【摘要】網(wǎng)絡(luò)安全漏洞挖掘是網(wǎng)絡(luò)安全治理的中心議題,其存在對(duì)于維護(hù)網(wǎng)絡(luò)安全非常有必要。由于網(wǎng)絡(luò)安全漏洞挖掘是一個(gè)復(fù)雜、動(dòng)態(tài)的問(wèn)題,對(duì)其進(jìn)行法律規(guī)制不能單憑一部法律,應(yīng)以《網(wǎng)絡(luò)安全法》為核心,構(gòu)建多元化的法律法規(guī)體系,約束網(wǎng)絡(luò)安全漏洞挖掘行為,讓其既能為網(wǎng)絡(luò)安全服務(wù),又能不觸碰法律紅線(xiàn)。
【關(guān)鍵詞】網(wǎng)絡(luò)安全 漏洞挖掘 法律規(guī)制 【中圖分類(lèi)號(hào)】D92 【文獻(xiàn)標(biāo)識(shí)碼】A
《網(wǎng)絡(luò)安全法》被視為規(guī)范網(wǎng)絡(luò)安全漏洞挖掘最全面、最具體的法律,一方面給予網(wǎng)絡(luò)安全漏洞挖掘合法性的肯定,另一方面又通過(guò)諸多條款來(lái)限制網(wǎng)絡(luò)安全漏洞挖掘工作,符合現(xiàn)代法治文明和客觀實(shí)際的雙重需求。鑒于《網(wǎng)絡(luò)安全法》剛剛實(shí)施,其實(shí)踐效果尚未取得驗(yàn)證;同時(shí),網(wǎng)絡(luò)安全漏洞挖掘是一項(xiàng)復(fù)雜、動(dòng)態(tài)的問(wèn)題,對(duì)其進(jìn)行法律規(guī)制不能單憑一部法律,所以筆者試圖從《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《個(gè)人信息保護(hù)法》《電子商務(wù)法》《網(wǎng)絡(luò)社會(huì)管理法》等相關(guān)法律出發(fā),探討網(wǎng)絡(luò)安全漏洞挖掘的規(guī)制,讓該項(xiàng)工作能夠在法律框架下順利開(kāi)展。
將《網(wǎng)絡(luò)安全法》作為規(guī)制網(wǎng)絡(luò)安全漏洞挖掘的核心法律
《網(wǎng)絡(luò)安全法》于2016年11月頒布,2017年6月正式開(kāi)始實(shí)施,被認(rèn)為是我國(guó)維護(hù)網(wǎng)絡(luò)安全方面最全面、最重要的法律文件,其針對(duì)網(wǎng)絡(luò)安全運(yùn)行、信息基礎(chǔ)設(shè)施安全運(yùn)行、信息安全、監(jiān)測(cè)與預(yù)警等各個(gè)方面都予以規(guī)定,其中對(duì)挖掘網(wǎng)絡(luò)安全漏洞的行為也有專(zhuān)門(mén)規(guī)定。
《網(wǎng)絡(luò)安全法》第4條、18條、21條以及51條都針對(duì)網(wǎng)絡(luò)安全漏洞問(wèn)題進(jìn)行明確規(guī)定,要求網(wǎng)絡(luò)服務(wù)商對(duì)自身產(chǎn)品存在的漏洞具有告知和補(bǔ)救責(zé)任,對(duì)自身存在的安全漏洞負(fù)有保護(hù)義務(wù),如未能盡到相應(yīng)義務(wù)應(yīng)該承擔(dān)責(zé)任。《網(wǎng)絡(luò)安全法》認(rèn)定個(gè)人和機(jī)構(gòu)隨意發(fā)布網(wǎng)絡(luò)安全漏洞會(huì)對(duì)社會(huì)和網(wǎng)絡(luò)安全造成巨大影響,并針對(duì)這種發(fā)布行為進(jìn)行嚴(yán)格規(guī)范。同時(shí),要求官方開(kāi)展網(wǎng)絡(luò)安全認(rèn)定、風(fēng)險(xiǎn)評(píng)估等活動(dòng)時(shí),應(yīng)遵守國(guó)家相關(guān)法律規(guī)定。顯然,國(guó)家有關(guān)部門(mén)已經(jīng)意識(shí)到網(wǎng)絡(luò)安全漏洞對(duì)社會(huì)和網(wǎng)絡(luò)安全造成的巨大影響,并試圖借助法律規(guī)范來(lái)約束挖掘網(wǎng)絡(luò)安全漏洞的行為,要求行為人在對(duì)外公布網(wǎng)絡(luò)安全漏洞時(shí)應(yīng)該規(guī)范化,并遵守相關(guān)法律法規(guī)。
