心环节，对于降低风险和分化风险起着至关重要的作用。强化网络安全漏洞收集、分析、报告、通报等在内的风险预警和信息通报工作已成为国家网络安全保障的重要组成部分。国内外不同主体基于不同动机和利益驱动开展了广泛的网络安全漏洞披露实践并引发各方对不利法律后果的反思。

1 网络安全漏洞披露的概念与类型

1.1 网络安全漏洞披露的相关概念

漏洞是一个或多个威胁可以利用的一个或一组资产的弱点，是违反某些环境中安全功能要求的评估对象中的弱点，是在信息系统（包括其安全控制）或其环境的设计及实施中的缺陷、弱点或特性。这些缺陷或弱点可被外部安全威胁利用。漏洞是“非故意”产生的缺陷，具备能被利用而导致安全损害的特性。网络安全漏洞具备可利用性、难以避免性、普遍性和长存性等技术特征。为强调漏洞可能导致的网络安全风险，各界基本将漏洞和网络安全漏洞的概念混用不加区分。漏洞称之为内在的脆弱性，与之相对的是外部安全威胁，内部脆弱性和外部安全威胁结合起来共同构成安全风险。针对网络安全漏洞本身，尽管国内外立法缺少明确的概念界定，但均延续了传统信息安全的内外两分法，将网络安全漏洞纳入安全风险和网络安全信息范畴予以规制。

1.2 网络安全漏洞披露的类型

网络安全漏洞披露被概括为不披露、完全披露和负责任披露三种类型。从不披露、完全披露、负责任披露到协同披露，安全漏洞披露类型涉及的利益相关方侧重点各有不同，显示了漏洞披露过程的复杂性，也表明调动各利益相关方共同治理安全漏洞观念的逐渐成熟和体系化。总体来说，以上披露类型在国内外目前的披露实践中均有出现，且往往交织在一起。近年来，虽然在一定程度上更多的协同披露动向正在显现，但漏洞披露环境在很多方面仍然是割裂的，相关问题依然有待解决。鉴于利益相关方的侧重点有所差异，漏洞披露目前仍然没有统一的标准，但都应以最大限度减少损害的方式进行。

2 我国网络安全漏洞披露规则体系设计

2.1 网络安全漏洞披露的主体

网络安全漏洞合法披露主体包括以下三类：（1）厂商，即《中华人民共和国网络安全法》（以下简称《网络安全法》）中的产品和服务提供者。厂商对自身的软硬件负有产品责任和安全保障义务，因此是最初始意义上的安全漏洞发现者和最无争议的安全漏洞披露主体。《网络安全法》第二十二条明确了厂商向用户和有关主管部门披露安全漏洞的安全义务。

（2）政府机构。政府机构作为合法漏洞披露主体，可包括两个层次：第一，国家级安全漏洞披露平台。中国国家信息安全漏洞库（CNNVD）和国家信息安全漏洞共享平台（CNVD）承担国家统一的安全漏洞收集、发布、验证、分析、通报、修补等工作，是我国国家级漏洞披露主体代表。第二，安全漏洞披露协调和决策机构。《网络安全法》第五十一条明确了我国网络安全监测预警和信息通报的工作机制，国家网信部门统筹协调有关部门统一发布网络安全监测预警信息。可考虑依据此条建立我国国家层面统一的跨部门、多机构网络安全漏洞披露协调与共同决策机制，充分发挥“国家网络与信息安全信息通报中心”，主导我国网络安全漏洞披露协调与决策工作。

（3）网络安全服务机构。我国网络安全专业服务快速发展，专业机构开展网络安全产品和服务、网络运行管理等方面的安全认证、检测和风险评估业务，在提升网络安全保障能力方面发挥了重大作用。为进一步发挥网络安全服务机构的作用，《网络安全法》将“网络安全服务机构”纳入责任主体范畴，鼓励企业开展网络安全认证、检测和风险评估工作；《关键信息基础设施安全保护条例（征求意见稿）》赋予网络安全服务机构在关键信息基础设施保护中更多的工作内容，并鼓励其参与关键信息基础设施网络安全信息共享。

