数据安全法视野下的网络安全漏洞管理*
2021-04-04朱莉欣
朱莉欣,陈 伟
(1.西安交通大学 苏州信息安全法学所,江苏 苏州 215123;2.海军航空大学,山东 烟台 264001)
0 引 言
随着国家和社会信息化程度的不断加深,数据作为国家基础性战略资源,在国家安全中的地位作用日益凸显。但是,计算机信息系统在需求、设计、实现、配置、运行等过程中,都或多或少存在一定缺陷,这就是“漏洞”(vulnerability)。近年来,数据泄露事件时有发生,对国家安全、社会稳定和企业及用户利益造成严重后果,漏洞正是造成各种数据泄露事件的罪魁祸首之一[1]。在《中华人民共和国网络安全法(草案)》征求意见过程中,就有人提出建议,一些个人和机构随意发布系统漏洞等网络安全信息,对维护网络安全影响较大,应予规范。最终通过的《中华人民共和国网络安全法》第26条规定:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络入侵等网络安全信息,应当遵守国家有关规定。2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,该法与网络安全法有关条款有机衔接,对事关国家安全和经济社会发展的数据安全问题进行了全面规范,必将有效提高国家数据安全保障水平。漏洞问题关系网络安全,影响国家安全,对漏洞进行有效管理除了要遵守网络安全法的相关规定,也要落实数据安全法的新要求,在漏洞全生命周期管理过程中,进一步完善相关管控措施,确保网络和信息系统安全。
1 全球漏洞管理概述
网络安全等级保护制度是我国现行网络安全领域的一项重要制度。网络安全法明确规定,国家实行网络安全等级保护制度。《中华人民共和国数据安全法》第21条按照等级保护制度的相关要求,规定了数据分类分级保护制度,要求根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
1.1 结合漏洞评级和分析进行漏洞信息分类
根据对网络安全构成的威胁程度不一,漏洞可以分为不同类别。美国国家计算机通用漏洞数据库(NVD)将漏洞分为危急(CRITICAL)、高危(HIGH)、中危(MEDIUM)、低危(LOW)四类;中国国家信息安全漏洞库(CNNVD)根据漏洞危害级别,将漏洞分为危急、高危、中危、低危四类;国家信息安全漏洞共享平台(CNVD)将漏洞分为高危漏洞、中危漏洞和低危漏洞三类。GB/T 30279—2020《网络安全漏洞分类分级指南》提供了网络安全漏洞的分类方式、分级指标,并给出了分级方法的建议,将漏洞分为超危、高危、中危和低危四级。有研究认为,应充分考虑网络安全漏洞的特殊性,以漏洞影响产品的波及面、导致的破坏程度、漏洞利用难度、漏洞修复难度等为评估重点,对漏洞进行评级[2]。我们认为,应根据相关国家标准,参考国外通行做法,对漏洞分级进行统一规范,避免因技术标准不统一等原因造成漏洞分级不规范而引发网络安全事故。有关漏洞数据除考虑漏洞本身的级别外,还要考虑漏洞数据的大小、存储介质等因素,对漏洞信息的类别进行综合判定。
1.2 将重要漏洞信息列入重要数据目录以加强保护
《中华人民共和国数据安全法》第21条规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。该法第27条第2款还规定,对重要数据进行处理,应当明确数据安全负责人和管理机构,落实数据安全保护责任。因此,一方面,国家相关部门在制定重要数据目录时要充分考虑漏洞信息的特殊重要性,采取合理的方式将重要漏洞信息纳入目录。另一方面,各单位在处理漏洞信息等重要数据时,要按照法律要求健全相关机构,明确责任人,尽到审慎处理责任,落实数据安全保护义务。
1.3 将关键信息基础设施漏洞信息作为国家核心数据以专门保护
国家核心数据是数据安全法规定的最为重要的一类数据,要实施更加严格的管理制度。加强关键信息基础设施保护已成为全球共识。很多国家都通过立法对关键信息基础设施进行特殊保护。我国网络安全法在第3章网络运行安全中,专设关键信息基础设施的运行安全一节,对重要行业领域和关键信息基础设施的运行安全实行重点保护。数据安全法也规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。由于关键信息基础设施安全漏洞导致的威胁会对国家安全和社会稳定产生不可逆的严重危害,有研究者建议,法律应构建关键信息基础设施安全漏洞的信息共享机制,整合来自政府、企业等网络威胁、漏洞和事件信息,同时对关键信息基础设施领域漏洞的挖掘、披露、报告和利用等行为予以特别规制,提升国家整体的网络安全态势感知能力[3]。我们认为,考虑关键信息基础设施漏洞潜在的巨大风险,相关数据一旦失管失控可能对国家安全带来的危害,应将其数据单独作为一类,实施特殊保护。
