趙麗莉，鐘 晗

(1. 新疆財(cái)經(jīng)大學(xué) 法學(xué)院，新疆 烏魯木齊 830012；2. 南京大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)系 江蘇 南京 210023)

論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

趙麗莉1，鐘 晗2

(1. 新疆財(cái)經(jīng)大學(xué) 法學(xué)院，新疆 烏魯木齊 830012；2. 南京大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)系 江蘇 南京 210023)

伴隨互聯(lián)網(wǎng)和信息化的迅猛發(fā)展，網(wǎng)絡(luò)安全對(duì)國家經(jīng)濟(jì)、社會(huì)生活甚至國家安全的影響日益增強(qiáng)。與此同時(shí)，銀行、電信網(wǎng)絡(luò)、政府部門等關(guān)鍵基礎(chǔ)設(shè)施、大型商業(yè)網(wǎng)站、云服務(wù)、工業(yè)控制系統(tǒng)均日益成為網(wǎng)絡(luò)攻擊重點(diǎn)；基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、通用軟硬件的漏洞攻擊風(fēng)險(xiǎn)、大型網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)安全事件頻發(fā)，信息披露訴求應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全事件信息披露機(jī)制可有效防控惡意軟件、漏洞風(fēng)險(xiǎn)、數(shù)據(jù)泄漏等網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)和威脅。為此，為進(jìn)一步明確網(wǎng)絡(luò)空間各主體有效管理和規(guī)制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的責(zé)任，建構(gòu)系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制具有現(xiàn)實(shí)必要性。

網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)與威脅；信息披露；體系化

一、網(wǎng)絡(luò)安全事件披露機(jī)制的提出與界定

(一)問題的提出

在互聯(lián)網(wǎng)全面發(fā)展之際，互聯(lián)網(wǎng)已深入國家政治、經(jīng)濟(jì)、文化、醫(yī)療、教育等社會(huì)生產(chǎn)、生活的各個(gè)領(lǐng)域，“互聯(lián)網(wǎng)+”新時(shí)代模式開啟。然而網(wǎng)絡(luò)欺詐，政府網(wǎng)站等關(guān)鍵基礎(chǔ)設(shè)施被攻擊，重要信息被泄露，恐怖分子等不法分子利用互聯(lián)網(wǎng)策劃組織暴力恐怖事件等網(wǎng)絡(luò)安全事件頻發(fā)。當(dāng)頻發(fā)的網(wǎng)絡(luò)事件關(guān)乎信息系統(tǒng)和信息內(nèi)容安全，使公民、組織的信息安全以及公共安全和國家安全被威脅時(shí)，為了能夠?qū)崟r(shí)控制網(wǎng)絡(luò)安全應(yīng)用過程，提高網(wǎng)絡(luò)安全事件治理的透明度，適時(shí)的網(wǎng)絡(luò)安全事件信息披露就顯得非常必要。此外，網(wǎng)絡(luò)安全事件產(chǎn)生因素多樣，產(chǎn)生的風(fēng)險(xiǎn)具有不確定性、不可逆性，而且產(chǎn)生損害的時(shí)間非常短，若不能及時(shí)告知，則產(chǎn)生的損害將無法恢復(fù)和估計(jì)。在美國，已有45個(gè)州出臺(tái)要求公司或政府機(jī)構(gòu)披露入侵有關(guān)個(gè)人信息事件的法案[1]。2015年6月19日《中國互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》簽署，包括國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)、重要行業(yè)部門、基礎(chǔ)設(shè)施部門、軟硬件廠商以及網(wǎng)絡(luò)安全企業(yè)等在內(nèi)的32家單位參與，該公約以行業(yè)自律方式規(guī)范網(wǎng)絡(luò)安全事件之漏洞信息的披露工作。但中國文獻(xiàn)鮮少研究不同部門、機(jī)構(gòu)和人員的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題，而是更多地從技術(shù)角度關(guān)注安全事件的發(fā)現(xiàn)、處置，或者從宏觀視角研究網(wǎng)絡(luò)安全保障問題。當(dāng)網(wǎng)絡(luò)安全事件發(fā)現(xiàn)及預(yù)警通報(bào)的信息披露工作在應(yīng)對(duì)網(wǎng)絡(luò)安全威脅方面的作用日益凸顯時(shí)，以網(wǎng)絡(luò)安全治理視角探索系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題就成為值得深思的問題。目前的立法并未對(duì)需披露的網(wǎng)絡(luò)安全事件進(jìn)行等級(jí)分類，也未涉及多大范圍內(nèi)披露和披露什么內(nèi)容以及披露時(shí)間等具體規(guī)定。

