網絡安全漏洞披露規則及其體系設計

摘要：網絡安全漏洞披露已成為網絡安全風險控制的中心環節。不規范或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯法律規定的灰色地帶。實踐中網絡安全漏洞披露表現為不披露、完全披露、負責任披露和協同披露等類型。美國從法律和政策層面分別構建網絡安全漏洞披露規則，并根據形勢不斷進行調整，規則設計呈現從負責任披露到協同披露的變化趨勢，國家層面統一的網絡安全漏洞披露協調和決策機制也在進一步完善中。我國現行立法從產品和服務提供者、第三方和國家三個層面提出了網絡安全漏洞合法披露的基本要求，可借鑒域外經驗，以協同披露為導向，圍繞披露主體、披露對象、披露方式和披露的責任豁免論證和設計網絡安全漏洞披露規則體系，為安全漏洞披露行為提供明確指引。

關鍵詞：網絡安全漏洞；披露；類型；規則；協同 

引 言

近年來，利用網絡安全漏洞實施攻擊的安全事件在全球范圍內頻發，給網絡空間安全帶來了不可逆的危害。網絡安全漏洞披露已成為網絡安全風險控制的中心環節，對于降低風險和分化風險起著至關重要的作用。強化網絡安全漏洞收集、分析、報告、通報等在內的風險預警和信息通報工作已成為國家網絡安全保障的重要組成部分。

國內外不同主體基于不同動機和利益驅動開展了廣泛的網絡安全漏洞披露實踐并引發各方對不利法律后果的反思。2016年我國某“白帽子”披露世紀佳緣網站漏洞引發刑事立案，2017年相繼發生的WannaCry勒索病毒全球攻擊事件引發微軟等廠商對美國政府機構未披露漏洞行為的嚴厲批評、網易向未經授權擅自公開披露漏洞細節的某“白帽子”發公開聲明、國家信息安全漏洞共享平臺CNVD公告稱因漏洞的不當披露引發黨政機關和重要行業網站受到大規模攻擊威脅等事件則進一步彰顯了網絡安全漏洞不規范或非法披露的現實沖擊，安全漏洞合法披露主體、合法披露程序、不當披露法律后果等問題成為法律和行業界共同關注的焦點。

向不特定的社會公眾披露網絡安全漏洞可以提升網絡安全防護的實時性和有效性，但惡意或非法的網絡安全漏洞披露同樣為攻擊者提供了可利用的攻擊武器。漏洞發現之后應該由誰披露，怎樣披露，何時披露等問題變得日益復雜且重要，漏洞披露制度不同，不僅對用戶、提供商、協調者等利益相關方造成的影響有很大差異，更會對國家安全、企業利益及個人隱私產生深遠影響。出于國家安全和公共利益的現實考慮，網絡安全漏洞披露應當遵循特定規則，至少在“由誰披露”和“如何披露”這兩個核心問題上滿足國家立法的強制性規定。我國《網絡安全法》第22條、26條和51條和國家互聯網信息辦公室2017年7月10日發布的《關鍵信息基礎設施安全保護條例（征求意見稿）》第35條已提出網絡安全漏洞合法披露的規則框架和基本要求，但仍然缺乏對于規則實現的具體設計，無法為安全漏洞披露行為提供明確指引。

網絡安全漏洞披露的概念與類型

1.網絡安全漏洞及其披露的相關概念

漏洞（Vulnerability），又稱脆弱性，這一概念的出現已有30多年歷史，技術、學術和產業界從不同角度給出了不同的定義。目前普遍接受的定義是：漏洞是一個或多個威脅可以利用的一個或一組資產的弱點，是違反某些環境中安全功能要求的評估對象中的弱點，是在信息系統（包括其安全控制）或其環境的設計及實施中的缺陷、弱點或特性。這些缺陷或弱點可被外部安全威脅利用。漏洞是“非故意”產生的缺陷，具備能被利用而導致安全損害的特性。網絡安全漏洞具備可利用性、難以避免性、普遍性和長存性等技術特征。為強調漏洞可能導致的網絡安全風險，各界基本將漏洞和網絡安全漏洞的概念混用不加區分，漏洞稱之為內在的脆弱性，與之相對的是外部安全威脅，內部脆弱性和外部安全威脅結合起來共同構成安全風險。

針對網絡安全漏洞本身，盡管國內外立法缺少明確的概念界定，但均延續了傳統信息安全的內外兩分法，將網絡安全漏洞納入安全風險和網絡安全信息范疇予以規制。在安全風險層面，《網絡安全法》第25條規定將系統漏洞（內部脆弱性）和計算機病毒、網絡攻擊、網絡侵入等外部安全威脅作為整體安全風險，強調了網絡運營者的風險控制和應急處置責任。美國《網絡安全信息共享法》（CISA）強調網絡安全的目的是“保護信息系統或者使在信息系統存儲、處理、傳輸的信息免于網絡安全威脅或網絡安全漏洞的侵害”，也將網絡安全威脅和網絡安全漏洞并列，作為安全風險予以共同防范和控制。其中，更是指明了安全漏洞包括顯示存在安全漏洞的異常活動。相比之下，《關鍵信息基礎設施安全保護條例（征求意見稿）》第35條規定將漏洞納入“安全威脅信息”范疇，則存在定義使用上縮小化的誤區。在網絡安全信息層面，《網絡安全法》第26條通過列舉方式界定了網絡安全信息的一般范圍，包括系統漏洞、計算機病毒、網絡攻擊、網絡侵入等，將漏洞作為第一位的網絡安全信息，也體現了網絡安全信息承載網絡安全風險的基本功能。

