趙麗莉 鐘晗

摘要：伴隨互聯(lián)網(wǎng)和信息化的迅猛發(fā)展，網(wǎng)絡(luò)安全對國家經(jīng)濟、社會生活甚至國家安全的影響日益增強。與此同時，銀行、電信網(wǎng)絡(luò)、政府部門等關(guān)鍵基礎(chǔ)設(shè)施、大型商業(yè)網(wǎng)站、云服務(wù)、工業(yè)控制系統(tǒng)均日益成為網(wǎng)絡(luò)攻擊重點；基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、通用軟硬件的漏洞攻擊風(fēng)險、大型網(wǎng)站數(shù)據(jù)和個人信息泄露現(xiàn)象嚴重，網(wǎng)絡(luò)安全事件頻發(fā)，信息披露訴求應(yīng)運而生。網(wǎng)絡(luò)安全事件信息披露機制可有效防控惡意軟件、漏洞風(fēng)險、數(shù)據(jù)泄漏等網(wǎng)絡(luò)信息安全風(fēng)險和威脅。為此，為進一步明確網(wǎng)絡(luò)空間各主體有效管理和規(guī)制網(wǎng)絡(luò)安全風(fēng)險和威脅的責(zé)任，建構(gòu)系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機制具有現(xiàn)實必要性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；風(fēng)險與威脅；信息披露；體系化

中圖分類號：D9228 文獻標(biāo)志碼：A 文章編號：

10085831（2017）01010906

一、網(wǎng)絡(luò)安全事件披露機制的提出與界定

（一）問題的提出

在互聯(lián)網(wǎng)全面發(fā)展之際，互聯(lián)網(wǎng)已深入國家政治、經(jīng)濟、文化、醫(yī)療、教育等社會生產(chǎn)、生活的各個領(lǐng)域，“互聯(lián)網(wǎng)+”新時代模式開啟。然而網(wǎng)絡(luò)欺詐，政府網(wǎng)站等關(guān)鍵基礎(chǔ)設(shè)施被攻擊，重要信息被泄露，恐怖分子等不法分子利用互聯(lián)網(wǎng)策劃組織暴力恐怖事件等網(wǎng)絡(luò)安全事件頻發(fā)。當(dāng)頻發(fā)的網(wǎng)絡(luò)事件關(guān)乎信息系統(tǒng)和信息內(nèi)容安全，使公民、組織的信息安全以及公共安全和國家安全被威脅時，為了能夠?qū)崟r控制網(wǎng)絡(luò)安全應(yīng)用過程，提高網(wǎng)絡(luò)安全事件治理的透明度，適時的網(wǎng)絡(luò)安全事件信息披露就顯得非常必要。此外，網(wǎng)絡(luò)安全事件產(chǎn)生因素多樣，產(chǎn)生的風(fēng)險具有不確定性、不可逆性，而且產(chǎn)生損害的時間非常短，若不能及時告知，則產(chǎn)生的損害將無法恢復(fù)和估計。在美國，已有45個州出臺要求公司或政府機構(gòu)披露入侵有關(guān)個人信息事件的法案[1]。2015年6月19日《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》簽署，包括國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）、重要行業(yè)部門、基礎(chǔ)設(shè)施部門、軟硬件廠商以及網(wǎng)絡(luò)安全企業(yè)等在內(nèi)的32家單位參與，該公約以行業(yè)自律方式規(guī)范網(wǎng)絡(luò)安全事件之漏洞信息的披露工作。但中國文獻鮮少研究不同部門、機構(gòu)和人員的網(wǎng)絡(luò)安全事件信息披露機制建構(gòu)問題，而是更多地從技術(shù)角度關(guān)注安全事件的發(fā)現(xiàn)、處置，或者從宏觀視角研究網(wǎng)絡(luò)安全保障問題。當(dāng)網(wǎng)絡(luò)安全事件發(fā)現(xiàn)及預(yù)警通報的信息披露工作在應(yīng)對網(wǎng)絡(luò)安全威脅方面的作用日益凸顯時，以網(wǎng)絡(luò)安全治理視角探索系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機制建構(gòu)問題就成為值得深思的問題。目前的立法并未對需披露的網(wǎng)絡(luò)安全事件進行等級分類，也未涉及多大范圍內(nèi)披露和披露什么內(nèi)容以及披露時間等具體規(guī)定。