(二)網(wǎng)絡(luò)安全事件信息披露機(jī)制界定

網(wǎng)絡(luò)安全事件主要涉及影響互聯(lián)網(wǎng)安全運(yùn)行的事件、波及較大范圍互聯(lián)網(wǎng)用戶事件和涉及政府部門和重要信息系統(tǒng)的事件，事件類型主要包括漏洞、網(wǎng)頁仿冒、網(wǎng)頁篡改、惡意程序、網(wǎng)站后門、網(wǎng)頁掛馬、拒絕服務(wù)攻擊等方面。網(wǎng)絡(luò)安全事件信息披露機(jī)制作為廣義信息披露的一種，其披露的信息范圍即是與特定網(wǎng)絡(luò)安全事件相關(guān)的風(fēng)險(xiǎn)信息，主要包括信息系統(tǒng)功能性風(fēng)險(xiǎn)和信息安全內(nèi)容風(fēng)險(xiǎn)。功能性風(fēng)險(xiǎn)主要指針對(duì)信息系統(tǒng)實(shí)體安全和信息系統(tǒng)運(yùn)行安全兩個(gè)方面。前者指信息系統(tǒng)設(shè)備、設(shè)施免受破壞；后者指防止信息系統(tǒng)被非法侵入，信息系統(tǒng)因病毒等破壞性程序的感染或其他非法攻擊而遭受損害，網(wǎng)絡(luò)或通信服務(wù)被非正常中斷，使信息網(wǎng)絡(luò)或通信系統(tǒng)不能正常運(yùn)行等危害。網(wǎng)絡(luò)安全內(nèi)容風(fēng)險(xiǎn)則主要包括重要信息泄密、暴力恐怖音視頻內(nèi)容的網(wǎng)絡(luò)傳播等。

網(wǎng)絡(luò)安全事件信息披露本身可以被視為將風(fēng)險(xiǎn)信息公知化的過程，但基于網(wǎng)絡(luò)安全事件信息的敏感性，這一公知過程可能產(chǎn)生潛在的負(fù)面影響。為此，網(wǎng)絡(luò)安全事件信息披露需要在有效機(jī)制的規(guī)范下予以實(shí)施。網(wǎng)絡(luò)安全事件信息披露機(jī)制即是網(wǎng)絡(luò)安全事件信息披露的約束性框架，是對(duì)可能造成特定信息系統(tǒng)和信息內(nèi)容安全減損，影響用戶合法權(quán)益，造成人身或財(cái)產(chǎn)損失，或可能產(chǎn)生其他嚴(yán)重危害后果的事件信息進(jìn)行公知活動(dòng)的系統(tǒng)性規(guī)范，包括披露主體、披露內(nèi)容、披露程序、披露時(shí)間、披露對(duì)象、相關(guān)責(zé)任和例外規(guī)定等，進(jìn)而有效規(guī)范網(wǎng)絡(luò)安全事件信息披露活動(dòng)。

二、網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)的價(jià)值基礎(chǔ)

法律制度應(yīng)當(dāng)具備應(yīng)有的價(jià)值基礎(chǔ)，客觀反映為其意欲實(shí)現(xiàn)的法益追求和規(guī)范目標(biāo)，這也構(gòu)成形成社會(huì)公眾“規(guī)范性期待”的前提條件。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)無法避免，因此有效的風(fēng)險(xiǎn)管理措施非常必要。其中，披露被認(rèn)為是風(fēng)險(xiǎn)控制的中心環(huán)節(jié)，對(duì)于降低風(fēng)險(xiǎn)和分化風(fēng)險(xiǎn)起著至關(guān)重要的作用[2]。網(wǎng)絡(luò)安全事件披露機(jī)制建構(gòu)是加強(qiáng)網(wǎng)絡(luò)安全保護(hù)工作的重要組成部分，其價(jià)值基礎(chǔ)可以歸納為兩個(gè)方面：(1)有助于防控網(wǎng)絡(luò)安全威脅，可使用戶清晰認(rèn)知網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)，并充分利用披露的信息及時(shí)采取預(yù)防和控制措施，有效預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)的產(chǎn)生，降低或阻止威脅的擴(kuò)大化；(2)可強(qiáng)化國家安全基礎(chǔ)數(shù)據(jù)保障的綜合能力，有效協(xié)調(diào)創(chuàng)新發(fā)展與用戶安全保障矛盾。

