網(wǎng)絡(luò)安全漏洞法律問(wèn)題研究

張 衠

網(wǎng)絡(luò)安全漏洞法律問(wèn)題研究

張 衠

2014年，隨著“心臟出血”、“破殼”等涉及全球數(shù)億設(shè)備安全漏洞的曝光，網(wǎng)絡(luò)安全漏洞問(wèn)題再次成為網(wǎng)絡(luò)安全焦點(diǎn)問(wèn)題。一方面，圍繞安全漏洞形成了一個(gè)有高度組織性的龐大黑客市場(chǎng)，對(duì)全球范圍內(nèi)的政府、企業(yè)和個(gè)人的網(wǎng)絡(luò)安全造成巨大的威脅；另一方面，CERT/CNCERT等機(jī)構(gòu)建立了國(guó)家級(jí)的信息安全漏洞共享平臺(tái)，谷歌“零計(jì)劃”、惠普DVLabs“零日計(jì)劃”等由企業(yè)自主發(fā)起的漏洞挖掘激勵(lì)計(jì)劃，以及烏云網(wǎng)之類(lèi)民間漏洞披露平臺(tái)成為推動(dòng)漏洞修復(fù)，維護(hù)網(wǎng)絡(luò)安全的重要力量。此外，在全球網(wǎng)絡(luò)安全與國(guó)家安全高度融合、產(chǎn)業(yè)競(jìng)爭(zhēng)日趨激烈的背景下，網(wǎng)絡(luò)安全漏洞作為重要的資源也成了國(guó)家間安全競(jìng)爭(zhēng)、企業(yè)間商業(yè)競(jìng)爭(zhēng)的重要手段。從管理制度層面看，漏洞挖掘和披露行為的法律性質(zhì)目前尚不明確，存在大量的灰色地帶。因此，研究網(wǎng)絡(luò)安全漏洞的法律規(guī)制，對(duì)于打擊網(wǎng)絡(luò)犯罪，切斷網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，引導(dǎo)黑客人才脫離非法市場(chǎng)并進(jìn)入白帽人才市場(chǎng)，保障政府、企業(yè)和個(gè)人的網(wǎng)絡(luò)安全有著重要意義。

一、網(wǎng)絡(luò)安全漏洞的存在具有必然性和普遍性

漏洞也稱(chēng)脆弱性，是網(wǎng)絡(luò)信息系統(tǒng)中必然存在的弱點(diǎn)和瑕疵。國(guó)際標(biāo)準(zhǔn)化組織（ISO）在ISO27005《信息技術(shù)－安全技術(shù)－信息安全風(fēng)險(xiǎn)管理》中將漏洞定義為，包括支持組織使命達(dá)成的信息資源在內(nèi)的、有利于組織、業(yè)務(wù)操作和連續(xù)性的一個(gè)或一組資產(chǎn)具有的能被一個(gè)或多個(gè)威脅利用的弱點(diǎn)；……