（二）網(wǎng)絡(luò)安全事件信息披露機制界定

網(wǎng)絡(luò)安全事件主要涉及影響互聯(lián)網(wǎng)安全運行的事件、波及較大范圍互聯(lián)網(wǎng)用戶事件和涉及政府部門和重要信息系統(tǒng)的事件，事件類型主要包括漏洞、網(wǎng)頁仿冒、網(wǎng)頁篡改、惡意程序、網(wǎng)站后門、網(wǎng)頁掛馬、拒絕服務(wù)攻擊等方面。網(wǎng)絡(luò)安全事件信息披露機制作為廣義信息披露的一種，其披露的信息范圍即是與特定網(wǎng)絡(luò)安全事件相關(guān)的風(fēng)險信息，主要包括信息系統(tǒng)功能性風(fēng)險和信息安全內(nèi)容風(fēng)險。功能性風(fēng)險主要指針對信息系統(tǒng)實體安全和信息系統(tǒng)運行安全兩個方面。前者指信息系統(tǒng)設(shè)備、設(shè)施免受破壞；后者指防止信息系統(tǒng)被非法侵入，信息系統(tǒng)因病毒等破壞性程序的感染或其他非法攻擊而遭受損害，網(wǎng)絡(luò)或通信服務(wù)被非正常中斷，使信息網(wǎng)絡(luò)或通信系統(tǒng)不能正常運行等危害。網(wǎng)絡(luò)安全內(nèi)容風(fēng)險則主要包括重要信息泄密、暴力恐怖音視頻內(nèi)容的網(wǎng)絡(luò)傳播等。

網(wǎng)絡(luò)安全事件信息披露本身可以被視為將風(fēng)險信息公知化的過程，但基于網(wǎng)絡(luò)安全事件信息的敏感性，這一公知過程可能產(chǎn)生潛在的負面影響。為此，網(wǎng)絡(luò)安全事件信息披露需要在有效機制的規(guī)范下予以實施。網(wǎng)絡(luò)安全事件信息披露機制即是網(wǎng)絡(luò)安全事件信息披露的約束性框架，是對可能造成特定信息系統(tǒng)和信息內(nèi)容安全減損，影響用戶合法權(quán)益，造成人身或財產(chǎn)損失，或可能產(chǎn)生其他嚴重危害后果的事件信息進行公知活動的系統(tǒng)性規(guī)范，包括披露主體、披露內(nèi)容、披露程序、披露時間、披露對象、相關(guān)責(zé)任和例外規(guī)定等，進而有效規(guī)范網(wǎng)絡(luò)安全事件信息披露活動。

全保護工作的重要組成部分，其價值基礎(chǔ)可以歸納為兩個方面：（1）有助于防控網(wǎng)絡(luò)安全威脅，可使用戶清晰認知網(wǎng)絡(luò)安全事件風(fēng)險，并充分利用披露的信息及時采取預(yù)防和控制措施，有效預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險的產(chǎn)生，降低或阻止威脅的擴大化；（2）可強化國家安全基礎(chǔ)數(shù)據(jù)保障的綜合能力，有效協(xié)調(diào)創(chuàng)新發(fā)展與用戶安全保障矛盾。

（一）防控網(wǎng)絡(luò)安全威脅

隨著信息網(wǎng)絡(luò)滲透于人類生產(chǎn)和生活的方方面面，人類政治、經(jīng)濟、軍事、科技、文化生活、環(huán)境等各個方面對信息網(wǎng)絡(luò)的依賴性越來越強，個人、企業(yè)、民族、國家乃至人類的安全也建立于互聯(lián)網(wǎng)中，網(wǎng)絡(luò)安全已成為關(guān)乎個人乃至整個國家的重要問題。CNCERT報告顯示，僅 2015 年 8 月即收到網(wǎng)絡(luò)安全事件達9 655 件

