[[413749]]

一、背景

2021年7月13日，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部共同發(fā)布了《網(wǎng)絡(luò)安全法》的重要配套規(guī)范——《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，并且將在9月1日伴隨《數(shù)據(jù)安全法》一同生效，堪稱開學(xué)大禮包。

網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)產(chǎn)品和服務(wù)在生命周期中無意或有意產(chǎn)生的，有可能被利用的缺陷或薄弱點(diǎn)。網(wǎng)絡(luò)安全漏洞是大量網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)違法犯罪活動(dòng)發(fā)生的罪魁禍?zhǔn)?，具有防不勝防的特點(diǎn)。即使是再嚴(yán)格的測(cè)試也無法根除網(wǎng)絡(luò)安全漏洞。因此，建立行之有效的網(wǎng)絡(luò)安全漏洞管理機(jī)制成為面對(duì)潛在網(wǎng)絡(luò)安全漏洞的最佳策略。

二、法律義務(wù)落地

《網(wǎng)絡(luò)安全法》是我國(guó)網(wǎng)絡(luò)空間領(lǐng)域的基本法律，要求相關(guān)機(jī)構(gòu)或個(gè)人在處置網(wǎng)絡(luò)安全漏洞時(shí)：

• 發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告……網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)(第22條);
• 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)(第25條);
• 開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定(第26條)

除了網(wǎng)絡(luò)《網(wǎng)絡(luò)安全法》，在《數(shù)據(jù)安全法》中對(duì)安全漏洞的管控也是法律義務(wù)之一：

開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施(第29條)。

早在2019年6月，工信部就曾發(fā)布了《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》，此次規(guī)定正式頒布，為我國(guó)的網(wǎng)絡(luò)安全與數(shù)據(jù)安全法律體系補(bǔ)上了一塊重要的拼圖。此外，在去年年底國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了修改后的《信息安全技術(shù) 信息安全漏洞管理規(guī)范》(GB/T 30276-2020)。后續(xù)，有關(guān)部門可能會(huì)發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》等同樣涉及網(wǎng)絡(luò)安全漏洞的相關(guān)制度。

工信部在2019年9月印發(fā)了《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》，并建立了網(wǎng)絡(luò)安全威脅信息共享平臺(tái)(https://www.cstis.cn/)，負(fù)責(zé)統(tǒng)一匯集、存儲(chǔ)、分析、通報(bào)、發(fā)布網(wǎng)絡(luò)安全威脅信息，平臺(tái)還有會(huì)通知存在漏洞、后門的網(wǎng)絡(luò)服務(wù)和產(chǎn)品的提供者，要求采取整改措施，消除安全隱患。

公安部2018年制定的《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》中也明確國(guó)家重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)期間專項(xiàng)安全監(jiān)督檢查的項(xiàng)目包括：企業(yè)是否組織開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，并采取相應(yīng)風(fēng)險(xiǎn)管控措施堵塞網(wǎng)絡(luò)安全漏洞隱患。《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》還規(guī)定公安機(jī)關(guān)對(duì)機(jī)構(gòu)是否存在網(wǎng)絡(luò)安全漏洞，可以開展遠(yuǎn)程檢測(cè)。

三、企業(yè)的合規(guī)項(xiàng)目

此次發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求所有機(jī)構(gòu)擴(kuò)充自己的合規(guī)清單。

四、白帽子的“緊箍咒”

網(wǎng)絡(luò)安全漏洞本身也是“燙手的山芋”。一方面，漏洞處理機(jī)制離不開漏洞發(fā)現(xiàn)者(“白帽子”)的配合，很多企業(yè)與漏洞信息共享平臺(tái)往往還會(huì)給予漏洞發(fā)現(xiàn)者獎(jiǎng)勵(lì)，以鼓勵(lì)漏洞發(fā)現(xiàn)者參與網(wǎng)絡(luò)安全工作。

但另一方面，網(wǎng)絡(luò)安全漏洞的發(fā)掘與報(bào)送都存在較高的法律風(fēng)險(xiǎn)，漏洞發(fā)現(xiàn)者稍有不慎就會(huì)觸及法律的“紅線”——《刑法》第285條非法侵入計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪?！缎谭ā分猩形淳途W(wǎng)絡(luò)安全漏洞測(cè)試進(jìn)行任何例外的規(guī)定，這直接導(dǎo)致與漏洞報(bào)送有關(guān)的案件逐一出現(xiàn)：

