數(shù)據(jù)安全法視野下的網(wǎng)絡(luò)安全漏洞管理*

朱莉欣，陳 偉

（1.西安交通大學 蘇州信息安全法學所，江蘇 蘇州 215123；2.海軍航空大學，山東 煙臺 264001）

0 引 言

隨著國家和社會信息化程度的不斷加深，數(shù)據(jù)作為國家基礎(chǔ)性戰(zhàn)略資源，在國家安全中的地位作用日益凸顯。但是，計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，都或多或少存在一定缺陷，這就是“漏洞”（vulnerability）。近年來，數(shù)據(jù)泄露事件時有發(fā)生，對國家安全、社會穩(wěn)定和企業(yè)及用戶利益造成嚴重后果，漏洞正是造成各種數(shù)據(jù)泄露事件的罪魁禍首之一[1]。在《中華人民共和國網(wǎng)絡(luò)安全法（草案）》征求意見過程中，就有人提出建議，一些個人和機構(gòu)隨意發(fā)布系統(tǒng)漏洞等網(wǎng)絡(luò)安全信息，對維護網(wǎng)絡(luò)安全影響較大，應(yīng)予規(guī)范。最終通過的《中華人民共和國網(wǎng)絡(luò)安全法》第26條規(guī)定：開展網(wǎng)絡(luò)安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等網(wǎng)絡(luò)安全信息，應(yīng)當遵守國家有關(guān)規(guī)定。2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》，該法與網(wǎng)絡(luò)安全法有關(guān)條款有機銜接，對事關(guān)國家安全和經(jīng)濟社會發(fā)展的數(shù)據(jù)安全問題進行了全面規(guī)范，必將有效提高國家數(shù)據(jù)安全保障水平。漏洞問題關(guān)系網(wǎng)絡(luò)安全，影響國家安全，對漏洞進行有效管理除了要遵守網(wǎng)絡(luò)安全法的相關(guān)規(guī)定，也要落實數(shù)據(jù)安全法的新要求，在漏洞全生命周期管理過程中，進一步完善相關(guān)管控措施，確保網(wǎng)絡(luò)和信息系統(tǒng)安全。

1 全球漏洞管理概述

網(wǎng)絡(luò)安全等級保護制度是我國現(xiàn)行網(wǎng)絡(luò)安全領(lǐng)域的一項重要制度。網(wǎng)絡(luò)安全法明確規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度?！吨腥A人民共和國數(shù)據(jù)安全法》第21條按照等級保護制度的相關(guān)要求，規(guī)定了數(shù)據(jù)分類分級保護制度，要求根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。

1.1 結(jié)合漏洞評級和分析進行漏洞信息分類

根據(jù)對網(wǎng)絡(luò)安全構(gòu)成的威脅程度不一，漏洞可以分為不同類別。美國國家計算機通用漏洞數(shù)據(jù)庫（NVD）將漏洞分為危急（CRITICAL）、高危（HIGH）、中危（MEDIUM）、低危（LOW）四類；中國國家信息安全漏洞庫（CNNVD）根據(jù)漏洞危害級別，將漏洞分為危急、高危、中危、低危四類；國家信息安全漏洞共享平臺（CNVD）將漏洞分為高危漏洞、中危漏洞和低危漏洞三類。GB/T 30279—2020《網(wǎng)絡(luò)安全漏洞分類分級指南》提供了網(wǎng)絡(luò)安全漏洞的分類方式、分級指標，并給出了分級方法的建議，將漏洞分為超危、高危、中危和低危四級。有研究認為，應(yīng)充分考慮網(wǎng)絡(luò)安全漏洞的特殊性，以漏洞影響產(chǎn)品的波及面、導致的破壞程度、漏洞利用難度、漏洞修復難度等為評估重點，對漏洞進行評級[2]。我們認為，應(yīng)根據(jù)相關(guān)國家標準，參考國外通行做法，對漏洞分級進行統(tǒng)一規(guī)范，避免因技術(shù)標準不統(tǒng)一等原因造成漏洞分級不規(guī)范而引發(fā)網(wǎng)絡(luò)安全事故。有關(guān)漏洞數(shù)據(jù)除考慮漏洞本身的級別外，還要考慮漏洞數(shù)據(jù)的大小、存儲介質(zhì)等因素，對漏洞信息的類別進行綜合判定。