國家互聯(lián)網(wǎng)應(yīng)急中心《CNCERT互聯(lián)網(wǎng)安全威脅報告》（2015年08月）。，[3]。諸如針對信息系統(tǒng)的安全威脅：2014年“全國DNS大劫難”事故中超過85%的用戶遭遇了網(wǎng)速變慢和網(wǎng)站打不開的DNS故障，國內(nèi)2/3網(wǎng)站因此受影響；OpenSSL公布的重大安全漏洞顯示，該安全漏洞正被網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊所利用而成為新的威脅，該漏洞可使任何人讀取系統(tǒng)運行的內(nèi)存，安全行業(yè)人士實踐利用此漏洞可實時獲取網(wǎng)站、電商、網(wǎng)上支付等網(wǎng)站用戶賬號和密碼，并實現(xiàn)成功登陸[3]。該漏洞已使網(wǎng)站、即時聊天、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻等系統(tǒng)遭受安全風(fēng)險和威脅。美國《福布斯》網(wǎng)站報道一款漏洞“可被黑客利用在不被檢測情況下實現(xiàn)對全球八成個人電腦、網(wǎng)絡(luò)應(yīng)用或者云端虛擬機實現(xiàn)監(jiān)控”[4]。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2015年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，諸多網(wǎng)絡(luò)安全威脅伴隨信息化的不斷發(fā)展而產(chǎn)生，包括重要信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、智能終端領(lǐng)域軟硬件漏洞攻擊；重要網(wǎng)站域名解析篡改攻擊；工業(yè)控制系統(tǒng)、移動應(yīng)用程序惡意軟件攻擊；分布式反射性的拒絕服務(wù)攻擊；網(wǎng)站數(shù)據(jù)和個人信息泄漏等方面[5]。2016年該工具被爆出的DROWN安全漏洞又使國內(nèi)10萬余家網(wǎng)站受影響。另據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNERT/CC）2016年第39期發(fā)布的互聯(lián)網(wǎng)安全威脅報告顯示，僅2016年9月19日至25日一周內(nèi)“境內(nèi)感染網(wǎng)絡(luò)病毒主機數(shù)591萬；網(wǎng)站被篡改數(shù)量為2 477個，包括政府網(wǎng)站53個；新增信息系統(tǒng)安全漏洞257個，其中，高危漏洞146個；處理各類網(wǎng)絡(luò)安全事件622起，包括跨境案件158起”[6]。

此外，近年來針對網(wǎng)絡(luò)信息內(nèi)容的安全威脅事件亦處于頻發(fā)狀態(tài)，且影響后果越來越大：諸如2014年4月黑客利用快遞公司官網(wǎng)漏洞入侵網(wǎng)站，1 400萬條用戶個人信息被非法竊取，2014年12月25日中國大型交通購票網(wǎng)站12306網(wǎng)站中約10萬多條用戶數(shù)據(jù)被泄漏，包括用戶賬號、密碼、身份證號、手機號碼以及電子郵箱等重要信息[7]。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報告顯示，2015 年，該中心抽樣監(jiān)測發(fā)現(xiàn)的惡意軟件程序轉(zhuǎn)發(fā)用戶信息郵件超過66萬封，大量個人隱私信息可通過郵件被發(fā)送到指定郵箱[8]； 2015年發(fā)生約10萬條應(yīng)屆高考生信息泄漏事件，而2016年更發(fā)生多名學(xué)生更因個人信息泄漏而引發(fā)學(xué)費被騙事件。2016年信誠人壽保險公司被曝其平臺面臨客戶銀行卡號、密碼、身份證等重要敏感信息被泄漏的風(fēng)險。目前，由于教育、金融、醫(yī)療、物流行業(yè)、政府等都與互聯(lián)網(wǎng)密切相關(guān)，這一方面網(wǎng)絡(luò)安全威脅已對各領(lǐng)域重要信息系統(tǒng)安全、公共網(wǎng)絡(luò)環(huán)境安全造成威脅，產(chǎn)生重大突發(fā)網(wǎng)絡(luò)安全事件風(fēng)險。此外，“暴恐音視頻”的網(wǎng)絡(luò)傳播威脅則可在“意識形態(tài)領(lǐng)域、文化領(lǐng)域”沖擊國家安全和社會穩(wěn)定，這已成為一些特定區(qū)域網(wǎng)絡(luò)安全威脅的主要內(nèi)容。在國內(nèi)破獲的各種暴力恐怖犯罪，其涉案人員幾乎均觀看收聽了包括宣揚暴力恐怖、宗教極端、民族分裂等暴力恐怖音像視頻，其中，互聯(lián)網(wǎng)成為獲得、傳播、觀看和組織實施恐怖活動的重要渠道。

