【摘要】網絡安全漏洞挖掘是網絡安全治理的中心議題,其存在對于維護網絡安全非常有必要。由于網絡安全漏洞挖掘是一個復雜、動態的問題,對其進行法律規制不能單憑一部法律,應以《網絡安全法》為核心,構建多元化的法律法規體系,約束網絡安全漏洞挖掘行為,讓其既能為網絡安全服務,又能不觸碰法律紅線。
【關鍵詞】網絡安全 漏洞挖掘 法律規制 【中圖分類號】D92 【文獻標識碼】A
《網絡安全法》被視為規范網絡安全漏洞挖掘最全面、最具體的法律,一方面給予網絡安全漏洞挖掘合法性的肯定,另一方面又通過諸多條款來限制網絡安全漏洞挖掘工作,符合現代法治文明和客觀實際的雙重需求。鑒于《網絡安全法》剛剛實施,其實踐效果尚未取得驗證;同時,網絡安全漏洞挖掘是一項復雜、動態的問題,對其進行法律規制不能單憑一部法律,所以筆者試圖從《網絡安全法》《互聯網信息服務管理辦法》《個人信息保護法》《電子商務法》《網絡社會管理法》等相關法律出發,探討網絡安全漏洞挖掘的規制,讓該項工作能夠在法律框架下順利開展。
將《網絡安全法》作為規制網絡安全漏洞挖掘的核心法律
《網絡安全法》于2016年11月頒布,2017年6月正式開始實施,被認為是我國維護網絡安全方面最全面、最重要的法律文件,其針對網絡安全運行、信息基礎設施安全運行、信息安全、監測與預警等各個方面都予以規定,其中對挖掘網絡安全漏洞的行為也有專門規定。
《網絡安全法》第4條、18條、21條以及51條都針對網絡安全漏洞問題進行明確規定,要求網絡服務商對自身產品存在的漏洞具有告知和補救責任,對自身存在的安全漏洞負有保護義務,如未能盡到相應義務應該承擔責任。《網絡安全法》認定個人和機構隨意發布網絡安全漏洞會對社會和網絡安全造成巨大影響,并針對這種發布行為進行嚴格規范。同時,要求官方開展網絡安全認定、風險評估等活動時,應遵守國家相關法律規定。顯然,國家有關部門已經意識到網絡安全漏洞對社會和網絡安全造成的巨大影響,并試圖借助法律規范來約束挖掘網絡安全漏洞的行為,要求行為人在對外公布網絡安全漏洞時應該規范化,并遵守相關法律法規。
《網絡安全法》出臺的目的就是打造我國網絡安全管理最全面、最具體的法律法規,應將《網絡安全法》作為規制網絡安全漏洞挖掘的核心法律。需要指出的是,《網絡安全法》對網絡安全漏洞的規定和處罰,還沒有特別具體的規定。比如,關鍵信息基礎設施安全漏洞管控、網絡安全漏洞挖掘的披露及出口行為等,都缺乏具體的認定。未來修改完善《網絡安全法》時,應給予社會公眾和行為人更加明確的指引。
完善《互聯網信息服務管理辦法》 ,防止網絡安全漏洞信息傳遞
《互聯網信息服務管理辦法》早在2000年已經頒布并正式實施,核心內容就是管理網絡中的信息傳播,避免出現網絡謠言、網絡誹謗以及相關的犯罪信息,幫助社會公眾屏蔽這些非法信息,凈化網絡環境。
在現代網絡安全漏洞挖掘的過程中,時常會出現一些非真正網絡安全漏洞的問題,其產生主要是由于一些個人和機構惡意誹謗和誣陷。他們宣稱網絡服務商提供的網絡服務存在安全漏洞,通過這種方式來敲詐網絡服務商。他們雖然沒有在技術層面上真正挖掘網絡安全漏洞,但已經借助網絡安全漏洞實施了不法行為,給社會造成一定的負面影響。除此之外,個人和機構在挖掘網絡安全漏洞之時,也會通過信息傳遞的方式將網絡安全漏洞散播給社會大眾,給服務商和社會公眾造成巨大影響,并且容易出現一些與事實不符的虛假信息。
《互聯網信息服務管理辦法》的重要意義,就是防止這些涉及網絡安全漏洞的信息傳遞給社會公眾而造成恐慌。無論是否屬于真實的網絡安全漏洞信息都應該在信息傳播中予以限制,筆者認為《互聯網信息服務管理辦法》應增設關于網絡安全漏洞信息傳遞的具體化規定,并明確傳播網絡安全漏洞信息需要承擔的責任,以此來規范網絡安全漏洞信息傳播,減少社會公眾對網絡安全漏洞的恐慌。
出臺《個人信息保護法》 ,切割網絡安全漏洞對個人影響