(一)防控網(wǎng)絡(luò)安全威脅

隨著信息網(wǎng)絡(luò)滲透于人類生產(chǎn)和生活的方方面面，人類政治、經(jīng)濟(jì)、軍事、科技、文化生活、環(huán)境等各個(gè)方面對(duì)信息網(wǎng)絡(luò)的依賴性越來越強(qiáng)，個(gè)人、企業(yè)、民族、國家乃至人類的安全也建立于互聯(lián)網(wǎng)中，網(wǎng)絡(luò)安全已成為關(guān)乎個(gè)人乃至整個(gè)國家的重要問題。CNCERT報(bào)告顯示，僅 2015 年 8 月即收到網(wǎng)絡(luò)安全事件達(dá)9 655 件*國家互聯(lián)網(wǎng)應(yīng)急中心《CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告》(2015年08月)。，[3]。諸如針對(duì)信息系統(tǒng)的安全威脅：2014年“全國DNS大劫難”事故中超過85%的用戶遭遇了網(wǎng)速變慢和網(wǎng)站打不開的DNS故障，國內(nèi)2/3網(wǎng)站因此受影響；OpenSSL公布的重大安全漏洞顯示，該安全漏洞正被網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊所利用而成為新的威脅，該漏洞可使任何人讀取系統(tǒng)運(yùn)行的內(nèi)存，安全行業(yè)人士實(shí)踐利用此漏洞可實(shí)時(shí)獲取網(wǎng)站、電商、網(wǎng)上支付等網(wǎng)站用戶賬號(hào)和密碼，并實(shí)現(xiàn)成功登陸[3]。該漏洞已使網(wǎng)站、即時(shí)聊天、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻等系統(tǒng)遭受安全風(fēng)險(xiǎn)和威脅。美國《福布斯》網(wǎng)站報(bào)道一款漏洞“可被黑客利用在不被檢測情況下實(shí)現(xiàn)對(duì)全球八成個(gè)人電腦、網(wǎng)絡(luò)應(yīng)用或者云端虛擬機(jī)實(shí)現(xiàn)監(jiān)控”[4]。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2015年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，諸多網(wǎng)絡(luò)安全威脅伴隨信息化的不斷發(fā)展而產(chǎn)生，包括重要信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、智能終端領(lǐng)域軟硬件漏洞攻擊；重要網(wǎng)站域名解析篡改攻擊；工業(yè)控制系統(tǒng)、移動(dòng)應(yīng)用程序惡意軟件攻擊；分布式反射性的拒絕服務(wù)攻擊；網(wǎng)站數(shù)據(jù)和個(gè)人信息泄漏等方面[5]。2016年該工具被爆出的DROWN安全漏洞又使國內(nèi)10萬余家網(wǎng)站受影響。另據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNERT/CC)2016年第39期發(fā)布的互聯(lián)網(wǎng)安全威脅報(bào)告顯示，僅2016年9月19日至25日一周內(nèi)“境內(nèi)感染網(wǎng)絡(luò)病毒主機(jī)數(shù)59.1萬；網(wǎng)站被篡改數(shù)量為2 477個(gè)，包括政府網(wǎng)站53個(gè)；新增信息系統(tǒng)安全漏洞257個(gè)，其中，高危漏洞146個(gè)；處理各類網(wǎng)絡(luò)安全事件622起，包括跨境案件158起”[6]。

此外，近年來針對(duì)網(wǎng)絡(luò)信息內(nèi)容的安全威脅事件亦處于頻發(fā)狀態(tài)，且影響后果越來越大：諸如2014年4月黑客利用快遞公司官網(wǎng)漏洞入侵網(wǎng)站，1 400萬條用戶個(gè)人信息被非法竊取，2014年12月25日中國大型交通購票網(wǎng)站12306網(wǎng)站中約10萬多條用戶數(shù)據(jù)被泄漏，包括用戶賬號(hào)、密碼、身份證號(hào)、手機(jī)號(hào)碼以及電子郵箱等重要信息[7]。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報(bào)告顯示，2015 年，該中心抽樣監(jiān)測發(fā)現(xiàn)的惡意軟件程序轉(zhuǎn)發(fā)用戶信息郵件超過66萬封，大量個(gè)人隱私信息可通過郵件被發(fā)送到指定郵箱[8]； 2015年發(fā)生約10萬條應(yīng)屆高考生信息泄漏事件，而2016年更發(fā)生多名學(xué)生更因個(gè)人信息泄漏而引發(fā)學(xué)費(fèi)被騙事件。2016年信誠人壽保險(xiǎn)公司被曝其平臺(tái)面臨客戶銀行卡號(hào)、密碼、身份證等重要敏感信息被泄漏的風(fēng)險(xiǎn)。目前，由于教育、金融、醫(yī)療、物流行業(yè)、政府等都與互聯(lián)網(wǎng)密切相關(guān)，這一方面網(wǎng)絡(luò)安全威脅已對(duì)各領(lǐng)域重要信息系統(tǒng)安全、公共網(wǎng)絡(luò)環(huán)境安全造成威脅，產(chǎn)生重大突發(fā)網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)。此外，“暴恐音視頻”的網(wǎng)絡(luò)傳播威脅則可在“意識(shí)形態(tài)領(lǐng)域、文化領(lǐng)域”沖擊國家安全和社會(huì)穩(wěn)定，這已成為一些特定區(qū)域網(wǎng)絡(luò)安全威脅的主要內(nèi)容。在國內(nèi)破獲的各種暴力恐怖犯罪，其涉案人員幾乎均觀看收聽了包括宣揚(yáng)暴力恐怖、宗教極端、民族分裂等暴力恐怖音像視頻，其中，互聯(lián)網(wǎng)成為獲得、傳播、觀看和組織實(shí)施恐怖活動(dòng)的重要渠道。