有鑒于此，頻發(fā)的網(wǎng)絡(luò)安全事件無論是針對網(wǎng)絡(luò)運行系統(tǒng)安全，還是網(wǎng)絡(luò)信息內(nèi)容安全都已成為關(guān)乎互聯(lián)網(wǎng)健康發(fā)展乃至國家安全和社會穩(wěn)定的重大問題，而有效的網(wǎng)絡(luò)安全治理機制尤顯必要和緊迫。鑒于網(wǎng)絡(luò)安全風(fēng)險和威脅的動態(tài)性，目前的網(wǎng)絡(luò)安全事件治理缺乏一種動態(tài)的機制以實現(xiàn)對網(wǎng)絡(luò)信息安全事件的前期控制，于是“確立以預(yù)防與控制為核心的治理理念和機制極為必要”[9]。而網(wǎng)絡(luò)安全事件信息披露機制的建構(gòu)即可體現(xiàn)這種預(yù)防與控制的理念，而且“管理和披露信息安全風(fēng)險也被認為是網(wǎng)絡(luò)時代一些主體的責(zé)任”[10]。面對不斷增長的網(wǎng)絡(luò)安全事件威脅，有效的信息披露機制確立可使用戶及時預(yù)判，并因此而防范和控制風(fēng)險和威脅的產(chǎn)生，從而確保網(wǎng)絡(luò)安全。

（二） 協(xié)調(diào)創(chuàng)新發(fā)展與安全保障之間的矛盾

隨著新一代網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的日常社會生活方式正在發(fā)生巨大的變化。新一代網(wǎng)絡(luò)技術(shù)已延伸到國家政治、經(jīng)濟、軍事、科技和文化等各個方面，滲入到人們的日常生活、社會活動、經(jīng)濟行為和國家安全的各個領(lǐng)域，極大地改變了社會生產(chǎn)生活方式。誠然，互聯(lián)網(wǎng)的不斷發(fā)展創(chuàng)新著各領(lǐng)域產(chǎn)業(yè)的發(fā)展，推動了社會進步。然而，互聯(lián)網(wǎng)應(yīng)用云化以及計算機等終端通信設(shè)備的普及化也使影響國家安全、社會穩(wěn)定和個人隱私安全的網(wǎng)絡(luò)安全事件和行為陡增。因此，在網(wǎng)絡(luò)時代，在廣泛關(guān)注創(chuàng)新發(fā)展的同時，當(dāng)面臨網(wǎng)絡(luò)安全事件以及因此而影響到用戶合法權(quán)益、社會秩序以及公共利益時，我們不得不正視創(chuàng)新與安全間的沖突[11]。這就需要加強對網(wǎng)絡(luò)安全的防控，而確立有效的信息披露機制則成為能夠協(xié)調(diào)創(chuàng)新發(fā)展和安全保障的重要防控舉措。例如，Microsoft Windows 任務(wù)管理權(quán)限提升等漏洞可引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件，導(dǎo)致用戶計算機被控制。由于包括政府部門、重要信息系統(tǒng)部門以及大量用戶都使用Windows系統(tǒng)，一旦該漏洞被利用而引發(fā)網(wǎng)絡(luò)安全事件，那么網(wǎng)絡(luò)運行系統(tǒng)，甚至工業(yè)控制網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施部門以及大量公共、私人用戶網(wǎng)絡(luò)均可遭受攻擊，導(dǎo)致運行系統(tǒng)和信息內(nèi)容遭受安全威脅。而一些公司的惡意軟件或者漏洞已經(jīng)造成了實際的和潛在的損害，這種損害不僅僅使用戶暴露于攻擊之下，也使公司名譽受損，更嚴重的是技術(shù)保護措施所造成的損害不是單一的。因為信息技術(shù)設(shè)施分布式的本質(zhì)，整個網(wǎng)絡(luò)安全部分涉及成千上萬的私人電腦，對個人電腦的攻擊，通過延伸必然涉及網(wǎng)絡(luò)本身，而受攻擊的系統(tǒng)可包含公司、大學(xué)、政府或軍事網(wǎng)絡(luò)。然而，在具體實施中，必然會面臨創(chuàng)新發(fā)展與安全的矛盾性。在損害尚未發(fā)生前，一些主體擔(dān)心一旦及時告知用戶可能造成用戶的恐慌，這不僅危及權(quán)利主體自身利益，影響產(chǎn)業(yè)的發(fā)展，而且也使安全問題的解決陷于困境。于是一些企業(yè)基于信譽和名聲以及影響發(fā)展的考慮會選擇隱瞞相關(guān)信息，其結(jié)果可能導(dǎo)致?lián)p失的無限擴大。而事實上，很多私營部門網(wǎng)絡(luò)攻擊入侵的防御體系不完備[12]。盡管安全披露義務(wù)可增加企業(yè)防御網(wǎng)絡(luò)安全風(fēng)險的成本，一定時期內(nèi)需要犧牲其發(fā)展利益，但是不能以犧牲網(wǎng)絡(luò)安全為代價而換取行業(yè)或產(chǎn)業(yè)創(chuàng)新發(fā)展，再者信息安全披露義務(wù)也加強了相關(guān)行業(yè)和產(chǎn)業(yè)防控網(wǎng)絡(luò)安全風(fēng)險的能力。為此，有必要在發(fā)現(xiàn)漏洞時及時披露信息以及明確相應(yīng)漏洞修補程序強制性義務(wù)。