一般來說，漏洞生命周期包括生成、發現、發布、流行、修復、衰敗、消亡利用腳本等7個階段。其中，漏洞發布即為本文所探討的漏洞披露，一旦漏洞發現者揭示了廠商（或者其他主體）的漏洞，則漏洞披露階段隨即產生，漏洞信息可通過將其發布到第三方平臺或黑客之間進行的秘密交易而完全公開。一般認為，漏洞披露是指漏洞信息通過公開渠道告知公眾。國家標準《信息安全技術信息安全漏洞管理規范》（GB/T 30276-2013）將其定義為“在遵循一定的發布策略的前提下，對漏洞及其修復信息進行發布”。《網絡安全法》即采用“發布”一詞直接規定了漏洞披露，其第26條規定，“開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規定”。

2.網絡安全漏洞披露的類型

國內外網絡安全漏洞披露實踐已開展多年，網絡安全漏洞的披露類型一直是安全漏洞披露政策爭議的焦點。在學者研究及行業發展中，網絡安全漏洞披露被概括為不披露、完全披露和負責任披露三種類型。不披露是指漏洞發現者將安全漏洞保密并不進行報告，既不向廠商報告，又不披露給公眾。不披露類型不考慮用戶權益，漏洞極有可能在黑灰市交易，引發漏洞利用的網絡安全危險還有可能引發漏洞利用攻擊。完全披露與不披露正好相反，是指漏洞發現者將安全漏洞披露給不特定的公眾。完全披露不給廠商充分的時間和警告來解決漏洞，將安全漏洞信息直接暴露于潛在的惡意攻擊者，是爭議較大的披露類型。支持方認為它可以迅速及時將缺陷告知用戶，使其在漏洞被利用進行攻擊之前禁用受影響的軟硬件以降低損害，并可以敦促廠商及時承認并修補漏洞。反對方則認為在未與廠商協商的情況下暴露缺陷無疑會增加用戶系統被廣泛開發的風險，因為即使沒有代碼黑客也能夠輕松的開發和編寫漏洞。

負責任披露，也被稱為有限披露，是指漏洞發現者以幫助廠商解決安全漏洞問題為出發點，將安全漏洞報告給廠商。當解決方案完備后，廠商公布漏洞同時將補丁發布給用戶。該類型的漏洞披露更具中立性，細節較為復雜，是前兩種類型的折中和衍生，雖然存在諸多不合理之處，例如在沒有補丁的情況下發布漏洞，仍然會引來類似完全披露導致的安全問題，但這種披露類型兼顧了用戶和廠商的利益，被更多安全研究人員贊同。負責任披露中往往包括了協調者參與的協調程序。協調者是一個中立且獨立的機構，其能夠接收一個或多個廠商的響應，具有解決沖突協調各方利益的能力，是漏洞發現者、公眾、用戶及廠商之間的紐帶。國際上比較有代表性的國家級協調者包括美國應急響應小組（US-CERT）、日本國家計算機應急響應協調中心（JPCERT/CC）、韓國國家網絡安全中心等，我國中國國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平臺（CNVD）、國家計算機網絡入侵防范中心漏洞庫（NCNIPC）等。

近年來，隨著信息共享理念應對風險的有效性逐漸顯現，網絡安全漏洞披露的方式以更易于降低威脅的方式演化，網絡安全漏洞發現與修復之間所需的時間差和平衡各方需求成為網絡安全漏洞披露的基本考量，廠商、政府、安全研究人員等主體之間的漏洞安全信息共享成為漏洞披露的重要內容。業界普遍開始用“協同披露”代替“負責任披露”的說法。協同披露強調漏洞發現者、廠商、協調者和政府機構等利益相關方應共享安全漏洞信息、協同工作，積極協作處置風險，共同保障用戶安全、社會公共利益和國家安全。2015年《中國互聯網協會漏洞信息披露和處置自律公約》也體現協同披露這一理念，其第7條規定，“漏洞平臺、相關廠商、信息系統管理方和國家應急處置協調機構應協同一致做好漏洞信息的接收、處置和發布等環節工作，做好漏洞信息披露和處置風險管理，避免因漏洞信息披露不當和處置不及時而危害到國家安全、社會安全、企業安全和用戶安全”。

安全漏洞協同披露強調用戶安全至上，要求面臨同一風險的利益相關方分享安全信息、協同共治，實現降低整個群體所面臨的網絡安全風險。在高危安全漏洞日益增多，補丁修復耗費時間更長的后信息化時代，以信息共享和維護用戶利益為導向的協同披露成為一些大型跨國廠商推行的解決方案，例如微軟安全研究中心高級研究總監克里斯-貝斯就極力號召協同披露，類似觀點也在2017年5月WannaCry勒索病毒攻擊事件爆發后多次重提。在微軟等跨國廠商的推動下，ISO等國際組織發展了ISO/IEC 29147: Vulnerability disclosure、ISO/IEC 30111: Vulnerability handling processes等若干標準體系，以“最佳實踐”的形式指導廠商構建并實施安全漏洞披露制度。