《網(wǎng)絡(luò)安全法》出臺(tái)的目的就是打造我國(guó)網(wǎng)絡(luò)安全管理最全面、最具體的法律法規(guī),應(yīng)將《網(wǎng)絡(luò)安全法》作為規(guī)制網(wǎng)絡(luò)安全漏洞挖掘的核心法律。需要指出的是,《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)安全漏洞的規(guī)定和處罰,還沒(méi)有特別具體的規(guī)定。比如,關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞管控、網(wǎng)絡(luò)安全漏洞挖掘的披露及出口行為等,都缺乏具體的認(rèn)定。未來(lái)修改完善《網(wǎng)絡(luò)安全法》時(shí),應(yīng)給予社會(huì)公眾和行為人更加明確的指引。
完善《互聯(lián)網(wǎng)信息服務(wù)管理辦法》 ,防止網(wǎng)絡(luò)安全漏洞信息傳遞
《互聯(lián)網(wǎng)信息服務(wù)管理辦法》早在2000年已經(jīng)頒布并正式實(shí)施,核心內(nèi)容就是管理網(wǎng)絡(luò)中的信息傳播,避免出現(xiàn)網(wǎng)絡(luò)謠言、網(wǎng)絡(luò)誹謗以及相關(guān)的犯罪信息,幫助社會(huì)公眾屏蔽這些非法信息,凈化網(wǎng)絡(luò)環(huán)境。
在現(xiàn)代網(wǎng)絡(luò)安全漏洞挖掘的過(guò)程中,時(shí)常會(huì)出現(xiàn)一些非真正網(wǎng)絡(luò)安全漏洞的問(wèn)題,其產(chǎn)生主要是由于一些個(gè)人和機(jī)構(gòu)惡意誹謗和誣陷。他們宣稱(chēng)網(wǎng)絡(luò)服務(wù)商提供的網(wǎng)絡(luò)服務(wù)存在安全漏洞,通過(guò)這種方式來(lái)敲詐網(wǎng)絡(luò)服務(wù)商。他們雖然沒(méi)有在技術(shù)層面上真正挖掘網(wǎng)絡(luò)安全漏洞,但已經(jīng)借助網(wǎng)絡(luò)安全漏洞實(shí)施了不法行為,給社會(huì)造成一定的負(fù)面影響。除此之外,個(gè)人和機(jī)構(gòu)在挖掘網(wǎng)絡(luò)安全漏洞之時(shí),也會(huì)通過(guò)信息傳遞的方式將網(wǎng)絡(luò)安全漏洞散播給社會(huì)大眾,給服務(wù)商和社會(huì)公眾造成巨大影響,并且容易出現(xiàn)一些與事實(shí)不符的虛假信息。
《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的重要意義,就是防止這些涉及網(wǎng)絡(luò)安全漏洞的信息傳遞給社會(huì)公眾而造成恐慌。無(wú)論是否屬于真實(shí)的網(wǎng)絡(luò)安全漏洞信息都應(yīng)該在信息傳播中予以限制,筆者認(rèn)為《互聯(lián)網(wǎng)信息服務(wù)管理辦法》應(yīng)增設(shè)關(guān)于網(wǎng)絡(luò)安全漏洞信息傳遞的具體化規(guī)定,并明確傳播網(wǎng)絡(luò)安全漏洞信息需要承擔(dān)的責(zé)任,以此來(lái)規(guī)范網(wǎng)絡(luò)安全漏洞信息傳播,減少社會(huì)公眾對(duì)網(wǎng)絡(luò)安全漏洞的恐慌。