三、網(wǎng)絡(luò)安全事件信息披露機制的建構(gòu)

網(wǎng)絡(luò)安全事件信息披露機制的確立具有現(xiàn)實必要性，而披露義務(wù)的行使單純依靠行業(yè)協(xié)會的自律并不足以應(yīng)對，“法的功能在于調(diào)節(jié)、調(diào)和與調(diào)解各種錯雜和沖突的利益，以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲”[13]。因此，建構(gòu)系統(tǒng)化的信息披露機制制度是形成網(wǎng)絡(luò)安全保障體系的重要組成部分，也應(yīng)是互聯(lián)網(wǎng)立法中的應(yīng)有內(nèi)容。

（一）信息披露的主體

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)站顯示，包括通信管理局、基礎(chǔ)電信運營企業(yè)、非經(jīng)營性互聯(lián)單位、安全企業(yè)及其他一些地方和行業(yè)互聯(lián)網(wǎng)協(xié)會承擔(dān)向國家互聯(lián)網(wǎng)應(yīng)急中心通報網(wǎng)絡(luò)信息的工作，但是這并非強制義務(wù)，并非所有主體應(yīng)承擔(dān)強制性信息披露義務(wù)。具體而言，在網(wǎng)絡(luò)安全事件中，具體的披露主體至少應(yīng)包括以下幾類：（1）軟硬件廠商，包括發(fā)布網(wǎng)絡(luò)安全方面軟硬件的企業(yè)。作為軟硬件的直接權(quán)利主體以及直接掌握這些技術(shù)措施信息的主體，理應(yīng)在發(fā)現(xiàn)安全風(fēng)險時及時披露，他們有義務(wù)在向用戶提供服務(wù)時標(biāo)識采取的技術(shù)特征信息，包括使用范圍、使用限制、運行環(huán)境的要求以及運行后可能存在的風(fēng)險，并在征得用戶完全同意的情況下方能下載或安裝。當(dāng)發(fā)布的產(chǎn)品是眾所周知的能夠引起或可能對用戶系統(tǒng)造成功能性傷害時，應(yīng)發(fā)布安全通知，告知通過檢測所合理預(yù)測的信息安全問題或別的風(fēng)險的存在；（2）政府相關(guān)網(wǎng)絡(luò)安全管理部門。作為專門的網(wǎng)絡(luò)安全管理部門，承擔(dān)安全保障的重要職能，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時及時向社會發(fā)布其評估監(jiān)測的內(nèi)容是其職責(zé)范圍之事；（3）涉及重要信息泄露的重要行業(yè)部門，諸如基礎(chǔ)電信部門、醫(yī)療、金融、教育等關(guān)乎大量個人重要信息和重要產(chǎn)業(yè)信息的部門。由于網(wǎng)絡(luò)安全事件可能波及大量重要信息系統(tǒng)和信息內(nèi)容的泄漏，因此一旦發(fā)現(xiàn)入侵、攻擊、泄漏等風(fēng)險應(yīng)及時披露相關(guān)信息。

