民法視角下的網絡安全治理法律框架建設

虞潯 馬寅宵

〔摘要〕 大數據時代，我國網絡安全漏洞治理的重要性更加凸顯，與社會各方面的關系也更加密切。目前，相關法律還沒有明確界定“眾測平臺”“白帽子”等概念，也缺少對漏洞測試行為的規范指引和監督制約。實踐中，應在法律框架下對“眾測平臺”“白帽子”概念進行界定，將善意因素作為主要評價對象;對“眾測平臺”“白帽子”在法律意義上的權利義務加以明確并進行限定，確立受償機制與披露機制;建立“眾測平臺”及“白帽子”的有效運行機制和綜合監管機制，以維護網絡安全和相關民眾的合法權益。

〔關鍵詞〕 漏洞治理;“白帽子”;“眾測平臺”;受償權;披露權

〔中圖分類號〕D923 ? 〔文獻標識碼〕A 〔文章編號〕1009-1203（2019）05-0084-04

《網絡安全法》自2017年6月開始施行，它標志著我國對網絡安全領域治理的正式立法。早在此之前，民間自發形成的網絡安全漏洞治理產業就已逐步成型。網絡安全漏洞的治理包括如下內容：通過計算機技術對漏洞的挖掘與測試、組織技術人員針對特定系統的測試、以眾包眾測的方式組建第三方平臺、對已確認的漏洞進行披露，以及對漏洞解決進度進行社會反饋等，其中，漏洞眾測是核心部分。漏洞眾測一般有以下三個步驟：首先，“眾測平臺”獲得產品測試授權，在網站上標明測試目標和獎賞，允許在平臺注冊的“白帽子”（互聯網語中的“白帽子”一詞是指道德計算機黑客或計算機安全專家，專門從事滲透測試和運用其他測試方法，以確保組織信息系統的安全）對其進行漏洞治理;其次，由“白帽子”向平臺上報其所發現的漏洞，平臺在網站適度披露，同時向測試產品的運營者進行反饋;最后，由運營者確認漏洞，向“白帽子”發放獎勵，并在修補后向社會公眾完整披露。然而，即使在《網絡安全法》施行之后，仍然存在著一些法律漏洞與制度缺位，導致我國對網絡安全漏洞治理從業者的不當刑事制裁。因此，我國亟需通過相關法律對關鍵的主體概念進行界定，將善意因素作為主要評價對象;對利益相關方的權利義務加以明確并進行限定，在對網絡安全漏洞的法律屬性分析后確立受償機制與披露機制，以更為完善的法律法規為網絡安全治理領域提供充足的理論支撐。

一、網絡安全漏洞治理領域法律法規的制定

網絡安全漏洞治理自21世紀初就開始興起，軟件技術伴隨著摩爾定律下的硬件升級一同發展。在大數據時代，安全漏洞治理的重要性愈發凸顯，與社會治理的關系更加密切，測試技術和交易市場均形成了一定的體系與規模。但我國目前針對安全漏洞測試和交易的體系化立法還不完善，相關規定零散分布在《網絡安全法》《刑法》以及《治安管理處罰法》等法律法規中，善意的、正當的安全漏洞測試行為有時會受到法律的制裁。

（一）《網絡安全法》關于安全漏洞測試的相關規定

《網絡安全法》首次從網絡安全保障基本法的高度確定安全漏洞這一客觀事實，該法第22條規定了網絡產品和服務的提供者對其產品、服務負有補救、告知義務;第25條明確了網絡經營者負有制定應急預案、及時處置系統漏洞的安全保護義務;第26條系對安全漏洞披露行為的引導性規定，該規定目前實施性不強，應屬于預留性條款;第60條、第62條規定了網絡運營者違反上述條文時應承擔的法律責任。從以上法條可以看出，《網絡安全法》的相關規定傾向于鼓勵網絡運營者自覺遵守、自我審查、自主報告，但沒有涉及設立相對更有效的政府機構或第三方監管措施，也沒有從網絡漏洞的測試方面界定該行為的法律邊界，更沒有在罰則與漏洞嚴重程度、危害程度等衡量標準之間建立直接而詳細的關聯。