2 建立漏洞信息事先管控和事后处置机制
数据安全法通过将自上而下的数据安全风险监测、预测与监管同自下而上的数据风险评估及报告有机结合,建立了对数据安全的交叉监管事先管控体系。此外,该法还对发生数据安全事件后的应急处置机制进行了规范。漏洞信息也应按照法律要求完善事先管控和事后处置机制。
2.1 漏洞风险评估、报告、信息共享、监测预警机制
《中华人民共和国数据安全法》第22条规定,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。同时,本法还对数据处理者赋予了风险监测、采取补救措施、报告等相应义务。而对于漏洞数据,则依法应做到以下几点:
首先,国家主管部门应加强对漏洞信息的监管,进一步完善管理体制。一是要加强漏洞信息的风险评估。漏洞信息的风险评估,除根据漏洞本身的类别进行评判外,还要结合漏洞数据的数量、存储传输媒介等因素综合评判漏洞信息的风险。二是要做好漏洞信息报告与信息共享。各监管部门收到的漏洞信息应及时向上级监管部门报告,并按照“实时共享”的要求,将漏洞信息与其他部门在第一时间共享。三是主动进行漏洞信息监测预警。各部门应加强对漏洞信息的监测,发现未经许可披露的漏洞信息要及时采取控制措施,并同步做好相应预警工作。
其次,数据处理者应按照法律要求谨慎处置漏洞信息。《中华人民共和国数据安全法》第29条规定:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。此外,对重要数据的处理者有更加严格的要求。该法第30条明确指出,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
在这方面,有研究提出应根据漏洞级别,决定是否披露漏洞以及如何披露漏洞,严禁企业未经授权和安全评估,以竞赛、通报等形式私自进行披露。还有主张通过代码规制的方式进行漏洞的披露[4],即主要依赖网络信息技术进行漏洞信息的发布。然而,鉴于漏洞普遍存在且无法完全避免,这种模式极有可能产生新的漏洞,对网络安全构成新的威胁,因此还是应将技术与法律规制有机结合,建立国家层面的安全漏洞信息风险评估、报告、信息共享、监测预警机制。对网络产品提供者和网络运营者等数据处理者而言,应根据2021年7月21日颁布的《网络产品安全漏洞管理规定》,漏洞公开前及时采取措施对漏洞进行修复,开发漏洞补丁,防范网络安全事件发生,并向国家主管部门报告漏洞情况。第三方组织及个人发现漏洞后,可在严格遵守国家法律法规的前提下进行发布。
2.2 漏洞数据安全应急处置机制
漏洞发现后,如不采取有效管控措施,很有可能造成网络安全事件,特别是漏洞信息采集达到一定数量后的风险更是成倍增大。《中华人民共和国网络安全法》第25条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。与该规定相配套,数据安全法也建立了数据安全应急处置机制。漏洞数据关系网络安全,必须做好因漏洞数据泄露造成网络安全事件的准备,完善漏洞数据安全应急处置机制。
一方面,主管部门要依法履行监管职责,完善漏洞泄露应对预案,采取应急措施,发布警示信息。数据安全法规定,发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。漏洞信息因特殊情况被泄露后造成网络安全事件,根据《国家网络安全事件应急预案》的规定,根据事件相应等级,按照事先拟制的应急预案进行处置。为防止因网络谣言误导公众,主管部门还要向社会发布与公众有关的警示信息,要坚持及时、准确、客观、适度的原则,防止误导舆论,造成社会恐慌。
另一方面,数据处理者应承担处置、报告义务。《中华人民共和国数据安全法》第29条规定,发生数据安全事件时,数据处理者应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。为提高漏洞事故处置能力,近年来,一些网络公司纷纷建立安全应急响应中心(Security Response Center,SRC),鼓励公众发现安全漏洞,搜集漏洞信息,以第一时间修复漏洞,提高安全防御能力。一旦发生漏洞数据安全事件,数据处理者应采取各种技术措施控制事态发展,最大限度地控制漏洞信息蔓延,保留相关证据,边处理边及时向上级主管部门、属地相关部门报告事件信息。同时,还要做好对事件进行调查和评估,分析事件发生原因,判断事件影响、危害和可能波及的范围,提出应对措施建议。
3 落实漏洞数据安全审查制度