2.2 网络安全漏洞披露的对象

网络安全漏洞披露应当有具体的披露对象，具体包括两类：第一，网络安全产品和服务的用户。用户是产品和服务的直接使用者，也是安全风险发生后的直接受害者。依据《中华人民共和国合同法》《中华人民共和国消费者权益保护法》等法律规定，用户拥有对网络安全产品和服务的知情权。第二，政府机构。《网络安全法》第二十二条同时要求产品和服务提供者向有关主管部门报告漏洞。在现行立法框架下，国家网信部门、公安部、国家安全部及国家保密行政管理、国家密码管理和国家行业主管或监管部门等均有可能是此条规定的“有关主管部门”。本文认为，政府机构基于第二十二条获得的网络安全漏洞信息，不仅构成《网络安全法》第五十一条中监测预警信息的重要组成部分，而且成为我国安全漏洞披露协调和决策机制工作的重要信息来源。

2.3 网络安全漏洞披露的方式

第一，《网络安全法》第二十二条规定的“告知”行为对象是用户，指网络产品、服务的提供者基于产品、服务的漏洞“缺陷”向用户承担的初始义务和追责依据。“告知”行为内容包括说明某个产品或服务存在安全漏洞这一事实、漏洞缺陷可能造成的后果及用户可以采取的降低风险的措施、补丁修复或者找到其他解决办法之后的事后信息等。

第二，《网络安全法》第二十二条规定的“报告”，明确和完整表述为“向有关主管部门报告”。根据《网络安全法》第八条的规定，目前我国形成了国务院电信主管部门、公安部门和其他有关机关各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局。

第三，《网络安全法》第二十六条规定的“发布”，具有向社会不特定人公开的特性。此概念对应于传统漏洞披露的“完全披露”类型，向社会发布会引发不可逆的各种可能，一旦发布，将对“告知”与“报告”产生直接影响。因此，《网络安全法》要求无论网络产品、服务提供者，或网络安全服务机构“向社会发布”，均“应当遵守国家有关规定”，强调对前置程序的规范审核[1]。

第四，《网络安全法》第五十一条规定的“通报”，具有网络安全信息共享的特性。其启动主体、指向对象都会因共享要素考虑的充分性、完备性与否而具有不同体现。

2.4 网络安全漏洞披露的责任豁免规定

我国安全漏洞披露同样应限定在目的合法和行为授权的框架内。安全漏洞披露的责任豁免是指在形式上符合漏洞披露禁止规定的行为，由于符合免除责任的规定而从安全漏洞披露规定的适用中排除，以豁免的形式授予相关主体和行为的合法性。安全漏洞责任豁免规定具有维护网络安全、推动网络安全产业的创新、实现多方利益平衡的重要价值。

3 结语

综上所述，我国现行立法已提出网络安全漏洞合法披露的基本要求，但仍然缺乏对于规则实现的具体设计，无法为安全漏洞披露行为提供明确指引。美国很早开始从法律和政策层面构建网络安全漏洞披露规制，并根据情形不断调整，呈现从负责任披露到协同披露变革的趋势，现阶段网络安全漏洞披露规则的制定更是上升到与国家安全和政治利益密切相关的高度。

[1]黄道丽. 网络安全漏洞披露规则及其体系设计[J]. 暨南学报（哲学社会科学版），2018，40（1）：94-106.

Network Security Vulnerability Disclosure Rules and System Design

Liang Tiansheng

Guangdong Polytechnic College, Guangdong Zhaoqing 526100

With the development of social economy, network security vulnerability disclosure has become the central link of network security risk control. Unregulated or illegal network security disclosures endanger the overall security of cyberspace and highlight the grey areas of the law. In practice, network security vulnerability disclosures are characterized by non-disclosure, full disclosure, responsible disclosure and collaborative disclosure. China’s current legislation proposes the basic requirements for legal disclosure of network security vulnerabilities from three levels, product and service providers, third parties and countries. It can draw on extraterritorial experience and focus on collaborative disclosure, focusing on disclosure subjects, disclosure targets, disclosure methods and disclosures. The liability exemption argument and the design of a network security vulnerability disclosure rule system provide clear guidance for disclosure of security breaches.

network security vulnerability; disclosure; type; rules; collaboration

TP393.08

A