有鑒于此，頻發(fā)的網(wǎng)絡(luò)安全事件無論是針對(duì)網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全，還是網(wǎng)絡(luò)信息內(nèi)容安全都已成為關(guān)乎互聯(lián)網(wǎng)健康發(fā)展乃至國家安全和社會(huì)穩(wěn)定的重大問題，而有效的網(wǎng)絡(luò)安全治理機(jī)制尤顯必要和緊迫。鑒于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的動(dòng)態(tài)性，目前的網(wǎng)絡(luò)安全事件治理缺乏一種動(dòng)態(tài)的機(jī)制以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全事件的前期控制，于是“確立以預(yù)防與控制為核心的治理理念和機(jī)制極為必要”[9]。而網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)即可體現(xiàn)這種預(yù)防與控制的理念，而且“管理和披露信息安全風(fēng)險(xiǎn)也被認(rèn)為是網(wǎng)絡(luò)時(shí)代一些主體的責(zé)任”[10]。面對(duì)不斷增長的網(wǎng)絡(luò)安全事件威脅，有效的信息披露機(jī)制確立可使用戶及時(shí)預(yù)判，并因此而防范和控制風(fēng)險(xiǎn)和威脅的產(chǎn)生，從而確保網(wǎng)絡(luò)安全。

(二) 協(xié)調(diào)創(chuàng)新發(fā)展與安全保障之間的矛盾

隨著新一代網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的日常社會(huì)生活方式正在發(fā)生巨大的變化。新一代網(wǎng)絡(luò)技術(shù)已延伸到國家政治、經(jīng)濟(jì)、軍事、科技和文化等各個(gè)方面，滲入到人們的日常生活、社會(huì)活動(dòng)、經(jīng)濟(jì)行為和國家安全的各個(gè)領(lǐng)域，極大地改變了社會(huì)生產(chǎn)生活方式。誠然，互聯(lián)網(wǎng)的不斷發(fā)展創(chuàng)新著各領(lǐng)域產(chǎn)業(yè)的發(fā)展，推動(dòng)了社會(huì)進(jìn)步。然而，互聯(lián)網(wǎng)應(yīng)用云化以及計(jì)算機(jī)等終端通信設(shè)備的普及化也使影響國家安全、社會(huì)穩(wěn)定和個(gè)人隱私安全的網(wǎng)絡(luò)安全事件和行為陡增。因此，在網(wǎng)絡(luò)時(shí)代，在廣泛關(guān)注創(chuàng)新發(fā)展的同時(shí)，當(dāng)面臨網(wǎng)絡(luò)安全事件以及因此而影響到用戶合法權(quán)益、社會(huì)秩序以及公共利益時(shí)，我們不得不正視創(chuàng)新與安全間的沖突[11]。這就需要加強(qiáng)對(duì)網(wǎng)絡(luò)安全的防控，而確立有效的信息披露機(jī)制則成為能夠協(xié)調(diào)創(chuàng)新發(fā)展和安全保障的重要防控舉措。例如，Microsoft Windows 任務(wù)管理權(quán)限提升等漏洞可引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件，導(dǎo)致用戶計(jì)算機(jī)被控制。由于包括政府部門、重要信息系統(tǒng)部門以及大量用戶都使用Windows系統(tǒng)，一旦該漏洞被利用而引發(fā)網(wǎng)絡(luò)安全事件，那么網(wǎng)絡(luò)運(yùn)行系統(tǒng)，甚至工業(yè)控制網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施部門以及大量公共、私人用戶網(wǎng)絡(luò)均可遭受攻擊，導(dǎo)致運(yùn)行系統(tǒng)和信息內(nèi)容遭受安全威脅。而一些公司的惡意軟件或者漏洞已經(jīng)造成了實(shí)際的和潛在的損害，這種損害不僅僅使用戶暴露于攻擊之下，也使公司名譽(yù)受損，更嚴(yán)重的是技術(shù)保護(hù)措施所造成的損害不是單一的。因?yàn)樾畔⒓夹g(shù)設(shè)施分布式的本質(zhì)，整個(gè)網(wǎng)絡(luò)安全部分涉及成千上萬的私人電腦，對(duì)個(gè)人電腦的攻擊，通過延伸必然涉及網(wǎng)絡(luò)本身，而受攻擊的系統(tǒng)可包含公司、大學(xué)、政府或軍事網(wǎng)絡(luò)。然而，在具體實(shí)施中，必然會(huì)面臨創(chuàng)新發(fā)展與安全的矛盾性。在損害尚未發(fā)生前，一些主體擔(dān)心一旦及時(shí)告知用戶可能造成用戶的恐慌，這不僅危及權(quán)利主體自身利益，影響產(chǎn)業(yè)的發(fā)展，而且也使安全問題的解決陷于困境。于是一些企業(yè)基于信譽(yù)和名聲以及影響發(fā)展的考慮會(huì)選擇隱瞞相關(guān)信息，其結(jié)果可能導(dǎo)致?lián)p失的無限擴(kuò)大。而事實(shí)上，很多私營部門網(wǎng)絡(luò)攻擊入侵的防御體系不完備[12]。盡管安全披露義務(wù)可增加企業(yè)防御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的成本，一定時(shí)期內(nèi)需要犧牲其發(fā)展利益，但是不能以犧牲網(wǎng)絡(luò)安全為代價(jià)而換取行業(yè)或產(chǎn)業(yè)創(chuàng)新發(fā)展，再者信息安全披露義務(wù)也加強(qiáng)了相關(guān)行業(yè)和產(chǎn)業(yè)防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。為此，有必要在發(fā)現(xiàn)漏洞時(shí)及時(shí)披露信息以及明確相應(yīng)漏洞修補(bǔ)程序強(qiáng)制性義務(wù)。

