域外网络安全漏洞监管措施

安全漏洞的监管治理已经成为世界各国立法关注的重点，单纯的技术手段并不能有效的解决安全漏洞带来的网络安全隐患问题，构建完善的监管体系和治理框架才能推动潜在的安全隐患。

（一）美国软件漏洞披露制度

美国法律主要从漏洞信息的豁免责任及共享制度对漏洞披露制度做了统一规定，但是相关组织对漏洞披露政策一直持有不同建议（一些政策支持公开披露而另一些人却支持负责任的披露），并且已经遵从了不同的披露政策，主要是在披露类型方面，包括披露主体、披露时间、披露细节等方面存有异议。这些政策主要包括美国计算机紧急事件响应小组协调中心（CERT/CC）的漏洞披露政策，国家基础设施委员会（NIAC）的漏洞披露框架，以及由微软、甲骨文、赛门铁克、硅图等组成的网络安全组织（OIS）发布的安全漏洞报告和响应指引。

（1）CERT/CC（美国计算机紧急事件响应小组协调中心）的漏洞披露政策

CERT/CC由政府创建，主要目标是通知公众关于安全漏洞的事情，CERT/ CC于2000年10月发布漏洞披露政策，主要目标是平衡“需要知晓安全漏洞的公众与供应商有效应对所需时间”的关系。CERT/CC反对完全披露漏洞的全部细节和检测代码，他们相信受到伤害的用户会远多于可能从公开披露中受益的用户。然而，该披露政策没有为发现者和供应商规定任何职责。当收到漏洞报告时，CERT/CC会将信息转发给受影响的供应商，并且在收到信息发现者报告后的45天内向公众披露漏洞信息。因此，无论45天之后是否有可利用的补丁或者其他解决方案，漏洞信息都将向公众公布，以保护公众的知情权。然而，假如有证据表明提供商或者研究者有积极的补救漏洞行为，45天的期限将会缩短；若是为了修复漏洞，提供商提出重大改变（例如改变核心操作系统组件等），将延长45天的期限。

（2）NIAC（国家基础设施委员会）的漏洞披露框架

NIAC认识到统一的漏洞框架能够提高漏洞管理水平，并且减轻信息系统的潜在风险，因此，2004年1月，NIAC向美国总统递交了漏洞信息披露的建议报告。该报告包含美国总统在适当的时候指导联邦政府的具体建议，建议包括漏洞命名、评分、通信、信息共享和法律框架等几个方面，并且规定了利益相关者的责任。

为了减少混淆增加效率，NIAC建议使用通用命名规则来识别独特的漏洞；建议对漏洞实行威胁评分制，以使公众更好地理解漏洞的严重性，协助公共和私营部门合理分配资源，并且优先修复对他们的系统产生重大影响的漏洞。此外，漏洞分数可以随时调整以更好的适应研究结果和开发现状。NIAC建议对所有涉及漏洞管理的电子邮件进行加密和签名，以加密来保护敏感信息的机密性，而签名则可以确保原始发件人的信息以防止否认。信息共享是保护关键基础设施的关键元素之一，NIAC推荐使用信息共享和分析中心委员会（ISAC）作为漏洞信息共享和解决方案的渠道。

除了共享，NIAC还强调信息的准确性，因为错误的漏洞报告能够分散软件供应商和服务供应商的主要业务，并且可能不公正地损害他们的信誉。然而，供应商不能否认每一个报告除非他们确认报告是错误的，供应商不应该威胁依据法律提交报告的发现者，因为这将损害经济，商业和民众的合法利益。由于害怕违反法律（尽管美国有针对信息披露的信息自由法案，但是漏洞信息受到法律豁免）、发生金融负债或者信誉受损，一些利益相关方对披露漏洞犹豫不决。为了利益相关方能够分享信息而不用承担金融或者其他责任，NIAC建议美国政府审查和改革现有的法律框架及公共政策。

2015年年初，美国总统奥巴马提出了修改《计算机欺诈和滥用法》的提案，要求扩大《计算机欺诈和滥用法案》中“非授权访问”的定义。按照该提案，漏洞信息的公开属于犯罪行为，因其助长了网络攻击的发生。这对于大量从事专业网络安全漏洞挖掘和公开的白帽黑客来说是一个灾难性的消息，这将使得专业的日常安全研究成为非法活动。这一提案引发了极大的争议。白帽的漏洞挖掘和发布行为是否适用安全研究的例外规定？

美国《数字千禧年版权法》（DMCA）中关于规避技术保护措施的例外规定或许可以为刑事立法中规定安全研究的例外提供借鉴。DMCA设定了三项例外，包括安全测试、加密研究和反向工程。安全测试例外指漏洞信息的获取和利用仅仅是为了被测试的计算机系统的所有人或运营人的安全；获取的漏洞信息直接与系统开发者进行分享；获取的信息不得用于可能导致侵犯版权或其他非法目的的用途。加密研究例外包括，研究人员需是职业密码学家，对提高该领域的知识有必要，以及公开结果不会造成侵权。反向工程例外，是为了实现程序的互操作性，且是必要的；其信息披露的唯一目的是为了增强程序的互操作性。

（二）欧盟关于信息系统的检测预警机制

在实践中，网络攻击的形式包括拒绝服务、僵尸网络、漏洞等，在某种程度上，网络攻击行为的设计大多是基于安全漏洞，任何信息系统都不可能绝对安全，漏洞是必然存在的。欧盟针对网络攻击的认识由概括性的定义理解发展为具体的内容理解，治理框架既包括被动的事后惩治，也包括主动的风险控制。

在《2013/40/EU号指令》中，欧盟关于信息系统网络攻击的监测机制主要是与犯罪有关的数据的监控及统计，具体是指在涉及非法访问信息系统、非法系统干扰、非法数据干扰、非法拦截和用于犯罪的工具等犯罪时，各成员国应记录（Recording）、生成（Production）并提供（Provision）与此类型有关的犯罪统计数据及以该罪行起诉并定罪的人数。同时各成员国应依据统一的规则将相关数据进行统计，审查合格后由欧盟委员会公布数据并将其传输给其他各成员国及欧盟各专业机构和组织。通过对与网络攻击犯罪有关数据的监控与统计，以理解、预测网络系统和信息系统现在和未来可能面临的威胁，从而更合适、更有针对性地对网络系统攻击和信息系统攻击做出决策。

在《2013/40/EU号指令》中，欧盟关于信息系统网络攻击的预警机制主要是信息系统漏洞的检测及报告。信息系统在设计、编码、实现、配置、运行中无法避免地会出现错误，这些错误的存在即是导致网络系统与信息系统漏洞出现的诱因。漏洞作为网络系统与信息系统中客观存在的事实，是引发系统不安全的核心要素，也是攻守双方争夺的焦点。作为信息战所使用的主要博弈手段之一，漏洞的危害性由互联网的迅速传播而被放大，对于漏洞的掌控程度将关系到国家的安全。

对于信息系统漏洞的检测及报告，《2013/40/EU号指令》要求各成员国执法机关应采取有效的预防性措施，识别和报告网络攻击所造成的威胁、风险及信息系统的脆弱性，以应对网络攻击，提高信息系统的安全性。同时，各成员国应为合法地检测及报告安全漏洞提供相应的便利条件，并对发现信息系统漏洞的人员提供相应的奖励。通过技术手段及管理手段对信息系统漏洞进行全面检测并及时报告，对漏洞采取积极的报告及补救措施，最大程度地降低信息系统遭受攻击造成的损失。

（本文节选自360法律研究院研究课题成果）

（图片来源于网络）