1.2 將重要漏洞信息列入重要數(shù)據(jù)目錄以加強保護

《中華人民共和國數(shù)據(jù)安全法》第21條規(guī)定，國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。該法第27條第2款還規(guī)定，對重要數(shù)據(jù)進行處理，應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任。因此，一方面，國家相關(guān)部門在制定重要數(shù)據(jù)目錄時要充分考慮漏洞信息的特殊重要性，采取合理的方式將重要漏洞信息納入目錄。另一方面，各單位在處理漏洞信息等重要數(shù)據(jù)時，要按照法律要求健全相關(guān)機構(gòu)，明確責任人，盡到審慎處理責任，落實數(shù)據(jù)安全保護義務(wù)。

1.3 將關(guān)鍵信息基礎(chǔ)設(shè)施漏洞信息作為國家核心數(shù)據(jù)以專門保護

國家核心數(shù)據(jù)是數(shù)據(jù)安全法規(guī)定的最為重要的一類數(shù)據(jù)，要實施更加嚴格的管理制度。加強關(guān)鍵信息基礎(chǔ)設(shè)施保護已成為全球共識。很多國家都通過立法對關(guān)鍵信息基礎(chǔ)設(shè)施進行特殊保護。我國網(wǎng)絡(luò)安全法在第3章網(wǎng)絡(luò)運行安全中，專設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全一節(jié)，對重要行業(yè)領(lǐng)域和關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全實行重點保護。數(shù)據(jù)安全法也規(guī)定，關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度。由于關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞導致的威脅會對國家安全和社會穩(wěn)定產(chǎn)生不可逆的嚴重危害，有研究者建議，法律應(yīng)構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞的信息共享機制，整合來自政府、企業(yè)等網(wǎng)絡(luò)威脅、漏洞和事件信息，同時對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域漏洞的挖掘、披露、報告和利用等行為予以特別規(guī)制，提升國家整體的網(wǎng)絡(luò)安全態(tài)勢感知能力[3]。我們認為，考慮關(guān)鍵信息基礎(chǔ)設(shè)施漏洞潛在的巨大風險，相關(guān)數(shù)據(jù)一旦失管失控可能對國家安全帶來的危害，應(yīng)將其數(shù)據(jù)單獨作為一類，實施特殊保護。

2 建立漏洞信息事先管控和事后處置機制

數(shù)據(jù)安全法通過將自上而下的數(shù)據(jù)安全風險監(jiān)測、預(yù)測與監(jiān)管同自下而上的數(shù)據(jù)風險評估及報告有機結(jié)合，建立了對數(shù)據(jù)安全的交叉監(jiān)管事先管控體系。此外，該法還對發(fā)生數(shù)據(jù)安全事件后的應(yīng)急處置機制進行了規(guī)范。漏洞信息也應(yīng)按照法律要求完善事先管控和事后處置機制。

2.1 漏洞風險評估、報告、信息共享、監(jiān)測預(yù)警機制

《中華人民共和國數(shù)據(jù)安全法》第22條規(guī)定，國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預(yù)警機制。同時，本法還對數(shù)據(jù)處理者賦予了風險監(jiān)測、采取補救措施、報告等相應(yīng)義務(wù)。而對于漏洞數(shù)據(jù)，則依法應(yīng)做到以下幾點：