出臺(tái)《個(gè)人信息保護(hù)法》 ,切割網(wǎng)絡(luò)安全漏洞對(duì)個(gè)人影響
《個(gè)人信息保護(hù)法》尚處于制定之中,其將成為個(gè)人信息保護(hù)的最重要的法律依據(jù)。在挖掘網(wǎng)絡(luò)安全漏洞的行為中也存在對(duì)個(gè)人信息的披露和侵犯,針對(duì)這種侵犯?jìng)€(gè)人信息的行為應(yīng)該予以禁止,并對(duì)泄露個(gè)人信息的人員和單位予以懲處。
在利益的驅(qū)動(dòng)下,個(gè)人信息經(jīng)常被非法收集、買(mǎi)賣(mài)和濫用,給社會(huì)公眾的日常生活及經(jīng)濟(jì)安全造成巨大影響。面對(duì)此問(wèn)題,《個(gè)人信息保護(hù)法》正在制定之中,其結(jié)合了《憲法》《刑法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《居民身份證法》等多部法律法規(guī),構(gòu)建出保護(hù)社會(huì)公眾個(gè)人信息的全面法律規(guī)范。個(gè)人信息泄露的危害十分巨大,比如2015年2月,全國(guó)多家酒店由于網(wǎng)絡(luò)安全漏洞造成房客信息泄露,其中部分信息就是由挖掘網(wǎng)絡(luò)安全漏洞的相關(guān)人員泄露出來(lái)的,給社會(huì)公眾造成極大的負(fù)面影響,并且形成了社會(huì)恐慌。一旦《個(gè)人信息保護(hù)法》制定完畢后,就可以針對(duì)挖掘網(wǎng)絡(luò)安全漏洞中泄露個(gè)人信息行為進(jìn)行打擊,及時(shí)制止侵犯?jìng)€(gè)人信息的行為,對(duì)社會(huì)公眾的個(gè)人信息進(jìn)行更好保護(hù)。
出臺(tái)《電子商務(wù)法》 ,防止網(wǎng)絡(luò)安全漏洞挖掘形成商業(yè)化模式
正在制定的《電子商務(wù)法》主要處理正常的電子商務(wù)貿(mào)易關(guān)系,針對(duì)網(wǎng)絡(luò)安全漏洞挖掘行為約束較少,尚未意識(shí)到挖掘網(wǎng)絡(luò)安全漏洞已經(jīng)朝著商業(yè)化的模式邁進(jìn)。
早期的網(wǎng)絡(luò)安全漏洞挖掘主要由個(gè)人完成,其目的是挖掘者展示自我能力,但隨著網(wǎng)絡(luò)普及程度提升,挖掘網(wǎng)絡(luò)安全漏洞的現(xiàn)象逐漸增多,以挖掘網(wǎng)絡(luò)安全漏洞逐利的現(xiàn)象明顯增多,并形成一種灰色的商業(yè)鏈條,給社會(huì)公眾和經(jīng)濟(jì)發(fā)展都帶來(lái)不利的影響。面對(duì)圍繞挖掘網(wǎng)絡(luò)安全漏洞的產(chǎn)業(yè)鏈條,《電子商務(wù)法》應(yīng)該增設(shè)相關(guān)法律條款,用來(lái)限制挖掘網(wǎng)絡(luò)安全漏洞的商業(yè)行為。
在制定《電子商務(wù)法》的過(guò)程中,應(yīng)該針對(duì)挖掘網(wǎng)絡(luò)安全漏洞的商業(yè)行為進(jìn)行有效識(shí)別,防止不法分子或機(jī)構(gòu)通過(guò)挖掘網(wǎng)絡(luò)安全漏洞對(duì)網(wǎng)絡(luò)服務(wù)商進(jìn)行敲詐和威脅;應(yīng)該禁止以經(jīng)濟(jì)利益為目的而進(jìn)行網(wǎng)絡(luò)安全漏洞挖掘工作,并針對(duì)以公益性為目的的挖掘網(wǎng)絡(luò)安全漏洞商業(yè)組織進(jìn)行監(jiān)督和管理;堅(jiān)決打擊將挖掘網(wǎng)絡(luò)安全漏洞行為與商業(yè)利益掛鉤,特別要防止挖掘網(wǎng)絡(luò)安全漏洞的行為逐漸形成一種商業(yè)模式。