众所周知,安全审查制度是有效预防和化解国家安全风险的重要举措。《中华人民共和国国家安全法》关于建立国家安全审查和监管的制度和机制,是确保国家安全行之有效的制度安排。网络安全审查制度是国家安全审查制度在网络空间的具体化,是基于信息安全风险防控目的,以防止网络产品和服务的提供者和服务的非法控制、干扰、中断用户系统,防止非法收集、存储、处理和利用用户有关信息。我国网络安全法建立了国家网络安全审查制度。该法第35条规定,关键信息基础设施建设的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。2017年5月,国家网信办发布《网络产品和服务安全审查办法(试行)》,与网络安全法同步实施,迈出我国网络安全审查实质性步伐。除采购关键信息系统网络产品和服务应按照网络安全法及相关配套法规的要求进行安全审查外,数据安全法进一步完善了我国的安全审查制度,将可能影响国家安全的数据处理活动也纳入国家安全审查的范围。
实践中,对网络信息进行安全审查也是各国通行的做法。如美国为确保关键信息基础设施供应链安全,出台了一系列法律法规,实施安全审查政策,构建了一套完整的供应链安全管理体系[5]。漏洞涉及国家安全,因此漏洞信息的处理活动应按照数据安全法的规定进行安全审查。由于近年来西方国家一直对我国相关网络产品进行安全审查,并以国家安全为借口实施限制进口等措施,当前学界对安全审查的本质还存在不同认识。主流观点认为,国家安全审查的内核是一个政治问题,是一种政治法律化和法律政治化的制度安排,国家安全审查机构对相关行为是否危害国家安全做出政治判断,因此该判断不应受司法权力之审查[6]。
2020年5月,国家网信办发布《网络安全审查办法》,取代了《网络产品和服务安全审查办法(试行)》。而在进一步修改完善该办法时,也应把包括漏洞信息处理在内的数据处理活动一并纳入,作为网络安全审查的重要内容。具体而言,一是统一数据审查对象。对漏洞信息的处理者,无论是境内机构还是境外机构,只要是在我国境内开展的漏洞信息处理活动,都一视同仁地按照法律要求进行审查,避免出现一些境外媒体对我国关键信息基础采购活动中进行安全审查涉嫌贸易壁垒的不实指责。二是按照数据等级进行分级审查。根据漏洞信息所属的数据等级类别,区分核心数据、重要数据、普通数据等不同类别,由不同层级主管部门分别对其进行审查,提高审查工作效率,实现重点保护与全面防护的有机结合,提高安全防护效果。三是完善审查程序和标准。对漏洞信息进行国家安全审查,在考虑政治需要的同时,也要完善审查程序、审查标准等法律规范,力争做到政治与法律的平衡,避免在国际社会留下贸易保护、单边主义等负面印象。按照数据安全法的规定,依法作出的安全审查决定为最终决定,当事人不能因不服审查结果向司法机关寻求救济。
4 实施漏洞数据出口管制制度
出口管制是维护国家安全和利益的重要手段。当前,国际社会普遍形成共识,数据是重要的战略资源。一方面,为发挥数据最大效能,需要尽可能开放数据。另一方面,为加强国家安全和个人隐私保护,要对数据出境实施限制。《中华人民共和国数据安全法》第25条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
网络安全漏洞不仅仅是一种缺陷,也是重要的资源。一些国家甚至将漏洞武器化,如2017年席卷全球的“永恒之蓝”病毒,其来源就是美国国家安全局[7]。此外,美国还将未公开的零日漏洞列入《瓦森纳协定》(Wassenaar Arrangement)中的禁运清单之列,禁止将零日漏洞向第三国出口。我国出口管制法明确将相关技术资料等数据也纳入管制物项范围。漏洞信息数据出口,可考虑采取下列管制措施。
一是将对我国采取歧视性措施的国家列入禁运清单。一些国家为维护其网络霸权,在网络信息技术领域对我国实施打压和制裁政策,将我国一些企业和科研机构列入所谓实体清单,禁止将漏洞信息出口到我国。对这种歧视性贸易措施,我们完全可以根据《中华人民共和国反外国制裁法》和《中华人民共和国数据安全法》的规定,采取对等措施,将对方列入制裁清单。
二是实施安全审查和评估,确保不对国家安全、社会稳定和个人利益构成威胁。对关键信息基础设施漏洞信息进行安全审查,一般不予批准出境。制定完善《重要数据出境安全评估办法》,对其他等级漏洞信息按照漏洞分级,将一定等级的漏洞信息作为重要数据纳入评估范围。同时可参考《中华人民共和国个人信息保护法》关于个人信息出境的要求,对漏洞信息的出口进行必要的控制,明确出境数据的类别、批准程序。
5 结 语
《中华人民共和国数据安全法》为进一步维护我国网络安全提供了法律保障。当前,漏洞还无法完全避免,作为影响网络安全的重要因素,必须在其全生命周期中加强管理,落实数据安全法相关制度,对漏洞信息进行分类分级保护,按照数据安全风险评估、报告、信息共享、监测预警机制和应急处置机制,加强漏洞管控,贯彻实施《网络产品安全漏洞管理规定》,把包括漏洞信息处理在内的数据处理活动纳入数据安全审查范围,同时对漏洞信息出口进行必要管制,全方位构建起漏洞管理的体系,切实维护国家网络安全。