可以看出，從不披露、完全披露、負責任披露到協同披露，安全漏洞披露類型涉及到的利益相關方側重點各有不同，顯示了漏洞披露過程的復雜性，也表明調動各利益相關方共同治理安全漏洞觀念的逐漸成熟和體系化。總體來說，以上披露類型在國內外目前的披露實踐中均有出現，且往往交織在一起。近年來，雖然在一定程度上更多的協同披露動向正在顯現，但漏洞披露環境在很多方面仍然是割裂的，相關問題依然有待解決。鑒于利益相關方的側重點有所差異，漏洞披露目前仍然沒有統一的標準，但都應以最大限度減少損害的方式進行。

網絡安全漏洞披露規則的域外考察：以美國為例

只要不存在完美的安全軟件，漏洞信息的優化配置對于網絡社會的穩定性仍是重要要素。在網絡安全立法和實踐始終處于領先地位的美國，網絡安全漏洞披露作為整個網絡安全生態系統的關鍵一環，早已引起法律和政策上的廣泛關注。美國涉及安全漏洞信息的直接規定體現在《計算機欺詐與濫用法》、《數字千年版權法》（DMCA）、《愛國者法》、《2002年關鍵基礎設施信息保護法》和《網絡安全信息共享法》（CISA）等法律和《關于提升關鍵基礎設施網絡安全的行政命令》等行政文件中，這些法律文件在未經授權披露的法律責任、強化關鍵基礎設施漏洞安全保護、信息共享和例外情況下披露的責任豁免等方面做了統一規定。對法律框架下的網絡安全漏洞披露規則，美國采取了以政策先行為導向的規范措施，早期政策主要體現在“以負責任披露為核心”的CERT/CC 漏洞披露機制、國家基礎設施委員會（NIAC）披露政策和OIS漏洞披露指引中；隨著網絡安全漏洞的資源性和武器化趨勢成為國際組織和國家政府層面的普遍共識，美國的網絡安全漏洞披露規則正在經歷以協同披露為趨勢的現代變革，主要體現在《網絡安全信息共享法》（CISA）、《商業與政府信息技術和工業控制產品或系統的漏洞裁決政策和程序》（Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process，簡稱“VEP”）、《2017補丁法案》和落實《瓦森納協定》的漏洞出口管控等相關規定中。

1.以負責任披露為核心的傳統漏洞披露政策及實踐

漏洞披露政策與漏洞披露類型密切相關，后者是前者的基礎和鋪墊，實踐中適用最廣的漏洞披露類型是制定漏洞披露政策考慮的主要因素。2015年前，美國行業界廣泛承認和支持的是負責任披露，當時的披露政策也偏重該種類型。美國“以負責任披露為核心”的政策包括美國計算機緊急事件響應小組協調中心（CERT/CC）、國家基礎設施委員會（ NIAC）等政府機構制定的框架，以及由大型互聯網企業組成的網絡安全組織（OIS）主導的指引政策等。

CERT/CC 2000年發布的披露機制屬于負責任披露中較為開放的，偏重于保護用戶的知情權。CERT/CC起到的作用類似于第三方政府機構，負責將漏洞發現者報告的漏洞反饋給廠商，督促其測試、研發補丁，披露期限為收到該漏洞后的45天之后。這里包括一個例外情況，即有證據表明廠商具有積極的補救漏洞的作為，例如改變其系統組件以降低漏洞被利用的風險等，為鼓勵廠商的積極行為可將45天期限延長至90天。該例外情況將廠商的技術限制、社會責任心、安全義務納入考慮范圍，表明了政府機構的中間立場和協調的監管職責，較為科學合理。

NIAC 2004年向總統提交的漏洞披露政策是在調查、研究實踐基礎上，提出的更全面的漏洞披露政策，包括根據危害性進行漏洞評分、鼓勵公私部門信息共享、漏洞修復具有優先級等。該政策將漏洞信息規定為敏感機密的信息，要求對漏洞溝通的所有電子郵件都必須進行加密。若漏洞發現者提交的漏洞信息準確，則廠商應該在7天內響應并禁止其威脅發現者，以切實保護漏洞研究工作者的合法權益和積極性。

OIS 2004年發布的漏洞披露指引政策更側重漏洞報告的響應機制，規定發現者向廠商發送漏洞報告之后，廠商應在7個工作日內進行回復。研究出補丁之后方可向社會發布漏洞，為加快研究速度以維護安全，相關部門30天內可向利益相關方分享漏洞的詳細信息。在整個漏洞修補過程中，若發現者未得到廠商的回復，則可向廠商發送一個收到漏洞的確認請求，廠商若在3天內仍然不予回應，發現者可以尋求第三方協調機構的幫助，協調過程出現沖突還可進一步尋求仲裁，先決條件之一是發現者和廠商均同意且授權范圍統一。