建議制定《網(wǎng)絡(luò)社會(huì)管理法》 ,維護(hù)網(wǎng)絡(luò)安全漏洞挖掘者合法權(quán)益
目前我國(guó)尚未制定《網(wǎng)絡(luò)社會(huì)管理法》,但迫于網(wǎng)絡(luò)安全漏洞挖掘的現(xiàn)狀,我們應(yīng)該盡早制定?!毒W(wǎng)絡(luò)社會(huì)管理法》的目的主要是對(duì)從事網(wǎng)絡(luò)安全漏洞挖掘者的合法權(quán)益進(jìn)行保護(hù)。
法學(xué)界的主流觀點(diǎn)雖然傾向于否定網(wǎng)絡(luò)安全漏洞挖掘工作,但客觀上看,網(wǎng)絡(luò)安全漏洞挖掘工作是一種必要性的工作,只不過(guò)這種工作應(yīng)該在法律允許的范圍內(nèi)進(jìn)行,應(yīng)該不以經(jīng)濟(jì)利益、商業(yè)利益為目的而開(kāi)展。在網(wǎng)絡(luò)社會(huì)中,任何網(wǎng)絡(luò)服務(wù)商在提供網(wǎng)絡(luò)服務(wù)中都可能存在安全漏洞,這些漏洞一旦被不法分子掌控,極容易給網(wǎng)絡(luò)服務(wù)商和消費(fèi)者造成較大損失。此時(shí)需要借助相應(yīng)的網(wǎng)絡(luò)安全漏洞挖掘機(jī)構(gòu),對(duì)網(wǎng)絡(luò)服務(wù)安全進(jìn)行測(cè)試,及時(shí)了解網(wǎng)絡(luò)服務(wù)安全情況。網(wǎng)絡(luò)安全漏洞挖掘機(jī)構(gòu)一旦發(fā)現(xiàn)安全漏洞,應(yīng)該及時(shí)通知服務(wù)商,并盡可能提出修補(bǔ)方案,以此來(lái)維護(hù)網(wǎng)絡(luò)服務(wù)的安全性。
規(guī)范網(wǎng)絡(luò)安全漏洞挖掘行為要以目的為考量,只要網(wǎng)絡(luò)安全漏洞挖掘機(jī)構(gòu)出于維護(hù)網(wǎng)絡(luò)安全的目的,挖掘出網(wǎng)絡(luò)安全漏洞并及時(shí)進(jìn)行告知,該種行為就應(yīng)該予以鼓勵(lì),并予以保護(hù)。構(gòu)建《網(wǎng)絡(luò)社會(huì)管理法》就是要規(guī)范網(wǎng)絡(luò)安全漏洞挖掘行為,保障從事相關(guān)工作的個(gè)人和機(jī)構(gòu)能夠享有合法權(quán)益,避免其遭受非法侵犯。
(作者為河南財(cái)經(jīng)政法大學(xué)民商經(jīng)濟(jì)法學(xué)院講師)
【參考文獻(xiàn)】
①趙精武:《網(wǎng)絡(luò)安全漏洞挖掘的法律規(guī)制研究》,《暨南學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》,2017年第6期。
②黃道麗、馬民虎:《安全漏洞發(fā)現(xiàn)的合法性邊界:授權(quán)模式下的行為要素框架》,《西安交通大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2017年第2期。
責(zé)編/溫祖俊 美編/楊玲玲
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán),轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來(lái)源及作者,否則追究法律責(zé)任。