（二）信息披露的對象

網(wǎng)絡(luò)安全事件信息披露應(yīng)當(dāng)有具體的披露對象，具體而言：一是各類產(chǎn)品的直接用戶。由于用戶是這些產(chǎn)品的直接使用者，也是風(fēng)險發(fā)生后的直接受害者，依據(jù)《消費者權(quán)益保護法》《合法同》等相關(guān)法律，他們具有對商品或提供服務(wù)的知情權(quán)，因此應(yīng)當(dāng)作為直接披露對象。與此同時，接受信息的用戶可及時采取措施針對類似網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全事件作出反應(yīng)，諸如下載補丁程序，或者控制或破壞攻擊病毒，這被認為“應(yīng)對網(wǎng)絡(luò)攻擊的重要反應(yīng)，也是規(guī)制網(wǎng)絡(luò)安全的重要環(huán)節(jié)”[12]。

二是網(wǎng)絡(luò)安全的主管機構(gòu)。由于各部門在各自領(lǐng)域內(nèi)開展相應(yīng)工作，而網(wǎng)絡(luò)安全領(lǐng)域問題涉及面寬且復(fù)雜，可能同時涉及不同的工作部分。信息網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)安全復(fù)雜性較強，公民、法人和其他組織的合法權(quán)益與社會利益、公共安全以及國家安全威脅可能同時存在，當(dāng)涉及由行政機關(guān)依法執(zhí)行維護國家安全所保護的網(wǎng)絡(luò)安全及其他相關(guān)事項產(chǎn)生安全風(fēng)險時，相關(guān)主體應(yīng)及時對各相關(guān)主管機關(guān)披露。中國對網(wǎng)絡(luò)安全監(jiān)管采取的是分業(yè)縱向監(jiān)管模式，主管機關(guān)有：國務(wù)院信息化工作領(lǐng)導(dǎo)小組及其辦公室、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門、信息產(chǎn)業(yè)部、國務(wù)院信息產(chǎn)業(yè)主管部分、國家密碼管理機構(gòu)和國務(wù)院其他有關(guān)部門，它們

在各自領(lǐng)域承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全監(jiān)管職責(zé)。為此，網(wǎng)絡(luò)安全事件可及時向網(wǎng)絡(luò)安全的主管機構(gòu)披露，而各網(wǎng)絡(luò)安全主管機構(gòu)之間應(yīng)實現(xiàn)信息共享并及時協(xié)調(diào)，向社會發(fā)布相關(guān)信息和防控措施。

（三）信息披露主要內(nèi)容及時間

信息披露內(nèi)容和時間是信息披露機制中的重要內(nèi)容。網(wǎng)絡(luò)環(huán)境使網(wǎng)絡(luò)安全事件造成的損害具有不可逆性，損害后果嚴重，這要求披露義務(wù)主體首先在網(wǎng)絡(luò)安全事件風(fēng)險產(chǎn)生之前，為防范安全風(fēng)險以及降低損害程度，對于已監(jiān)測的網(wǎng)絡(luò)安全風(fēng)險和威脅信息，有關(guān)部門、機構(gòu)和人員應(yīng)及時發(fā)布預(yù)警，告知相關(guān)用戶隱藏的安全風(fēng)險，包括發(fā)生的可能性、潛在影響范圍和危害程度。諸如近年來，大量基于網(wǎng)絡(luò)應(yīng)用、安全產(chǎn)品、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全漏洞事件曝光，危害影響可涉及電信、移動互聯(lián)網(wǎng)、工控體系等不同行業(yè)以及其他公私用戶網(wǎng)絡(luò)與信息安全，于是對漏洞信息適時的、負責(zé)任的信息披露就顯得很有必要。