從以上典型的漏洞披露政策分析可知，“以負責任披露為核心”的美國傳統漏洞披露政策以保護用戶知情權為出發點，在明確漏洞披露周期管理的基礎上重視利益相關方的協調，開始鼓勵公私部門信息共享，同時也注重保護漏洞發現者的合法利益和積極性。實踐中廠商也會對善意的漏洞發現者做出一定程度的讓步，即使以犧牲自身經濟利益為代價，也不愿意引起整個安全研究人員群體的排斥，以防止打壓發現者尋求其漏洞、改善其軟硬件安全性的主動性。“惠普起訴SnoSoft 公司研究者”一案即體現了這個思路。2002年，惠普公司起訴一家名為SnoSoft的安全研究機構（現更名為Netragard），認為其涉嫌發現和披露惠普Tru64（惠普的 Unix 操作系統）中的22項漏洞，依據《數字千年版權法》（DMCA），安全研究機構和相關人員可能面臨高達50萬美元的罰款和5年監禁。但惠普員工和其他相關人士都警告惠普公司時任CEO Carly Fiorina，公司如果采取強硬立場可能會打壓漏洞研究，對未來惠普軟件的安全不利，最終惠普公司選擇了撤訴。

此外，“Tornado起訴員工Bret McDanel”一案也反映出對善意漏洞安全研究人員的承認。Tornado是美國一家提供網頁郵件和語音郵件服務的公司，其員工Bret McDanel發現公司電子郵件系統存在嚴重網絡安全漏洞，可導致客戶隱私泄露，McDanel隨即向上級反映，但該漏洞并未得到修復。McDanel離開Tornado公司6個月后得知該漏洞仍未被修復，其便向約5600個客戶發送匿名郵件披露了該漏洞詳情。2002年，美國法院根據解釋《計算機欺詐與濫用法》的相關條款對McDanel定罪，判處16個月監禁。McDanel服刑結束后，美國法院判定此前對他的起訴存在錯誤并撤銷了定罪，原因在于McDanel是在公司拒絕修復漏洞之后選擇告知用戶，其目的是為了確保用戶采取安全措施。

2.以協同披露為趨勢的現代漏洞披露政策及演化

隨著安全漏洞協同披露為更多的組織所支持和倡導，政府機構在制定安全漏洞披露規則時也對其加以吸收，以協同披露為核心的規則成為現行美國政策和立法的新趨勢，2015年美國通過的《網絡安全信息共享法》（CISA）、2016年公開的VEP政策、2017年《補丁法案》體現了這一趨勢。

1. 《網絡安全信息共享法》（CISA）

《網絡安全信息共享法》（CISA）是美國關于網絡安全信息共享的第一部綜合性立法，也是奧巴馬政府最重要的網絡安全綜合性立法成果。該法授權政府機構、企業以及公眾之間可以在法定條件和程序下共享網絡安全信息。CISA將共享的網絡安全信息分為“網絡威脅指標”和“防御措施”兩大類。網絡威脅指標實質即為直接的漏洞威脅和與漏洞相關的其他威脅，防御措施則是針對網絡威脅指標做出的技術和其他措施的回應。總體來說，CISA圍繞“網絡威脅指標”和“防御措施”建立了美國網絡安全信息共享的基本框架。CISA鼓勵私企與美國政府實時共享網絡安全威脅信息，特別規定了私主體共享信息的責任豁免；對于通過合法共享而獲得的網絡威脅指標和防御措施，聯邦政府基于識別網絡安全威脅或者安全漏洞的需要可以披露。

具體而言，如果將披露視為共享的一種特殊方式，那么CISA建立的網絡安全威脅信息共享框架事實上可以延及漏洞披露的規范體系，目標在于確保相關機構具備并保持與信息安全相協調的實時共享網絡安全威脅指標的能力。CISA規定私人實體享有監控和獲取網絡安全威脅信息，當然也包括安全漏洞信息的權利，但除其自身信息系統外，對其他信息系統中網絡安全威脅信息的監控、獲取、使用和共享均以事先授權為基礎，并且該授權需要獲得書面同意。可以認為，CISA建立一套“授權——發現——共享”的網絡安全威脅信息共享的合規路徑，在賦予私人主體發現和共享網絡安全威脅信息權利的同時，將其行為的合法性邊界限制在法律規定和授權基礎的范圍內。根據CISA的規定，向聯邦政府提供網絡安全威脅指標和防御措施必須基于特定的目的，包括維護網絡安全，識別網絡安全威脅或安全漏洞來源，識別外國敵對人員或恐怖分子使用信息系統造成的網絡安全威脅，應對、制止或緩解由恐怖行為或使用大規模殺傷性武器產生的威脅，預防、調查和起訴犯罪等等。

盡管CISA并非專門針對安全漏洞信息披露而設計共享框架，但其相關舉措仍然衍生出一條重要的安全漏洞信息披露原則，即合法披露原則。雖然私人實體被賦予了廣泛的網絡安全威脅信息的發現和共享權利，但這一權利的實現需要滿足兩個必要的前提，即合法目的和行為授權，這對于建立我國安全漏洞信息披露的相關制度具有重要的指導意義。

2. VEP政策

奧巴馬政府時期，美國聯邦調查局、國家安全局等政府機構一方面通過采購、收集等方式進行網絡安全漏洞的攻擊性研究和儲備，另一方面制定和施行VEP政策，評判收集到的漏洞對網絡安全、信息保障、情報、執法、國防和關鍵基礎設施保護的影響，裁決是披露已經獲得或發現的安全漏洞，還是保留安全漏洞用于情報、執法或者其他目的。VEP整體內容在美國現行制度下仍屬于“國家秘密”信息，直至2016年才向公眾公布其中一部分。