三、網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

網(wǎng)絡(luò)安全事件信息披露機(jī)制的確立具有現(xiàn)實(shí)必要性，而披露義務(wù)的行使單純依靠行業(yè)協(xié)會(huì)的自律并不足以應(yīng)對(duì)，“法的功能在于調(diào)節(jié)、調(diào)和與調(diào)解各種錯(cuò)雜和沖突的利益，以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲”[13]。因此，建構(gòu)系統(tǒng)化的信息披露機(jī)制制度是形成網(wǎng)絡(luò)安全保障體系的重要組成部分，也應(yīng)是互聯(lián)網(wǎng)立法中的應(yīng)有內(nèi)容。

(一)信息披露的主體

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)站顯示，包括通信管理局、基礎(chǔ)電信運(yùn)營企業(yè)、非經(jīng)營性互聯(lián)單位、安全企業(yè)及其他一些地方和行業(yè)互聯(lián)網(wǎng)協(xié)會(huì)承擔(dān)向國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào)網(wǎng)絡(luò)信息的工作，但是這并非強(qiáng)制義務(wù)，并非所有主體應(yīng)承擔(dān)強(qiáng)制性信息披露義務(wù)。具體而言，在網(wǎng)絡(luò)安全事件中，具體的披露主體至少應(yīng)包括以下幾類：(1)軟硬件廠商，包括發(fā)布網(wǎng)絡(luò)安全方面軟硬件的企業(yè)。作為軟硬件的直接權(quán)利主體以及直接掌握這些技術(shù)措施信息的主體，理應(yīng)在發(fā)現(xiàn)安全風(fēng)險(xiǎn)時(shí)及時(shí)披露，他們有義務(wù)在向用戶提供服務(wù)時(shí)標(biāo)識(shí)采取的技術(shù)特征信息，包括使用范圍、使用限制、運(yùn)行環(huán)境的要求以及運(yùn)行后可能存在的風(fēng)險(xiǎn)，并在征得用戶完全同意的情況下方能下載或安裝。當(dāng)發(fā)布的產(chǎn)品是眾所周知的能夠引起或可能對(duì)用戶系統(tǒng)造成功能性傷害時(shí)，應(yīng)發(fā)布安全通知，告知通過檢測所合理預(yù)測的信息安全問題或別的風(fēng)險(xiǎn)的存在；(2)政府相關(guān)網(wǎng)絡(luò)安全管理部門。作為專門的網(wǎng)絡(luò)安全管理部門，承擔(dān)安全保障的重要職能，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時(shí)及時(shí)向社會(huì)發(fā)布其評(píng)估監(jiān)測的內(nèi)容是其職責(zé)范圍之事；(3)涉及重要信息泄露的重要行業(yè)部門，諸如基礎(chǔ)電信部門、醫(yī)療、金融、教育等關(guān)乎大量個(gè)人重要信息和重要產(chǎn)業(yè)信息的部門。由于網(wǎng)絡(luò)安全事件可能波及大量重要信息系統(tǒng)和信息內(nèi)容的泄漏，因此一旦發(fā)現(xiàn)入侵、攻擊、泄漏等風(fēng)險(xiǎn)應(yīng)及時(shí)披露相關(guān)信息。