首先，國家主管部門應(yīng)加強對漏洞信息的監(jiān)管，進一步完善管理體制。一是要加強漏洞信息的風險評估。漏洞信息的風險評估，除根據(jù)漏洞本身的類別進行評判外，還要結(jié)合漏洞數(shù)據(jù)的數(shù)量、存儲傳輸媒介等因素綜合評判漏洞信息的風險。二是要做好漏洞信息報告與信息共享。各監(jiān)管部門收到的漏洞信息應(yīng)及時向上級監(jiān)管部門報告，并按照“實時共享”的要求，將漏洞信息與其他部門在第一時間共享。三是主動進行漏洞信息監(jiān)測預(yù)警。各部門應(yīng)加強對漏洞信息的監(jiān)測，發(fā)現(xiàn)未經(jīng)許可披露的漏洞信息要及時采取控制措施，并同步做好相應(yīng)預(yù)警工作。

其次，數(shù)據(jù)處理者應(yīng)按照法律要求謹慎處置漏洞信息?！吨腥A人民共和國數(shù)據(jù)安全法》第29條規(guī)定：開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。此外，對重要數(shù)據(jù)的處理者有更加嚴格的要求。該法第30條明確指出，重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。

在這方面，有研究提出應(yīng)根據(jù)漏洞級別，決定是否披露漏洞以及如何披露漏洞，嚴禁企業(yè)未經(jīng)授權(quán)和安全評估，以競賽、通報等形式私自進行披露。還有主張通過代碼規(guī)制的方式進行漏洞的披露[4]，即主要依賴網(wǎng)絡(luò)信息技術(shù)進行漏洞信息的發(fā)布。然而，鑒于漏洞普遍存在且無法完全避免，這種模式極有可能產(chǎn)生新的漏洞，對網(wǎng)絡(luò)安全構(gòu)成新的威脅，因此還是應(yīng)將技術(shù)與法律規(guī)制有機結(jié)合，建立國家層面的安全漏洞信息風險評估、報告、信息共享、監(jiān)測預(yù)警機制。對網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運營者等數(shù)據(jù)處理者而言，應(yīng)根據(jù)2021年7月21日頒布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，漏洞公開前及時采取措施對漏洞進行修復，開發(fā)漏洞補丁，防范網(wǎng)絡(luò)安全事件發(fā)生，并向國家主管部門報告漏洞情況。第三方組織及個人發(fā)現(xiàn)漏洞后，可在嚴格遵守國家法律法規(guī)的前提下進行發(fā)布。

2.2 漏洞數(shù)據(jù)安全應(yīng)急處置機制

漏洞發(fā)現(xiàn)后，如不采取有效管控措施，很有可能造成網(wǎng)絡(luò)安全事件，特別是漏洞信息采集達到一定數(shù)量后的風險更是成倍增大?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第25條規(guī)定：網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。與該規(guī)定相配套，數(shù)據(jù)安全法也建立了數(shù)據(jù)安全應(yīng)急處置機制。漏洞數(shù)據(jù)關(guān)系網(wǎng)絡(luò)安全，必須做好因漏洞數(shù)據(jù)泄露造成網(wǎng)絡(luò)安全事件的準備，完善漏洞數(shù)據(jù)安全應(yīng)急處置機制。

一方面，主管部門要依法履行監(jiān)管職責，完善漏洞泄露應(yīng)對預(yù)案，采取應(yīng)急措施，發(fā)布警示信息。數(shù)據(jù)安全法規(guī)定，發(fā)生數(shù)據(jù)安全事件，有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關(guān)的警示信息。漏洞信息因特殊情況被泄露后造成網(wǎng)絡(luò)安全事件，根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定，根據(jù)事件相應(yīng)等級，按照事先擬制的應(yīng)急預(yù)案進行處置。為防止因網(wǎng)絡(luò)謠言誤導公眾，主管部門還要向社會發(fā)布與公眾有關(guān)的警示信息，要堅持及時、準確、客觀、適度的原則，防止誤導輿論，造成社會恐慌。