（二）《治安管理處罰法》《刑法》關于安全漏洞測試的相關規定

《治安管理處罰法》《刑法》側重于對非授權訪問行為的治安處罰和刑事打擊。從表面來看已經形成了以《治安管理處罰法》與《刑法》為核心的二元制裁體系，但實際上該制裁體系較為零散，且對作為漏洞治理的核心行為規制的操作性不強，實踐中多通過適用《刑法》第285條加以規制。《刑法》第285條、第286條規定了“非法侵入計算機信息系統罪;非法獲取計算機信息系統數據、非法控制計算機信息系統罪;提供侵入、非法控制計算機信息系統程序、工具罪;破壞計算機信息系統罪;網絡服務瀆職罪”。實踐中，如果漏洞測試者利用系統安全漏洞實施了相關行為，就可能觸犯上述罪名，《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》也進一步明確了以上罪名中“情節嚴重”“后果嚴重”“情節特別嚴重”的判斷依據。對于尚未觸犯《刑法》第285條、第286條的違法行為，《治安管理處罰法》第29條規定了拘留的治安處罰。《刑法修正案（九）》第286條中新增了“拒不履行信息網絡安全管理義務罪”，強調了網絡運營者對安全漏洞的管理責任，該新增條款適用于漏洞隱患致使用戶個人信息泄露而網絡服務的提供者不作為的情況，但對漏洞測試行為又未涉及。

關于善意的漏洞測試行為的規制。在司法實踐中，絕大部分黑客專門利用網絡安全漏洞從事系統破壞行為，司法實踐多直接適用《刑法》第286條加以規制，但還有部分黑客僅將漏洞利用行為作為其他犯罪的手段，也就是說在觸犯《刑法》第285條第一、二款的同時還觸犯其他罪名，大多構成擇一重罪處罰的牽連犯。這就導致在漏洞利用規制問題上，直接適用《刑法》第285條的案例數量相對較少。

當前我國與漏洞治理相關的法律規范過于強調事后救濟，多以禁止性規定為主，將情節和后果作為認定犯罪的依據，并不考慮漏洞測試行為人的社會危害性，這顯然并不符合《刑法》的謙抑性特點。結合國內相關案例看，我國現行法律對漏洞測試者的規制存在兩大問題：一是對漏洞測試持否定性評價，二是對測試者自發組織的漏洞測試行為呈現重刑主義傾向。

二、網絡安全漏洞治理領域法律法規建設存在的主要問題

通過對我國安全漏洞治理領域法律法規建設現狀分析，可以看出總體上我國法律法規沒有明確界定類似安全漏洞測試者（以下簡稱“白帽子”）、安全漏洞眾測平臺（以下簡稱“眾測平臺”）等概念，也缺少對漏洞測試行為的規范指引和監督制約。現有立法的模糊性，導致從業者對于安全漏洞測試行為合法性缺乏必要的預判，也容易出現漏洞測試行為超出合理邊界導致侵犯他人合法權益的現象。

（一）對“眾測平臺”概念界定不清晰

盡管《網絡安全法》對網絡安全各方面進行了較為詳細的規定，但在網絡安全漏洞的治理方面還存在缺位，尤其是在主體概念定義的規定上，這就導致現實生活中存在不少爭議與糾紛，甚至還可能導致執法司法的不當。目前我國法律中對于安全漏洞眾測平臺并沒有明確界定，唯一可以被認為與眾測平臺相關的法律規定是在2017年11月1日發布的《中華人民共和國電子商務法》第九條中：本法所稱電子商務平臺經營者，是指在電子商務中為交易雙方或者多方提供網絡經營場所、交易撮合、信息發布等服務，供交易雙方或者多方獨立開展交易活動的法人或者非法人組織。本法所稱平臺內經營者，是指通過電子商務平臺銷售商品或者提供服務的電子商務經營者。但“電子商務平臺經營者”中是否也包括“眾測平臺”呢？事實上，網絡安全漏洞“眾測平臺”并不像天貓、京東等互聯網銷售平臺，漏洞測試服務由不以盈利為目的的“白帽子”提供，“眾測平臺”也并不從資金流動中獲利，因此“白帽子”不屬于電子商務經營者，而“眾測平臺”似乎也談不上是電子商務平臺經營者。2016年“烏云平臺”停運事件，也暴露出相關法律對網絡安全漏洞平臺的概念界定還不清晰。

（二）“眾測平臺”與“白帽子”的權利義務不明確

解決現實中的網絡安全漏洞測試、披露、交易問題，關鍵要厘清“眾測平臺”與“白帽子”在法律意義上的權利與義務。針對網絡安全漏洞測試行業，由于法律法規保護與規制不到位，行業公約或行業協會的自律規定就在實踐中充當了替代品。如國家信息安全漏洞共享平臺公布的《中國互聯網協會漏洞信息披露和處置自律公約（簽約版）》、互聯網安全工作組發布的《互聯網企業安全漏洞披露與處理公約》提出，互聯網企業應：（1）承諾提供可用的官方安全事件、漏洞反饋渠道;（2）承諾對每位報告者反饋的問題都有專人進行跟進、分析和處理，并給予及時答復或公告;（3）承諾對于每位以保護用戶利益為目的、幫助企業提升產品安全質量的報告者，將給予感謝和回饋;（4）反對在安全問題解決前公開披露漏洞細節的行為;（5）反對和譴責一切以漏洞測試為借口，利用安全漏洞進行破壞、損害用戶利益的黑客行為，包括但不限于利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、惡意傳播漏洞等。相對來說，我國網絡安全漏洞測試行業的法律法規還不夠專門化、系統化。

