張培田 唐 犀 周倩琳

內容提要：大數(shù)據、云計算云存儲、互聯(lián)網+與區(qū)塊鏈等高新技術日新月異的發(fā)展，促進了社會信息利用的轉型升級，也使得逐利的各級各類信息傳輸處理服務商，利用信息服務設備后門和技術漏洞，危害國家安全和社會個人隱私保護等良善運行秩序。本文從信息服務基礎設備后門和技術漏洞的社會危害、信息服務設備后門和技術漏洞產生的原因及其行為的法律定性、信息服務設備后門和技術漏洞法律規(guī)制的理由和目的、強化信息服務設備后門和技術漏洞法律應對的建議等方面，進行分析論述。并就當下及今后我國以法律規(guī)制信息傳輸設備后門和技術漏洞的法律問題，應對大數(shù)據、云計算云存儲、互聯(lián)網+與區(qū)塊鏈等伴隨高新科技演變的信息安全危害，提出改善建議。

隨著電腦手機及互聯(lián)網大數(shù)據的市場化加速，各種各類細分信息傳輸服務設備不斷升級。從技術上來看，相應的信息基礎傳輸設備，常用的有線渠道需通過雙絞線、同軸電纜和光纖，無線傳輸媒體則通過衛(wèi)星通信、無線通信、紅外通信、激光通信以及微波通信等方式。信息傳輸?shù)奶幚憝h(huán)節(jié)主要包括數(shù)據（Data）、信號（Signal）、信道（Channel）、比特率（BitRate）、碼元（Code Cell）、多路復用(Multiplexing)、數(shù)據交換（Data Switching）、差錯控制（error control）等。服務設備制造商為搶占針對消費者的服務市場，一方面有意為信息服務使用商壟斷或推送特定服務留下后門，另一方面在信息技術欠缺的情況下倉促推出存在技術漏洞的設備。由于設備制造商和使用商追求其商業(yè)利潤最大化，這些后門和技術漏洞通常置信息使用終端消費者群體信息安全利益于不顧，必然對消費者群體的信息安全帶來直接隱患和危害，甚至威脅國家安全。

一、信息服務設備后門和技術漏洞概念及威脅

（一）信息服務設備后門和技術漏洞的概念

信息服務設備上出現(xiàn)的后門或技術漏洞，集中發(fā)生在硬件搭載的應用軟件或是操作系統(tǒng)軟件設計上。出現(xiàn)后門的原因主要是編寫系統(tǒng)應用軟件和操作系統(tǒng)軟件的程序員，在軟件開發(fā)的階段即在軟件內故意設置創(chuàng)建后門，作為繞過安全性控制而獲取對程序或系統(tǒng)訪問的方法，體現(xiàn)出設計人及知曉該后門缺陷而故意利用人主觀上的明知故犯。而出現(xiàn)技術漏洞的主要原因則是編寫系統(tǒng)應用軟件和操作系統(tǒng)軟件的技術有局限性，人類目前無法預料缺陷并找到解決的技術方案。無論是后門還是技術漏洞，都導致設備存在可被非法利用的隱患，有可能被電腦黑客等不法者利用，在未授權的情況下通過植入木馬、病毒等方式攻擊或控制整個電腦或其他信息使用設備，從而竊取使用者電腦或其他信息使用設備的重要資料和信息，甚至導致使用者信息使用設備被破壞的結果。

信息服務設備后門和技術漏洞存在的主要差別在于，信息服務設備后門是設計者刻意為之，利用者通過后門在相對長的期限內維持對被攻擊設備的高權限。而技術漏洞屬于設備自身在硬件、軟件、協(xié)議中存在的缺陷，并非有意為之，但隨著用戶的持續(xù)使用而被暴露出來。漏洞一經發(fā)現(xiàn)，安全人員會很快打補丁以消除漏洞。不過在實務中，故意和過失的界限非常模糊，難以界定。無論是緩沖區(qū)的溢出漏洞，還是加密算法的問題導致加密強度下降，或者是SQL 注入漏洞，在被安全專家發(fā)現(xiàn)之后，也很難確定是故意放的后門還是編程缺乏安全意識留下的錯誤。信息服務設備制造商的主觀意圖難以被認定，這也造成了法律規(guī)制后門和技術漏洞的極大難度。