另一方面，數(shù)據(jù)處理者應(yīng)承擔處置、報告義務(wù)?！吨腥A人民共和國數(shù)據(jù)安全法》第29條規(guī)定，發(fā)生數(shù)據(jù)安全事件時，數(shù)據(jù)處理者應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。為提高漏洞事故處置能力，近年來，一些網(wǎng)絡(luò)公司紛紛建立安全應(yīng)急響應(yīng)中心（Security Response Center，SRC），鼓勵公眾發(fā)現(xiàn)安全漏洞，搜集漏洞信息，以第一時間修復漏洞，提高安全防御能力。一旦發(fā)生漏洞數(shù)據(jù)安全事件，數(shù)據(jù)處理者應(yīng)采取各種技術(shù)措施控制事態(tài)發(fā)展，最大限度地控制漏洞信息蔓延，保留相關(guān)證據(jù)，邊處理邊及時向上級主管部門、屬地相關(guān)部門報告事件信息。同時，還要做好對事件進行調(diào)查和評估，分析事件發(fā)生原因，判斷事件影響、危害和可能波及的范圍，提出應(yīng)對措施建議。

3 落實漏洞數(shù)據(jù)安全審查制度

眾所周知，安全審查制度是有效預(yù)防和化解國家安全風險的重要舉措?！吨腥A人民共和國國家安全法》關(guān)于建立國家安全審查和監(jiān)管的制度和機制，是確保國家安全行之有效的制度安排。網(wǎng)絡(luò)安全審查制度是國家安全審查制度在網(wǎng)絡(luò)空間的具體化，是基于信息安全風險防控目的，以防止網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者和服務(wù)的非法控制、干擾、中斷用戶系統(tǒng)，防止非法收集、存儲、處理和利用用戶有關(guān)信息。我國網(wǎng)絡(luò)安全法建立了國家網(wǎng)絡(luò)安全審查制度。該法第35條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。2017年5月，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，與網(wǎng)絡(luò)安全法同步實施，邁出我國網(wǎng)絡(luò)安全審查實質(zhì)性步伐。除采購關(guān)鍵信息系統(tǒng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)按照網(wǎng)絡(luò)安全法及相關(guān)配套法規(guī)的要求進行安全審查外，數(shù)據(jù)安全法進一步完善了我國的安全審查制度，將可能影響國家安全的數(shù)據(jù)處理活動也納入國家安全審查的范圍。

實踐中，對網(wǎng)絡(luò)信息進行安全審查也是各國通行的做法。如美國為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，出臺了一系列法律法規(guī)，實施安全審查政策，構(gòu)建了一套完整的供應(yīng)鏈安全管理體系[5]。漏洞涉及國家安全，因此漏洞信息的處理活動應(yīng)按照數(shù)據(jù)安全法的規(guī)定進行安全審查。由于近年來西方國家一直對我國相關(guān)網(wǎng)絡(luò)產(chǎn)品進行安全審查，并以國家安全為借口實施限制進口等措施，當前學界對安全審查的本質(zhì)還存在不同認識。主流觀點認為，國家安全審查的內(nèi)核是一個政治問題，是一種政治法律化和法律政治化的制度安排，國家安全審查機構(gòu)對相關(guān)行為是否危害國家安全做出政治判斷，因此該判斷不應(yīng)受司法權(quán)力之審查[6]。

2020年5月，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法》，取代了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》。而在進一步修改完善該辦法時，也應(yīng)把包括漏洞信息處理在內(nèi)的數(shù)據(jù)處理活動一并納入，作為網(wǎng)絡(luò)安全審查的重要內(nèi)容。具體而言，一是統(tǒng)一數(shù)據(jù)審查對象。對漏洞信息的處理者，無論是境內(nèi)機構(gòu)還是境外機構(gòu)，只要是在我國境內(nèi)開展的漏洞信息處理活動，都一視同仁地按照法律要求進行審查，避免出現(xiàn)一些境外媒體對我國關(guān)鍵信息基礎(chǔ)采購活動中進行安全審查涉嫌貿(mào)易壁壘的不實指責。二是按照數(shù)據(jù)等級進行分級審查。根據(jù)漏洞信息所屬的數(shù)據(jù)等級類別，區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、普通數(shù)據(jù)等不同類別，由不同層級主管部門分別對其進行審查，提高審查工作效率，實現(xiàn)重點保護與全面防護的有機結(jié)合，提高安全防護效果。三是完善審查程序和標準。對漏洞信息進行國家安全審查，在考慮政治需要的同時，也要完善審查程序、審查標準等法律規(guī)范，力爭做到政治與法律的平衡，避免在國際社會留下貿(mào)易保護、單邊主義等負面印象。按照數(shù)據(jù)安全法的規(guī)定，依法作出的安全審查決定為最終決定，當事人不能因不服審查結(jié)果向司法機關(guān)尋求救濟。