(二)信息披露的對(duì)象

網(wǎng)絡(luò)安全事件信息披露應(yīng)當(dāng)有具體的披露對(duì)象，具體而言：一是各類產(chǎn)品的直接用戶。由于用戶是這些產(chǎn)品的直接使用者，也是風(fēng)險(xiǎn)發(fā)生后的直接受害者，依據(jù)《消費(fèi)者權(quán)益保護(hù)法》《合法同》等相關(guān)法律，他們具有對(duì)商品或提供服務(wù)的知情權(quán)，因此應(yīng)當(dāng)作為直接披露對(duì)象。與此同時(shí)，接受信息的用戶可及時(shí)采取措施針對(duì)類似網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全事件作出反應(yīng)，諸如下載補(bǔ)丁程序，或者控制或破壞攻擊病毒，這被認(rèn)為“應(yīng)對(duì)網(wǎng)絡(luò)攻擊的重要反應(yīng)，也是規(guī)制網(wǎng)絡(luò)安全的重要環(huán)節(jié)”[12]。

二是網(wǎng)絡(luò)安全的主管機(jī)構(gòu)。由于各部門在各自領(lǐng)域內(nèi)開展相應(yīng)工作，而網(wǎng)絡(luò)安全領(lǐng)域問題涉及面寬且復(fù)雜，可能同時(shí)涉及不同的工作部分。信息網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)安全復(fù)雜性較強(qiáng)，公民、法人和其他組織的合法權(quán)益與社會(huì)利益、公共安全以及國家安全威脅可能同時(shí)存在，當(dāng)涉及由行政機(jī)關(guān)依法執(zhí)行維護(hù)國家安全所保護(hù)的網(wǎng)絡(luò)安全及其他相關(guān)事項(xiàng)產(chǎn)生安全風(fēng)險(xiǎn)時(shí)，相關(guān)主體應(yīng)及時(shí)對(duì)各相關(guān)主管機(jī)關(guān)披露。中國對(duì)網(wǎng)絡(luò)安全監(jiān)管采取的是分業(yè)縱向監(jiān)管模式，主管機(jī)關(guān)有：國務(wù)院信息化工作領(lǐng)導(dǎo)小組及其辦公室、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門、信息產(chǎn)業(yè)部、國務(wù)院信息產(chǎn)業(yè)主管部分、國家密碼管理機(jī)構(gòu)和國務(wù)院其他有關(guān)部門，它們?cè)诟髯灶I(lǐng)域承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全監(jiān)管職責(zé)。為此，網(wǎng)絡(luò)安全事件可及時(shí)向網(wǎng)絡(luò)安全的主管機(jī)構(gòu)披露，而各網(wǎng)絡(luò)安全主管機(jī)構(gòu)之間應(yīng)實(shí)現(xiàn)信息共享并及時(shí)協(xié)調(diào)，向社會(huì)發(fā)布相關(guān)信息和防控措施。

(三)信息披露主要內(nèi)容及時(shí)間

信息披露內(nèi)容和時(shí)間是信息披露機(jī)制中的重要內(nèi)容。網(wǎng)絡(luò)環(huán)境使網(wǎng)絡(luò)安全事件造成的損害具有不可逆性，損害后果嚴(yán)重，這要求披露義務(wù)主體首先在網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)產(chǎn)生之前，為防范安全風(fēng)險(xiǎn)以及降低損害程度，對(duì)于已監(jiān)測的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅信息，有關(guān)部門、機(jī)構(gòu)和人員應(yīng)及時(shí)發(fā)布預(yù)警，告知相關(guān)用戶隱藏的安全風(fēng)險(xiǎn)，包括發(fā)生的可能性、潛在影響范圍和危害程度。諸如近年來，大量基于網(wǎng)絡(luò)應(yīng)用、安全產(chǎn)品、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全漏洞事件曝光，危害影響可涉及電信、移動(dòng)互聯(lián)網(wǎng)、工控體系等不同行業(yè)以及其他公私用戶網(wǎng)絡(luò)與信息安全，于是對(duì)漏洞信息適時(shí)的、負(fù)責(zé)任的信息披露就顯得很有必要。

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生后，諸如發(fā)生危害社會(huì)公共秩序，突發(fā)重大社會(huì)安全事件時(shí)，相關(guān)主體應(yīng)及時(shí)(可理解為合理時(shí)間范圍內(nèi)，需要依據(jù)實(shí)際情況判斷)披露網(wǎng)絡(luò)安全事件發(fā)生、發(fā)展情況；實(shí)際產(chǎn)生的安全損害是什么；產(chǎn)生安全風(fēng)險(xiǎn)和威脅的影響范圍是什么以及相應(yīng)事件信息的分析評(píng)估與結(jié)果等方面的內(nèi)容。此外，在披露安全風(fēng)險(xiǎn)和威脅信息時(shí)應(yīng)發(fā)布避免和減輕危害的必要解決措施，以使用戶和相關(guān)主體能進(jìn)一步評(píng)估其所面臨的風(fēng)險(xiǎn)，進(jìn)而采取相應(yīng)措施應(yīng)對(duì)產(chǎn)生的風(fēng)險(xiǎn)和威脅，控制損失的擴(kuò)大化。而對(duì)于部分不可提前預(yù)測的安全風(fēng)險(xiǎn)和威脅，也應(yīng)在實(shí)際發(fā)現(xiàn)或威脅實(shí)際產(chǎn)生時(shí)及時(shí)予以披露，以阻止損失發(fā)生。當(dāng)然，當(dāng)及時(shí)披露妨害執(zhí)法機(jī)關(guān)執(zhí)法取證，涉及到危及公眾利益、影響相關(guān)產(chǎn)業(yè)發(fā)展時(shí)，披露應(yīng)暫緩公告。