依據VEP公開的規定，美國政府實體對于任何來源的網絡安全漏洞信息裁決程序如下：第一，基于漏洞分級，在觸發特定閾值時向國家安全局指定擔任的執行秘書長通報；第二，執行秘書長通知政府相關的利益相關方，指定特定聯絡人，由各方反饋是否啟動裁決程序；第三，提出裁決要求的所有利益相關方指派特定專家參與討論，并向裁決審查委員會（Equities Review Board）提供決策建議；第四，裁決審查委員會做出如何響應漏洞的傾向性決定，如有利益相關方異議，則該機構可向某特定內設機構提出申訴。

VEP規定體現出這一階段美國網絡安全漏洞披露政策的三大特點：第一，網絡安全漏洞的來源十分廣泛。VEP政策下的漏洞來自政府軟硬件、商用軟硬件、工控系統、國家安全系統等任何可能存在網絡安全漏洞的場景，包括開源軟件等；第二，網絡安全信息呈單向線性流動。由于政府在政策制定和執行中的主導作用，任何來源的網絡安全漏洞信息只限于在政府及相關實體中共享和決策，在VEP裁決之前，限制向政府之外的實體披露網絡安全漏洞，政府（包括關鍵基礎設施）的利益保障具有絕對的優先性；第三，國家安全局具有多重身份和相當的自由裁量權。VEP規定，“國家安全局對其認證或批準的或具有密碼功能的設備、系統等中漏洞附有前置性安全審查義務，因此亦應當盡快向其報告，并由其履行適當的VEP程序”，由于密碼應用的普遍性、政府軟硬件認證或批準的強制性、接受報告的優先性，此規定實際上賦予了國家安全局決斷和裁量網絡安全漏洞的絕對壟斷權力。

綜合CISA和VEP政策可以發現，VEP政策賦予了美國國家安全局裁決網絡安全漏洞的絕對權力，供其決斷的安全漏洞來源廣泛且信息共享更多限于政府實體范圍，與CISA所倡導的公私實時共享威脅信息理念存在一定的沖突。2017年5月全球勒索軟件攻擊事件發生后，美國國家安全局因其披露或保留漏洞用于情報收集目的的行為飽受爭議，也引發美國政府對國家安全局主導的VEP政策的審查與反思。

3. 2017年補丁法案

為將VEP政策正式納入立法范疇，進一步規范政府、廠商等披露主體的行為，同時解決CISA法案和VEP政策在安全漏洞信息共享和披露實施方面的銜接問題，2017年5月17日，美國國會提出了一項新法案—《2017反黑客保護能力法案》（Protecting Our Ability to Counter Hacking Act of 2017） ，該法案也被稱為《2017補丁法案》（PATCH Act of 2017）。

總體來說，2017年補丁法案在“是否披露”和“如何披露”兩個核心問題上體現出美國政府對VEP政策的改進。首先，補丁法案改變了漏洞披露裁決的頂層決策機制，實現了從國家安全局到國土安全部主導的過渡。補丁法案規定，由國土安全部長（或其指定人員）擔任的“漏洞裁決審查委員會”主席代替VEP政策中國家安全局指定的執行秘書長，“漏洞裁決審查委員會”主席與聯邦調查局、國家情報總監、中央情報局、國家安全局，以及商務部、國務院、財政部、能源部和聯邦貿易委員會的指定人員等共同組成漏洞裁決審查委員會。這一決策主體的變化用意在于增加透明度，規避公眾對國家安全局的敏感性；其次，補丁法案增加了推定披露程序。法案規定將通過制定標準，指引對推定披露程序的適用，以此彌合常規披露與“黑市披露”之間的時間差。但由于最終由國土安全部長代表聯邦政府實施披露，因此其有效性仍有待觀察和評估；再次，補丁法案加大了向廠商的安全漏洞披露傾向。法案規定，如果漏洞裁決審查委員會決定向特定廠商披露，則應當國土安全部長實施披露。此種情形屬于向特定人的有限披露；最后，補丁法案規定，對于裁決禁止披露、但因任何原因進入公眾領域的網絡安全漏洞，應按照CISA制定的程序實施。

4.《瓦森納協定》

在美國VEP政策制定和實施的同一時期，國際層面正式開始將網絡安全漏洞納入網絡武器范疇管理。2013年12月，41個成員國參與的多邊出口管控體制《關于常規武器和兩用物品及技術出口控制的瓦森納安排》（簡稱《瓦森納協定》）修訂附加條款，將一些特殊的入侵軟件列入其兩用物項清單中。為落實《瓦森納協定》的附加條款，2015年5月20日，美國商務部下屬的工業與安全局（BIS）提出實施規則草案《2013年<瓦森納協議>全會決議的執行：入侵和檢測物項》，草案界定入侵軟件包括“計算機和具有網絡功能的設備使用入侵軟件而識別漏洞的網絡滲透測試產品在內”，擬將入侵軟件納入美國《出口管理條例（EAR）》的管控范圍。如果草案施行，美國企業或個人向境外廠商披露安全漏洞是一種出口行為，需預先申請政府許可，否則將被視為非法，美國廠商舉辦的安全漏洞懸賞計劃也不例外。

《瓦森納協定》和美國BIS的新規說明，網絡安全漏洞的資源性和武器化趨勢已成為國際和國家層面的普遍共識，網絡安全漏洞披露規制的制定上升到與國家安全和政治利益密切相關的高度，VEP政策的秘密施行、2017年補丁法案的提出和改進進一步印證了這一點。