4 實施漏洞數(shù)據(jù)出口管制制度

出口管制是維護國家安全和利益的重要手段。當前，國際社會普遍形成共識，數(shù)據(jù)是重要的戰(zhàn)略資源。一方面，為發(fā)揮數(shù)據(jù)最大效能，需要盡可能開放數(shù)據(jù)。另一方面，為加強國家安全和個人隱私保護，要對數(shù)據(jù)出境實施限制。《中華人民共和國數(shù)據(jù)安全法》第25條規(guī)定，國家對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。

網(wǎng)絡(luò)安全漏洞不僅僅是一種缺陷，也是重要的資源。一些國家甚至將漏洞武器化，如2017年席卷全球的“永恒之藍”病毒，其來源就是美國國家安全局[7]。此外，美國還將未公開的零日漏洞列入《瓦森納協(xié)定》（Wassenaar Arrangement）中的禁運清單之列，禁止將零日漏洞向第三國出口。我國出口管制法明確將相關(guān)技術(shù)資料等數(shù)據(jù)也納入管制物項范圍。漏洞信息數(shù)據(jù)出口，可考慮采取下列管制措施。

一是將對我國采取歧視性措施的國家列入禁運清單。一些國家為維護其網(wǎng)絡(luò)霸權(quán)，在網(wǎng)絡(luò)信息技術(shù)領(lǐng)域?qū)ξ覈鴮嵤┐驂汉椭撇谜?，將我國一些企業(yè)和科研機構(gòu)列入所謂實體清單，禁止將漏洞信息出口到我國。對這種歧視性貿(mào)易措施，我們完全可以根據(jù)《中華人民共和國反外國制裁法》和《中華人民共和國數(shù)據(jù)安全法》的規(guī)定，采取對等措施，將對方列入制裁清單。

二是實施安全審查和評估，確保不對國家安全、社會穩(wěn)定和個人利益構(gòu)成威脅。對關(guān)鍵信息基礎(chǔ)設(shè)施漏洞信息進行安全審查，一般不予批準出境。制定完善《重要數(shù)據(jù)出境安全評估辦法》，對其他等級漏洞信息按照漏洞分級，將一定等級的漏洞信息作為重要數(shù)據(jù)納入評估范圍。同時可參考《中華人民共和國個人信息保護法》關(guān)于個人信息出境的要求，對漏洞信息的出口進行必要的控制，明確出境數(shù)據(jù)的類別、批準程序。

5 結(jié) 語

《中華人民共和國數(shù)據(jù)安全法》為進一步維護我國網(wǎng)絡(luò)安全提供了法律保障。當前，漏洞還無法完全避免，作為影響網(wǎng)絡(luò)安全的重要因素，必須在其全生命周期中加強管理，落實數(shù)據(jù)安全法相關(guān)制度，對漏洞信息進行分類分級保護，按照數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預(yù)警機制和應(yīng)急處置機制，加強漏洞管控，貫徹實施《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，把包括漏洞信息處理在內(nèi)的數(shù)據(jù)處理活動納入數(shù)據(jù)安全審查范圍，同時對漏洞信息出口進行必要管制，全方位構(gòu)建起漏洞管理的體系，切實維護國家網(wǎng)絡(luò)安全。