(四)信息披露要求和責(zé)任

按照信息披露機(jī)制的要求，對(duì)于網(wǎng)絡(luò)安全事件的披露應(yīng)是足夠的和有效的，而且“風(fēng)險(xiǎn)披露內(nèi)容應(yīng)該是特殊的和具體的”[9]，即體現(xiàn)披露的充分性。這里的足夠和有效的通知必須使普通用戶能夠充分認(rèn)識(shí)到網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)和威脅，因此上述通知應(yīng)以能夠幫助用戶更容易觀察和閱讀的方式發(fā)布，描述的信息能使使用者在使用產(chǎn)品時(shí)合理地保護(hù)自身信息系統(tǒng)功能和信息內(nèi)容安全，避免眾所周知的和可能的傷害產(chǎn)生。這一要求顯示對(duì)于具體的信息披露表達(dá)應(yīng)在顯而易見的地方，并且是令人信服的。對(duì)于司法實(shí)踐而言，如果不是輕易地被看見，通常應(yīng)視為經(jīng)營者沒有向用戶提供他們的明確通知，因此不是可執(zhí)行的[14]。比如通過不清楚的鏈接、不顯眼的字體(如腳注字體)、在灰色背景上的灰色類型、不清楚的鏈接標(biāo)簽意圖去警惕用戶關(guān)于披露的存在。對(duì)于法庭而言，它判斷的標(biāo)準(zhǔn)不是雙方通常對(duì)信息披露內(nèi)容的理解，也不是用戶的實(shí)際理解，而是這一披露是否被以明顯的方式顯示。比如，對(duì)于安裝的各類軟硬件產(chǎn)品，或者網(wǎng)站的漏洞風(fēng)險(xiǎn)應(yīng)在其產(chǎn)品或者平臺(tái)顯眼位置發(fā)布明確而詳細(xì)的說明，并獲得用戶的明確同意后予以安裝。與此同時(shí)，對(duì)于發(fā)生的網(wǎng)絡(luò)安全事件解決方案的披露除及時(shí)外，也應(yīng)當(dāng)具體和具可操作，如此方可實(shí)現(xiàn)防控風(fēng)險(xiǎn)和威脅的目的。

當(dāng)承擔(dān)披露義務(wù)的主體不履行披露義務(wù)致使公私財(cái)產(chǎn)和信息安全受到影響或者不及時(shí)、不充分實(shí)施披露行為致使損害擴(kuò)大時(shí)，立法應(yīng)規(guī)定罰則，要求相應(yīng)主體承擔(dān)相應(yīng)的法律責(zé)任，包括民事、行政和刑事法律責(zé)任。諸如美國加州2012年通過的S.B.1386法案即明確了保存公民信息的機(jī)構(gòu)有義務(wù)向受害者披露信息泄漏事件，否則可因民事訴訟而承擔(dān)賠償責(zé)任。

(五)信息披露的例外

雖然網(wǎng)絡(luò)安全事件相關(guān)主體應(yīng)當(dāng)承擔(dān)一定的信息披露義務(wù)，但是這一披露義務(wù)并非是絕對(duì)的，具體在披露內(nèi)容上需要掌握可披露的度，既保障公眾的知情權(quán)，又兼顧網(wǎng)絡(luò)安全、社會(huì)秩序穩(wěn)定以及國家安全。信息披露例外機(jī)制的確立非常必要，它是披露機(jī)制體系的重要組成部分，這也是現(xiàn)行網(wǎng)絡(luò)安全立法所缺乏的。具體而言：披露的信息內(nèi)容應(yīng)該是被分類的，一些未授權(quán)的敏感信不在披露范圍之內(nèi)[15]。當(dāng)披露的內(nèi)容將涉及違反其他法律規(guī)定、機(jī)密信息、妨害執(zhí)法或損害國家利益以及公共利益、損害其他特定的公有或私營企業(yè)的合法商業(yè)利益時(shí)，可不承擔(dān)信息披露義務(wù)?？傊⒎☉?yīng)明確規(guī)定網(wǎng)絡(luò)安全事件信息披露的相應(yīng)例外條款，保障信息披露機(jī)制建構(gòu)的完整性。

[1]馬民虎.網(wǎng)絡(luò)信息安全保障的法律監(jiān)管研究[M].西安:陜西科學(xué)技術(shù)出版社,2007.