3.美國網絡安全漏洞披露規則的主要特點 

考察美國網絡安全漏洞披露規則的具體設計、實踐情況和演變趨勢，本文認為，可概括出以下特點：

第一，高度重視網絡安全漏洞披露問題，很早在法律和政策中分別對網絡安全漏洞披露問題進行規定，并根據形勢變化不斷做出調整，總體呈現從負責任披露到協同披露變革的趨勢；第二，網絡安全漏洞披露過程中注重充分保護用戶知情權，強調政府機構主導下廠商、安全研究人員、用戶等利益相關方的利益協調；第三，基于刑法和知識產權法對未經授權的漏洞發現和披露行為予以規制，實踐中也注重保護善意漏洞發現和披露者的合法利益和積極性；第四，鼓勵政府機構、企業和公眾在法定條件和程序下實時共享網絡安全信息，授權聯邦政府披露合法共享的安全漏洞信息；第五，將安全漏洞作為網絡空間戰的戰略資源和博弈資本，網絡安全漏洞披露規則的制定上升到與國家安全和政治利益密切相關的高度；第六，構建國家層面統一的網絡安全漏洞披露協調和決策機制，并積極推動從政策到立法的轉變。

我國網絡安全漏洞披露規則體系設計

1.我國網絡安全漏洞披露立法現狀

截至目前，我國現有立法對網絡安全漏洞披露的規定還不完善，相關規定散見在《刑法》《網絡安全法》和《關鍵信息基礎設施安全保護條例（征求意見稿）》等法律法規中。《刑法》第285 條和第286 條規定了未經授權訪問計算機信息系統的刑事責任，2016年某“白帽子” 披露世紀佳緣網站漏洞事件更多體現了《刑法》對“白帽子”未經授權的漏洞發現行為而非披露行為的否定評價，且引起了對行為人善惡意動機的學界爭議。對惡意披露網絡安全漏洞的行為，學界普遍認為，惡意公布、售賣安全漏洞行為因為無限放大了黑客攻擊行為而使其本身具有巨大的社會危害性，此種危害性必將隨著計算機和網絡在社會各個方面使用的更加普遍化和深入化而得到凸顯，在這種形勢下，應當將此類行為加以入罪化處置。

《關鍵信息基礎設施安全保護條例（征求意見稿）》第16條在延續《刑法》第285條和第286條規定的基礎上進一步提出，“任何個人和組織未經授權不得對關鍵信息基礎設施開展滲透性、攻擊性掃描探測”，第35條在《網絡安全法》第26條基礎上細化，規定“面向關鍵信息基礎設施開展安全檢測評估，發布系統漏洞、計算機病毒、網絡攻擊等安全威脅信息，提供云計算、信息技術外包等服務的機構，應當符合有關要求”，同時授權國家網信部門會同國務院有關部門制定相關規定。雖然該條例目前還處于征求意見稿階段，但這兩條規定從關鍵信息基礎設施安全保護層面強化了安全漏洞發現和披露行為的規制，意義十分重大。

2017年6月1日開始施行的《網絡安全法》從網絡空間安全基本保障法高度認識到了網絡安全漏洞披露的重要性，第22條規定了產品和服務提供者對自身漏洞的告知和報告義務，第26條對第三方未經授權發布他人系統漏洞行為進行了初步規定，第51條強調由國家統一發布網絡安全監測預警信息，從產品和服務提供者、第三方和國家三個主體層面規定了我國網絡安全漏洞披露的基本要求，但其具體規則設計有待條文中“國家有關規定”和“規定”等方面的進一步細化和完善。

2.網絡安全披露規則的體系設計構想

網絡安全漏洞披露作為網絡空間治理的關鍵一環，其重要性在于：一方面，網絡安全漏洞的危害性由互聯網的迅速傳播而被放大，不規范或非法披露會損害用戶、企業和公共利益，甚至威脅包括關鍵信息基礎設施安全等在內的國家安全；另一方面，通過對網絡安全漏洞資源的合法披露、報告和利用，能夠及時預警和有效管控網絡安全風險，推動網絡安全相關產業的創新，同時也能為執法活動和提升國家安全反制能力提供重要的技術保障。本文建議，借鑒美國網絡安全漏洞披露規則在內的設計和論證經驗，結合我國執法的實踐和特點，以協同披露為導向，完善我國《網絡安全法》框架下的廠商、第三方漏洞披露平臺和政府機構的職責設置，圍繞安全漏洞披露主體、披露對象、披露程序和披露的責任豁免進行網絡安全漏洞披露規則體系的設計。

1.網絡安全漏洞披露的主體

除了不披露，完全披露、負責任披露和協同披露類型都涉及披露主體。安全漏洞披露主體和漏洞發現者直接相關，漏洞發現者已從早期的廠商擴大到安全研究人員、安全公司、政府、黑客、恐怖組織和“白帽子”等，以上人員均可能在發現安全漏洞后基于不同的動機予以披露。由于網絡安全漏洞披露實踐中主體的廣泛參與和多重角色，因此在構建網絡安全漏洞披露規則時應首先明確合法披露主體。本文認為，安全漏洞合法披露主體包括以下幾類：