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生后，諸如發(fā)生危害社會公共秩序，突發(fā)重大社會安全事件時，相關(guān)主體應(yīng)及時（可理解為合理時間范圍內(nèi)，需要依據(jù)實際情況判斷）披露網(wǎng)絡(luò)安全事件發(fā)生、發(fā)展情況；實際產(chǎn)生的安全損害是什么；產(chǎn)生安全風(fēng)險和威脅的影響范圍是什么以及相應(yīng)事件信息的分析評估與結(jié)果等方面的內(nèi)容。此外，在披露安全風(fēng)險和威脅信息時應(yīng)發(fā)布避免和減輕危害的必要解決措施，以使用戶和相關(guān)主體能進一步評估其所面臨的風(fēng)險，進而采取相應(yīng)措施應(yīng)對產(chǎn)生的風(fēng)險和威脅，控制損失的擴大化。而對于部分不可提前預(yù)測的安全風(fēng)險和威脅，也應(yīng)在實際發(fā)現(xiàn)或威脅實際產(chǎn)生時及時予以披露，以阻止損失發(fā)生。當(dāng)然，當(dāng)及時披露妨害執(zhí)法機關(guān)執(zhí)法取證，涉及到危及公眾利益、影響相關(guān)產(chǎn)業(yè)發(fā)展時，披露應(yīng)暫緩公告。

（四）信息披露要求和責(zé)任

按照信息披露機制的要求，對于網(wǎng)絡(luò)安全事件的披露應(yīng)是足夠的和有效的，而且“風(fēng)險披露內(nèi)容應(yīng)該是特殊的和具體的”[9]，即體現(xiàn)披露的充分性。這里的足夠和有效的通知必須使普通用戶能夠充分認識到網(wǎng)絡(luò)安全事件的風(fēng)險和威脅，因此上述通知應(yīng)以能夠幫助用戶更容易觀察和閱讀的方式發(fā)布，描述的信息能使使用者在使用產(chǎn)品時合理地保護自身信息系統(tǒng)功能和信息內(nèi)容安全，避免眾所周知的和可能的傷害產(chǎn)生。這一要求顯示對于具體的信息披露表達應(yīng)在顯而易見的地方，并且是令人信服的。對于司法實踐而言，如果不是輕易地被看見，通常應(yīng)視為經(jīng)營者沒有向用戶提供他們的明確通知，因此不是可執(zhí)行的[14]。比如通過不清楚的鏈接、不顯眼的字體（如腳注字體）、在灰色背景上的灰色類型、不清楚的鏈接標(biāo)簽意圖去警惕用戶關(guān)于披露的存在。對于法庭而言，它判斷的標(biāo)準不是雙方通常對信息披露內(nèi)容的理解，也不是用戶的實際理解，而是這一披露是否被以明顯的方式顯示。比如，對于安裝的各類軟硬件產(chǎn)品，或者網(wǎng)站的漏洞風(fēng)險應(yīng)在其產(chǎn)品或者平臺顯眼位置發(fā)布明確而詳細的說明，并獲得用戶的明確同意后予以安裝。與此同時，對于發(fā)生的網(wǎng)絡(luò)安全事件解決方案的披露除及時外，也應(yīng)當(dāng)具體和具可操作，如此方可實現(xiàn)防控風(fēng)險和威脅的目的。

當(dāng)承擔(dān)披露義務(wù)的主體不履行披露義務(wù)致使公私財產(chǎn)和信息安全受到影響或者不及時、不充分實施披露行為致使損害擴大時，立法應(yīng)規(guī)定罰則，要求相應(yīng)主體承擔(dān)相應(yīng)的法律責(zé)任，包括民事、行政和刑事法律責(zé)任。諸如美國加州2012年通過的SB1386法案即明確了保存公民信息的機構(gòu)有義務(wù)向受害者披露信息泄漏事件，否則可因民事訴訟而承擔(dān)賠償責(zé)任。