[2]張樂,郝文江,武捷.美國網(wǎng)絡(luò)入侵信息披露制度簡介[C]//全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集(第二十五卷).合肥:中國科學(xué)技術(shù)大學(xué)出版社,2010:121.

[3]李國敏.2014年重大網(wǎng)絡(luò)安全事件回顧[N].科技日?qǐng)?bào),2014-12-24(11).

[4]佚名.美發(fā)現(xiàn)新瀏覽器攻擊模式：可監(jiān)控全球八成PC[EB/OL].[2015-04-24].http://www.cnnic.net.cn/gjymaqzx/aqgg/aqggaqsj/201504/t20150424_52123.htm.

[5]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M].北京:人民郵電出版社,2015:15.

[6]國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)(2016年第39期)[EB/OL].[2016-09-30].http://www.cert.org.cn/publish/main/upload/File/2016CNCERT39.pdf.

[7]肖前忠.年終盤點(diǎn)：2014年國內(nèi)和國際網(wǎng)絡(luò)信息安全大事件[EB/OL].[2015-03-10].http://www.d1net.com/security/news/326109.html.

[8]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL].[2016-05-01].http://www.cert.org.cn/publish/main/upload/File/2015%20Situation.pdf.

[9]趙麗莉.基于過程控制理念的網(wǎng)絡(luò)安全法律治理研究——以“風(fēng)險(xiǎn)預(yù)防與控制”為核心[J].情報(bào)雜志,2015(8):177-181.

[10]TROPE R L,HUGHES S J.The SEC staff’s “Cybersecurity Disclosure” guidance: Will it help investors or cyber-thieves more?[J].Business Law Today,2011:1-4.

[11]趙麗莉.論版權(quán)技術(shù)保護(hù)措施信息安全遵從義務(wù)——以法國《信息社會(huì)版權(quán)與鄰接權(quán)法》第15條為視角[J].情報(bào)理論與實(shí)踐,2012(12):32-36.

[12]SALES N A.Regulating cyber-security[J].Northwestern University Law Review,2013,107(4):1508-1564.

[13]羅斯科·龐德.通過法律的社會(huì)控制——法律的任務(wù)[M].沈宗靈,董世忠,譯.北京:商務(wù)印書館,1984:42.

[14]MATWYSHYN A M.Hidden engines of destruction:the reasonable expection of code safety and the duty to warn in digital products[J].Florida Law Review,2010(62):109-157.

[15]DYCUS S.Congress’s role in cyber warfare[J].Journal of National Security Law & Policy,2010,4(1):155-171.

(責(zé)任編輯 胡志平)

Research on the construction of information disclosure mechanism of cyber security event

ZHAO Lili1，ZHONG Han2

(1.SchoolofLaw,XinjiangFinanceandEconomicUniversity,Wulumuqi830012,P.R.China;2.DepartmentofComputerScience&Technology,NanjingUniversity,Nanjing210064,P.R.China)

With the rapid development of Internet and information technology,cyber security has more and more influence on national economy,social life and even national security. At the same time,banking,telecommunications networks,government departments and other key infrastructure,large-scale commercial websites,cloud services,industrial Internet are increasingly becoming the focus of cyber attacks; and cyber security and security incidents of basic network,important information systems,common software and hardware vulnerabilities,large web sites and personal information leakage are serious,which has threatened data and personal information security,social stability and national security. Cyber security event information disclosure mechanism can effectively prevent and control the risk and threat of cyber information security,such as malicious software,vulnerability risk,data leakage and so on. “Cyber Security Act” (Draft) established the corresponding information disclosure provisions. Therefore,to further clarify the responsibility of the main body of the cyber space and effectively manage and regulate the risk of cyber security incidents,it is practical necessity to construct the effective information disclosure mechanism of cyber security event .

cyber security; risks and threats; information disclosure;system

10.11835/j.issn.1008-5831.2017.01.013

Format: ZHAO Lili,ZHONG Han .Research on the construction of information disclosure mechanism of cyber security event[J].Journal of Chongqing University( Social Science Edition),2017(1):109-114.

2016-11-23

2016年度國家社會(huì)科學(xué)基金西部項(xiàng)目“網(wǎng)絡(luò)時(shí)代暴恐信息傳播法律治理創(chuàng)新研究”(2016XFX014)

趙麗莉(1978-)，女，山西榆社人，新疆財(cái)經(jīng)大學(xué)法學(xué)院副教授，法學(xué)博士，碩士研究生導(dǎo)師，西安交通大學(xué)信息安全法律研究中心兼職研究員，主要從事信息安全法、知識(shí)產(chǎn)權(quán)法研究，E-Mail：lilihellozl@sina.cn。

D922.8

A

1008-5831(2017)01-0109-06

歡迎按以下格式引用：趙麗莉,鐘晗.論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)[J].重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2017(1):109-114.