（1）廠商。即《網絡安全法》中的產品和服務提供者。廠商對自身的軟硬件負有產品責任和安全保障義務，因此是最初始意義上的安全漏洞發現者和最無爭議的安全漏洞披露主體。《網絡安全法》第22條明確了廠商向用戶和有關主管部門披露安全漏洞的安全義務。

（2）政府機構。政府機構作為合法漏洞披露主體，可包括兩個層次：第一，國家級安全漏洞披露平臺。中國國家信息安全漏洞庫（CNNVD）和國家信息安全漏洞共享平臺（CNVD）承擔國家統一的安全漏洞收集、發布、驗證、分析、通報、修補等工作，是我國國家級漏洞披露主體代表。第二，安全漏洞披露協調和決策機構。《網絡安全法》第51條明確了我國網絡安全監測預警和信息通報的工作機制，網信部門統籌協調有關部門統一發布網絡安全監測預警信息。可考慮依據此條建立我國國家層面統一的跨部門、多機構網絡安全漏洞披露協調與共同決策機制，賦予網信部門類似VEP政策中國家安全局和2017年補丁法案中國土安全部的職責，充分發揮“國家網絡與信息安全信息通報中心”，主導我國網絡安全漏洞披露協調與決策工作。

（3）網絡安全服務機構。我國網絡安全專業服務快速發展，專業機構開展網絡安全產品和服務、網絡運行管理等方面的安全認證、檢測和風險評估業務，在提升網絡安全保障能力方面發揮了重大作用。為進一步發揮網絡安全服務機構的作用，《網絡安全法》將“網絡安全服務機構”納入責任主體范疇，鼓勵企業開展網絡安全認證、檢測和風險評估工作；《關鍵信息基礎設施安全保護條例（征求意見稿）》賦予網絡安全服務機構在關鍵信息基礎設施保護中更多的工作內容，并鼓勵其參與關鍵信息基礎設施網絡安全信息共享。網絡安全服務機構在網絡安全漏洞披露中可以協調廠商、漏洞發現者和政府機構的關系，構建漏洞發現與披露的協議范式，可以依法與政府機構、廠商、研究機構共享網絡安全信息，同時能夠為政府機構的漏洞披露與裁決提供專業的技術支持。近年來補天漏洞響應平臺、漏洞盒子、烏云等第三方漏洞披露平臺在國內興起，但因商業運作模式、安全漏洞披露機制和透明度等問題的存在，第三方漏洞披露平臺目前仍處于法律的灰色地帶。本文認為，第三方漏洞披露平臺應以成為專業的網絡安全服務機構為發展方向，成為符合法律要求的責任主體。

2.網絡安全漏洞披露的對象

網絡安全漏洞披露應當有具體的披露對象，具體包括兩類：第一，網絡安全產品和服務的用戶。用戶是產品和服務的直接使用者，也是安全風險發生后的直接受害者。依據《合同法》《消費者權益保護法》等法律規定，用戶擁有對網絡安全產品和服務的知情權。美國網絡安全披露政策中一直強調保護用戶的合法知情權，協同披露類型中更是強調用戶利益和安全至上。《網絡安全法》也再次明確了用戶是安全漏洞披露的對象，其第22條要求產品和服務提供者按照規定及時用戶漏洞風險，并規定了產品和服務提供者違反告知義務的法律責任。第二，政府機構。《網絡安全法》第22條同時要求產品和服務提供者向有關主管部門報告漏洞。在現行立法框架下，國家網信部門、國務院公安、國家安全、國家保密行政管理、國家密碼管理和國家行業主管或監管部門等均有可能是此條規定的“有關主管部門”。本文認為，政府機構基于第22條獲得的網絡安全漏洞信息，不僅構成《網絡安全法》第51條中監測預警信息的重要組成部分，也可成為我國安全漏洞披露協調和決策機制工作的重要信息來源。

值得一提的是，網絡安全服務機構的平臺模式，既可能是安全漏洞披露的主體，同時也可能成為安全漏洞披露的對象，其在漏洞協同披露的具體設計中起到極其重要的承接功能，一方面通過接收安全漏洞發現者的漏洞信息（自身也兼具漏洞發現功能），另一方面則需要按照《網絡安全法》等規定履行披露的相關義務；圍繞網絡安全服務機構構建漏洞協調披露機制，將成為我國網絡安全漏洞治理的關鍵一環。