（五）信息披露的例外

雖然網(wǎng)絡(luò)安全事件相關(guān)主體應(yīng)當(dāng)承擔(dān)一定的信息披露義務(wù)，但是這一披露義務(wù)并非是絕對的，具體在披露內(nèi)容上需要掌握可披露的度，既保障公眾的知情權(quán)，又兼顧網(wǎng)絡(luò)安全、社會秩序穩(wěn)定以及國家安全。信息披露例外機制的確立非常必要，它是披露機制體系的重要組成部分，這也是現(xiàn)行網(wǎng)絡(luò)安全立法所缺乏的。具體而言：披露的信息內(nèi)容應(yīng)該是被分類的，一些未授權(quán)的敏感信不在披露范圍之內(nèi)[15]。當(dāng)披露的內(nèi)容將涉及違反其他法律規(guī)定、機密信息、妨害執(zhí)法或損害國家利益以及公共利益、損害其他特定的公有或私營企業(yè)的合法商業(yè)利益時，可不承擔(dān)信息披露義務(wù)?？傊?，立法應(yīng)明確規(guī)定網(wǎng)絡(luò)安全事件信息披露的相應(yīng)例外條款，保障信息披露機制建構(gòu)的完整性。參考文獻：

[1]馬民虎.網(wǎng)絡(luò)信息安全保障的法律監(jiān)管研究[M].西安：陜西科學(xué)技術(shù)出版社，2007.

[2]張樂，郝文江，武捷.美國網(wǎng)絡(luò)入侵信息披露制度簡介[C]//全國計算機安全學(xué)術(shù)交流會論文集（第二十五卷）.合肥：中國科學(xué)技術(shù)大學(xué)出版社，2010：121.

[3]李國敏.2014年重大網(wǎng)絡(luò)安全事件回顧[N].科技日報，2014-12-24（11）.

[4]佚名.美發(fā)現(xiàn)新瀏覽器攻擊模式：可監(jiān)控全球八成PC[EB/OL].[2015-04-24].http：//www.cnnic.net.cn/gjymaqzx/aqgg/aqggaqsj/201504/t20150424_52123.htm.

[5]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[M].北京：人民郵電出版社，2015：15.

[6]國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動態(tài)周報（2016年第39期）[EB/OL].[2016-09-30].http：//www.cert.org.cn/publish/main/upload/File/2016CNCERT39.pdf.

[7]肖前忠.年終盤點：2014年國內(nèi)和國際網(wǎng)絡(luò)信息安全大事件[EB/OL].[2015-03-10].http：//www.d1net.com/security/news/326109.html.

[8]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].[2016-05-01].http：//www.cert.org.cn/publish/main/upload/File/2015%20Situation.pdf.

[9]趙麗莉.基于過程控制理念的網(wǎng)絡(luò)安全法律治理研究——以“風(fēng)險預(yù)防與控制”為核心[J].情報雜志，2015（8）：177-181.

[10]TROPE R L，HUGHES S J.The SEC staffs “Cybersecurity Disclosure” guidance： Will it help investors or cyber-thieves more？[J].Business Law Today，2011：1-4.

[11]趙麗莉.論版權(quán)技術(shù)保護措施信息安全遵從義務(wù)——以法國《信息社會版權(quán)與鄰接權(quán)法》第15條為視角[J].情報理論與實踐，2012（12）：32-36.

[12]SALES N A.Regulating cybersecurity[J].Northwestern University Law Review，2013，107（4）：1508-1564.

[13]羅斯科·龐德.通過法律的社會控制——法律的任務(wù)[M].沈宗靈，董世忠，譯.北京：商務(wù)印書館，1984：42.

[14]MATWYSHYN A M.Hidden engines of destruction：the reasonable expection of code safety and the duty to warn in digital products[J].Florida Law Review，2010（62）：109-157.

[15]DYCUS S.Congresss role in cyber warfare[J].Journal of National Security Law & Policy，2010，4（1）：155-171.