《個人信息保護法》尚處于制定之中,其將成為個人信息保護的最重要的法律依據。在挖掘網絡安全漏洞的行為中也存在對個人信息的披露和侵犯,針對這種侵犯個人信息的行為應該予以禁止,并對泄露個人信息的人員和單位予以懲處。
在利益的驅動下,個人信息經常被非法收集、買賣和濫用,給社會公眾的日常生活及經濟安全造成巨大影響。面對此問題,《個人信息保護法》正在制定之中,其結合了《憲法》《刑法》《關于加強網絡信息保護的決定》《居民身份證法》等多部法律法規,構建出保護社會公眾個人信息的全面法律規范。個人信息泄露的危害十分巨大,比如2015年2月,全國多家酒店由于網絡安全漏洞造成房客信息泄露,其中部分信息就是由挖掘網絡安全漏洞的相關人員泄露出來的,給社會公眾造成極大的負面影響,并且形成了社會恐慌。一旦《個人信息保護法》制定完畢后,就可以針對挖掘網絡安全漏洞中泄露個人信息行為進行打擊,及時制止侵犯個人信息的行為,對社會公眾的個人信息進行更好保護。
出臺《電子商務法》 ,防止網絡安全漏洞挖掘形成商業化模式
正在制定的《電子商務法》主要處理正常的電子商務貿易關系,針對網絡安全漏洞挖掘行為約束較少,尚未意識到挖掘網絡安全漏洞已經朝著商業化的模式邁進。
早期的網絡安全漏洞挖掘主要由個人完成,其目的是挖掘者展示自我能力,但隨著網絡普及程度提升,挖掘網絡安全漏洞的現象逐漸增多,以挖掘網絡安全漏洞逐利的現象明顯增多,并形成一種灰色的商業鏈條,給社會公眾和經濟發展都帶來不利的影響。面對圍繞挖掘網絡安全漏洞的產業鏈條,《電子商務法》應該增設相關法律條款,用來限制挖掘網絡安全漏洞的商業行為。
在制定《電子商務法》的過程中,應該針對挖掘網絡安全漏洞的商業行為進行有效識別,防止不法分子或機構通過挖掘網絡安全漏洞對網絡服務商進行敲詐和威脅;應該禁止以經濟利益為目的而進行網絡安全漏洞挖掘工作,并針對以公益性為目的的挖掘網絡安全漏洞商業組織進行監督和管理;堅決打擊將挖掘網絡安全漏洞行為與商業利益掛鉤,特別要防止挖掘網絡安全漏洞的行為逐漸形成一種商業模式。
建議制定《網絡社會管理法》 ,維護網絡安全漏洞挖掘者合法權益
目前我國尚未制定《網絡社會管理法》,但迫于網絡安全漏洞挖掘的現狀,我們應該盡早制定。《網絡社會管理法》的目的主要是對從事網絡安全漏洞挖掘者的合法權益進行保護。
法學界的主流觀點雖然傾向于否定網絡安全漏洞挖掘工作,但客觀上看,網絡安全漏洞挖掘工作是一種必要性的工作,只不過這種工作應該在法律允許的范圍內進行,應該不以經濟利益、商業利益為目的而開展。在網絡社會中,任何網絡服務商在提供網絡服務中都可能存在安全漏洞,這些漏洞一旦被不法分子掌控,極容易給網絡服務商和消費者造成較大損失。此時需要借助相應的網絡安全漏洞挖掘機構,對網絡服務安全進行測試,及時了解網絡服務安全情況。網絡安全漏洞挖掘機構一旦發現安全漏洞,應該及時通知服務商,并盡可能提出修補方案,以此來維護網絡服務的安全性。
規范網絡安全漏洞挖掘行為要以目的為考量,只要網絡安全漏洞挖掘機構出于維護網絡安全的目的,挖掘出網絡安全漏洞并及時進行告知,該種行為就應該予以鼓勵,并予以保護。構建《網絡社會管理法》就是要規范網絡安全漏洞挖掘行為,保障從事相關工作的個人和機構能夠享有合法權益,避免其遭受非法侵犯。
(作者為河南財經政法大學民商經濟法學院講師)
【參考文獻】
①趙精武:《網絡安全漏洞挖掘的法律規制研究》,《暨南學報(哲學社會科學版)》,2017年第6期。
②黃道麗、馬民虎:《安全漏洞發現的合法性邊界:授權模式下的行為要素框架》,《西安交通大學學報(社會科學版)》,2017年第2期。
責編/溫祖俊 美編/楊玲玲
聲明:本文為人民論壇雜志社原創內容,任何單位或個人轉載請回復本微信號獲得授權,轉載時務必標明來源及作者,否則追究法律責任。