• 2019年7月，某政府網(wǎng)站管理員向網(wǎng)安支隊(duì)報(bào)警，該政府網(wǎng)絡(luò)內(nèi)局長(zhǎng)信箱模塊有網(wǎng)民多次發(fā)送非正常留言，后模塊運(yùn)行不正常，疑遭黑客攻擊。警方調(diào)查后發(fā)現(xiàn)，犯罪嫌疑人利用休息時(shí)間，在未授權(quán)的情況下，對(duì)銀川市的某政府網(wǎng)站進(jìn)行滲透測(cè)試，他的目的為了找出網(wǎng)站漏洞并生成漏洞報(bào)告，然后上傳國(guó)家信息安全漏洞共享平臺(tái)(“CNVD”)，由CNVD下發(fā)各網(wǎng)站進(jìn)行修補(bǔ)。
• 2019年5月21日，揭陽(yáng)網(wǎng)警工作發(fā)現(xiàn)違法嫌疑人蘇某有涉嫌非法侵入計(jì)算機(jī)系統(tǒng)的行為。經(jīng)深入調(diào)查發(fā)現(xiàn)，違法嫌疑人蘇某于2019年5月13日，利用“御X”軟件等對(duì)南方網(wǎng)等網(wǎng)站進(jìn)行漏洞掃描，后用弱口令測(cè)試北京中醫(yī)院網(wǎng)站的后臺(tái)并成功登錄，在未經(jīng)授權(quán)的情況下擅自修改管理員賬號(hào)密碼，同時(shí)將該網(wǎng)站的漏洞提交給“漏洞盒子”網(wǎng)站。據(jù)其本人交代，其違法行為只是為了獲取相應(yīng)積分，有利于其以后找工作。
• 2016年，袁某檢測(cè)并提交世紀(jì)佳緣漏洞的事件曾引起廣泛關(guān)注。世紀(jì)佳緣出于保護(hù)用戶隱私安全考慮，報(bào)警抓人。

網(wǎng)絡(luò)安全漏洞本身是危險(xiǎn)品，就像與其他危險(xiǎn)品打交道一樣，操作員需要按照規(guī)范處理的流程，保護(hù)好自身安全。

此外，此次發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第9條為安全漏洞收集平臺(tái)與“白帽子”群體戴上了諸多“緊箍咒”，也讓漏洞發(fā)布行為的邊界更為清晰：

根據(jù)以上規(guī)則，漏洞的發(fā)布將會(huì)被嚴(yán)格限制。尤其是在網(wǎng)絡(luò)安全漏洞可以被視為一種“戰(zhàn)略資產(chǎn)”的背景下，未公開的安全漏洞不得向境外組織和個(gè)人提供，避免用于威脅我國(guó)的網(wǎng)絡(luò)安全。

在罰則方面，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》為違法漏洞平臺(tái)與“白帽子”們準(zhǔn)備了責(zé)令改正、警告、機(jī)構(gòu)最高10萬元罰款、責(zé)任個(gè)人最高5萬元罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等一系列處罰手段。

五、企業(yè)如何開展網(wǎng)絡(luò)安全漏洞合規(guī)

根據(jù)我們?yōu)橄嚓P(guān)客戶處置網(wǎng)絡(luò)安全漏洞與搭建網(wǎng)絡(luò)安全漏洞合規(guī)機(jī)制的服務(wù)經(jīng)驗(yàn)，我們建議企業(yè)：

• 構(gòu)建有效的網(wǎng)絡(luò)安全漏洞響應(yīng)機(jī)制，如設(shè)立安全運(yùn)營(yíng)中心，或在網(wǎng)站、App設(shè)立專門頁(yè)面接收漏洞報(bào)告。
• 如果技術(shù)能力相對(duì)有限，可以與安全廠商合作建立企業(yè)的安全運(yùn)營(yíng)中心。
• 信息安全部門、IT部門、法務(wù)部門等利益相關(guān)方應(yīng)當(dāng)共同制定漏洞規(guī)則，圍繞接收、響應(yīng)、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報(bào)送的格式，以及是否有獎(jiǎng)勵(lì)措施。在此基礎(chǔ)上，確保安全漏洞的接收日志留存期限不少于6個(gè)月。
• 在準(zhǔn)備相關(guān)流程的準(zhǔn)備、文本的起草可以參考國(guó)家推薦標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全漏洞管理規(guī)范》(GB/T 30276-2020)。
• 根據(jù)自身的角色，如是否屬于網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)、網(wǎng)絡(luò)產(chǎn)品提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者，全面梳理自己角色對(duì)應(yīng)的網(wǎng)絡(luò)安全漏洞合規(guī)義務(wù)。
• 在網(wǎng)絡(luò)產(chǎn)品、服務(wù)采購(gòu)的合同中，應(yīng)設(shè)置條款對(duì)網(wǎng)絡(luò)安全漏洞的處置責(zé)任、披露義務(wù)、免責(zé)情形、過錯(cuò)承擔(dān)等內(nèi)容進(jìn)行明確約定。
• 如果從事網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)業(yè)務(wù)，應(yīng)當(dāng)盡快完成工信部備案，完成等級(jí)保護(hù)，并且加強(qiáng)內(nèi)部管理，采取措施防范網(wǎng)絡(luò)產(chǎn)品安全漏洞信息泄露和違規(guī)發(fā)布。

對(duì)于“白帽子”群體，我們建議嚴(yán)格按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》為自己的行為邊界劃出紅線，更充分地利用自己的網(wǎng)絡(luò)安全技能，避免因?yàn)椴恢?、不守法讓自己陷入違法甚至犯罪的窘境。