（三）相關部門的監管機制不完善

我國在網絡安全漏洞測試的相關市場中，由于沒有形成相對穩定的商業范式，中間環節多而繁雜，交易的保密性、完整性、可溯源性難以得到保證。同時，相關部門對網絡安全漏洞測試市場的監管不到位，粗放甚至缺乏監管機制，因此，很難實現這一領域商業交易的效率與公平，更起不到切實保護人民群眾網絡安全利益的作用。

三、網絡安全漏洞治理領域法律框架建設的思考

基于網絡安全漏洞治理的立法框架進行研究，首先應在立法中明確各個概念的定義，確立網絡安全漏洞治理的主要目標;其次應通過區分合法測試與非法入侵的界限，分清情況明確權利責任以及相關原則;最后在執法司法中應明確各種行為的性質，尤其應在最高人民法院、最高人民檢察院的《司法解釋》《指導意見》等法律文件中予以體現。

（一）應明晰網絡安全漏洞的法理屬性

隨著信息技術的快速發展，我國網絡安全漏洞無處不在，但對其法理屬性的界定比較模糊。筆者認為，網絡安全漏洞應被認為是一種債務預期違約情形。假設有一網絡產品對社會公眾提供服務，在服務協議中有用戶安全保障規則條款，其中直接規定或可以推知產品運營商有防止由于漏洞被惡意利用導致用戶權益受損害的義務。在產品安全漏洞未被發現之前，盡管漏洞依然存在，但是由于未被發現也未被利用，其本身并不具備法律含義。若安全漏洞在被發現并及時告知運營方的情況下，漏洞就成為運營商單方原因導致的預期違約情形，債務人若在漏洞信息強制披露后的合理期限內不進行修補，即構成明示預期違約，應當承擔違約責任。“白帽子”在其中扮演的角色，或是對于無眾測政策的產品安全性的無因管理，或是對于有眾測政策的產品運營商懸賞廣告的完成。“白帽子”對于漏洞信息并無所有權，因為漏洞本身并不是物或債，而是一種情形，所以不存在歸屬問題，故“白帽子”只能對相應企業進行報告而無處分權利。

（二）在立法層面完善“眾測平臺”及“白帽子”的主體概念

在法律層面，目前對“白帽子”這一群體并未與從事危險危害行為的“網絡黑客”區分開來，這對“白帽子”群體法律地位的確認與規制非常不利。參照信息發達國家《2012年網絡安全法案》以及《2015年網絡安全信息共享法案》中對于“私人實體”（Private Entity）行為的規定，盡管有任何其他法律規定，但出于網絡安全目的，私人實體可監察：（1）該私人實體的信息系統;（2）經該另一實體的授權和書面同意，另一實體的信息系統;（3）由私人實體根據本段監控的信息系統存儲、處理信息。根據這條規定，可以認為網絡安全漏洞“眾測平臺”是實行以上規定中行為的非公權力主體。按照吳沈括教授的觀點，根據《刑法》第285條規定，“白帽子”有兩條基本特征：一是構成入侵行為，二是構成“非法獲取”或“非法控制”且情節嚴重。在這“兩條紅線”規范下，“白帽子”與不法黑客的不同點在刑法領域主要體現在兩個方面：一是主觀意圖不同，二是造成后果不同。根據兩個“不同”，可以簡單地概括出“白帽子”在法律上的主體概念，即通過技術手段侵入系統獲取數據的方式檢測查找安全漏洞并加以合法披露的善意第三人。