3.網絡安全漏洞披露的方式

《網絡安全法》第22條、26條和51條提出了我國安全漏洞規制的四項基本要求，即告知、報告、發布和通報。本文認為，告知、報告、發布和通報構成了我國安全漏洞披露的四種基本方式，可對其規定內涵和具體實施進一步細化。第一，《網絡安全法》第22條規定的“告知”行為對象是用戶，指網絡產品、服務的提供者基于產品、服務的漏洞“缺陷”向用戶承擔的初始義務和追責依據。“告知”行為內容包括說明某個產品或服務存在安全漏洞這一事實、漏洞缺陷可能造成的后果及用戶可以采取的降低風險的措施、補丁修復或者找到其他解決辦法之后的事后信息等。值得注意的是，這里的用戶對象應基于不同利益進行優先性劃分，考量涉及國家秘密、關鍵信息基礎設施等不同對象確定告知的范圍與次序。第二，《網絡安全法》第22條規定的“報告”，明確和完整表述為“向有關主管部門報告”，根據網安法第8條的規定，目前我國形成了網信、工信、公安等部門各司其職并在網信部門統籌協調下開展網絡安全保護和監督管理工作的職責布局，此處的“有關主管部門”也包括網信部門、工信部門和公安部門等。“報告”具有向主管部門提交的自下而上性質，報告的形式和內容上應包括對漏洞發現（含檢測驗證）的報告、漏洞網絡安全風險的監測評估報告、漏洞引發的網絡安全事件的處置/應急報告等。同樣，應充分考慮與平衡向主管部門報告、向用戶告知以及向社會發布三者的范圍與次序。第三，《網絡安全法》第26條規定的“發布”，具有向社會不特定人公開的特性。此概念對應于傳統漏洞披露的“完全披露”類型，向社會發布會引發不可逆的各種可能，一旦發布，將對“告知”與“報告”產生直接影響。因此，《網絡安全法》要求無論網絡產品、服務提供者，或網絡安全服務機構“向社會發布”，均“應當遵守國家有關規定”，強調對前置程序的規范審核。第四，《網絡安全法》第51條規定的“通報”，具有網絡安全信息共享的特性。其啟動主體、指向對象都會因共享要素考慮的充分性、完備性與否而具有不同體現。

4.網絡安全漏洞披露的責任豁免規定

網絡安全漏洞披露規則的設計應充分考慮漏洞發現者、用戶、廠商、政府機構等相關主體的利益平衡，并以保障用戶合法權益、社會公共安全、關鍵信息基礎設施安全乃至國家安全為最終目的。總結美國CISA的規定可以看出，合法披露是安全漏洞披露的首要原則，其必要前提是目的合法和行為授權。我國安全漏洞披露同樣應該限定在目的合法和行為授權的框架內。安全漏洞披露的責任豁免是指在形式上符合漏洞披露禁止規定的行為，由于符合免除責任的規定而從安全漏洞披露規定的適用中排除，以豁免的形式授予相關主體和行為的合法性。安全漏洞責任豁免規定具有維護網絡安全、推動網絡安全產業的創新、實現多方利益平衡的重要價值。安全漏洞披露的責任豁免主要包括兩種情形：一是對披露主體的安全研究人員（如“白帽子”等）善意披露安全漏洞行為給予的責任免除規定。美國“惠普起訴SnoSoft 公司研究者”和“Tornado起訴員工Bret McDanel”案均表明，無論是廠商還是法院都開始注重安全研究人員的善意動機，即使廠商出于自身發展利益考慮，也無法否認安全研究人員對網絡安全的正面影響。二是針對特定行為，視為授權或授權追認的責任免除規定。如美國國防部2016年11月發布的《安全漏洞披露政策》明確規定，“安全研究以及漏洞發現行為充分符合政策中的限制與指導規定，國防部不會發起或者支持任何指向的執法及民事訴訟活動，且如果除國防部之外的某方進行執法或者民事訴訟，國防部方面將采取措施以證明行為擁有依據且并不與政策相違背”。

以第一種豁免情形為例，《網絡安全法》中未直接明確安全漏洞善意披露行為的責任豁免規定。本文認為，我國現階段的安全漏洞披露立法仍處于探索階段，如安全漏洞披露豁免缺乏針對性，將導致法律適用時的不明確，造成豁免規定濫用，產生與不規范披露或非法披露同樣的安全風險，因此安全漏洞披露豁免規定應該審慎論證和制定，在立法和技術時機成熟時，可以考慮通過《網絡安全法》配套制度設定安全研究人員（如“白帽子”等）安全漏洞善意披露的責任豁免規定。在具體確定豁免條件時，必須基于技術可控的整體判斷，合理限制善意披露的界限，避免矯枉過正擴大適用范圍，如至少應綜合考慮安全研究人員的背景、所披露漏洞的危害級別、給廠商和用戶帶來的實際負面影響等因素。

結 語

“網絡的絕對安全不具有技術上的可能性，網絡安全的破壞者與維護者之間注定是一個長期博弈的過程”。網絡安全漏洞披露之上集結了政府部門、產品和服務提供者、第三方研究機構、網絡安全服務機構、用戶、黑客或“白帽子”等多方利益相關者及其協調關系，所有利益相關者均應肩負起應有的法律責任，共同推動網絡社會的有序運行。

我國現行立法已提出網絡安全漏洞合法披露的基本要求，但仍然缺乏對于規則實現的具體設計，無法為安全漏洞披露行為提供明確指引。美國很早開始從法律和政策層面構建網絡安全漏洞披露規制，并根據情形不斷調整，呈現從負責任披露到協同披露變革的趨勢，現階段網絡安全漏洞披露規則的制定更是上升到與國家安全和政治利益密切相關的高度。本文建議，借鑒美國網絡安全漏洞披露規則設計及其實踐經驗，以協同披露為導向，完善我國《網絡安全法》框架下的產品和服務提供者、第三方漏洞披露平臺和政府機構的職責設置，圍繞安全漏洞披露主體、披露對象、披露方式和披露的責任豁免規定進行網絡安全漏洞披露規則體系的論證與設計。

本文原發于《暨南學報（哲學社會科學版）》2018年1月，總第228期。為編輯需要，隱去腳注及參考文獻。