（三）明確“眾測平臺”和“白帽子”的義務權利

1.“眾測平臺”的義務與權利。參照現行法律規定，眾測平臺的義務大致可歸納以下幾點：一是保護國家利益、社會公益的義務。根據《國家安全法》第77條與《保守國家秘密法》第24條之規定，應認為禁止平臺與“白帽子”對國家秘密、涉密國家信息系統漏洞的主動披露，同時對于國家許可的或者無關國家安全、國家秘密的情形，應遵循必要的弱化披露處理原則。二是保護互聯網用戶安全和隱私的義務。根據《網絡安全法》第四章、第六章關于網絡信息安全的規定與責任條款，平臺獲得漏洞報告后，應該盡一切措施保障漏洞涉及的用戶安全和隱私，防止相關信息泄露造成有關主體的法益損害。三是尊重漏洞測試從業人員的智力勞動成果與價值的義務。根據《電子商務法》第42條、第43條的規定，平臺有義務對每位報告者反饋的問題都有專人進行跟進、分析和處理，并給予及時答復或公告，對于“白帽子”勞動成果的價值予以認定，不擅自利用其成果。從權利角度來講，安全“眾測平臺”應享有一定的披露權。依據《網絡安全法》第60條第二款對于法律責任的規定，“經營產品的企業應該對產品漏洞有補救義務”。由此可知，在企業未盡到補救義務時，平臺進行合理程度的披露，有利于促進企業對國家利益、社會公益進行及時保護。

2.“白帽子”的義務與權利。首先，從義務角度講，“白帽子”測試漏洞中應履行無害化義務。根據《中國互聯網協會漏洞發現與報告行為守則》第八條規定：按照對信息系統機密性、可用性、完整性等三方面要素的影響評估，漏洞風險發現與技術驗證應遵循無害化原則，即“白帽子”應該在漏洞測試中承擔技術無害化的義務。其次，從權利角度來講，“白帽子”在漏洞測試中應享有以下權利：一是披露權。在平臺披露權的前提上，需要特別指出一點，若響應處置期滿，企業對漏洞仍未采取實質性修補措施，在救濟用盡情況下，“白帽子”出于對社會公益保護目的，應當可以行使緊急避險，即對漏洞合理披露，而不對企業承擔損害賠償責任。二是豁免權。“白帽子”出于保護自身以及他人利益的目的，所對漏洞的測試行為，本身是可以豁免的行為，其可能承擔的刑事責任以及民事責任，應以無故意過錯為阻卻事由的上限。三是受償權。由于“白帽子”在漏洞測試過程中所付出的勞動本身是一種高技術活動，所以其測試漏洞行為應享有受償權。

（四）健全網絡安全漏洞治理的有效運行和綜合監管機制

在“眾測平臺”與網絡企業、“白帽子”形成的三角關系中，眾測平臺作為中間渠道的提供者，參與并掌控著交易中的所有流程與另外兩方的信息交流，在漏洞治理過程中具有重要的銜接協調功能。對企業來說，平臺一方面應以商業化為主，注重服務與客戶體驗，方便企業注冊、發布、獎勵并及時收到信息進行漏洞修補;另一方面應通過輔助制定披露政策，督促企業加強對產品漏洞的修補，促使其履行相應的社會責任。對“白帽子”來說，平臺應形成與廣大“白帽子”人才資源的良性互動，努力成為“白帽子”的代表者、發聲者、引導者。在“白帽子”與企業之間，應建立更加規范透明的交流渠道，通過雙方信息對稱性的提高，既防止“白帽子”在獎勵滯后的情況下走向黑產成為“黑客”，又保障“白帽子”不受到不利的訴訟威脅。而在這組三角關系之外，政府應當組建相應的漏洞治理機構，統合各方資源，制定漏洞治理的原則與規劃，并主導技術規范與操作流程的制定，結合公權力與社會資源，形成一套行之有效的網絡安全漏洞治理體系。另外，可以考慮建立行業自律協會，通過制定行業標準，弘揚行業自律文化，形成行業內良性競爭機制，促進漏洞治理產業與網絡技術協調發展。同時，行業自律協會可與行政機關、司法機關共同構成監管體系，還可以與立法機關合作，起草制定行業內相關認定標準、認證程序等法律文件，從而達到保護社會公共利益的最終目的。

早在2014年2月27日，在中央網絡安全和信息化領導小組第一次會議上，習近平總書記就已經闡明，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局，統籌各方，創新發展，努力把我國建設成為網絡強國。在建設網絡強國總目標下，構建網絡安全漏洞治理體系至關重要，在理論上厘清概念、劃定界限，在實踐中明確義務、保障權利，以此形成的治理體系才能行有所據，才能保障人民群眾財產安全與國家穩定發展。

〔參 考 文 獻〕

〔1〕王 遷.知識產權法教程〔M〕.北京：中國人民大學出版社，2016.

〔2〕朱慶育.民法總論〔M〕.北京：北京大學出版社，2016.

〔3〕莊永廉，皮 勇，楊 明，等.對“白帽子”行為如何定性〔J〕.人民檢察，2017（04）：41-46.

責任編輯 李 雯