（二）信息服務設備后門和技術漏洞的威脅

不法分子主要通過以下幾種攻擊方式攻擊信息傳輸服務設備后門和技術漏洞，對個人隱私與公共安全產生極大的威脅。

1.XSS 蠕蟲

XSS 蠕蟲是指一種具有自我傳播能力的XSS 攻擊，殺傷力很大。引發(fā)XSS 蠕蟲的條件比較高，需要在用戶之間發(fā)生交互行為的頁面才能形成有效的傳播。一般要同時結合反射型XSS 和存儲型XSS。1邱仲潘、洪鎮(zhèn)宇：《網絡安全》，清華大學出版社2016 年版，第15 頁。XSS蠕蟲可以將用戶的數(shù)據信息發(fā)送給Web 應用程序，并且將代碼植入其中，如果被感染的用戶訪問到這些存在問題的Web 應用程序時，XSS 蠕蟲開始進行數(shù)據發(fā)送和感染，并且隨著用戶的訪問量而大量擴散。因此XSS 蠕蟲能夠用來發(fā)送垃圾廣告、刷流量、掛馬、毀壞網上數(shù)據、實行DDOS 攻擊等。其造成的傷害也是多樣化的。

2.網站及網頁掛馬

網站掛馬是指行為人以非法獲利為目的，利用瀏覽器存在的漏洞（腳本），跨站后應用IFrame嵌入潛藏的歹意網站或將被攻擊者定向到惡意網站上（木馬服務端），以彈出歹意網站窗口等方式進行掛馬襲擊。2關于“網頁掛馬”的詳情介紹參見百度百科網：https://baike.baidu.com/item/網頁掛馬/2368054，2019 年10 月15 日訪問。當不知情的互聯(lián)網用戶進行網頁瀏覽時，具有破壞性的木馬或病毒就被同時悄悄安裝進了用戶的電腦中，從而破壞用戶的電腦信息，偷盜用戶的各種賬號及密碼。用戶的電腦甚至能被黑客遠程操作，成為僵尸網絡中的一份子，對別的正常網站發(fā)動DDOS 攻擊。

3.用戶身份盜用

用戶身份盜用，是指行為人進行session 跟蹤而盜取儲存在用戶本地終端上的Cookie，以冒充用戶本人。Cookie 是貯存在用戶當?shù)亟K端上關于特定網站的身份考證標記數(shù)據。XSS 能夠偷取用戶的Cookie，從而應用該Cookie 獵取用戶對該網站的操縱權限。一旦竊取到用戶Cookie 從而獲取到用戶身份時，攻擊者能夠獲取到用戶對網站的操縱權限，從而檢查用戶隱藏信息。一些高等的XSS 襲擊甚至能夠挾制用戶的Web 行動，用于發(fā)送與接受數(shù)據等。

4.渣滓信息發(fā)送

渣滓信息，意指無用的糟粕信息，如發(fā)送的各類垃圾廣告。這類渣滓信息不但占據用戶網速和空間，還嚴重影響信息用戶信息獲取和利用的合法權益。

5.垂綸詐騙

所謂“垂綸”是一種網絡訛詐行動，這意味著行為人使用各種方法來偽造真實網站的URL 位置和頁面內容，或者在真實網站服務器程序上應用漏洞以在其中插入危險的HTML。該代碼的最典型示例即是應用程序目標網站的反射性跨站點腳本漏洞，該漏洞將目標網站重定向到垂綸網站，或注入垂綸Java 來監(jiān)視目標網站的表單輸出。垂綸漏洞是被廣泛使用于新注冊域名（NRD）的便于惡意攻擊的漏洞現(xiàn)象。學術界和行業(yè)的研究報告已經以統(tǒng)計學方式證明了新注冊域名存在著確實的風險，攻擊者經常惡意使用新注冊域名進行網絡釣魚、惡意軟件和詐騙。

6.直接侵入操控硬件設備

不法分子還可以利用信息服務設備的技術漏洞侵入設備本身，并進行操控，對使用信息終端的消費群體產生直接危害，最容易發(fā)生問題的設備包括路由器、主機及網絡攝影設備。

Fortinet 2018 年第四季度威脅形勢的報告顯示，全球12 大漏洞中有一半是物聯(lián)網（IoT）設備，而且前12 個中有4 個與支持IP 的攝像機相關。3詳見https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2018.pdf，2019 年9 月20 日訪問。

二、信息服務設備后門和技術漏洞的現(xiàn)行法律框架及規(guī)定

（一）法律框架

目前我國關于規(guī)范信息服務設備后門和技術漏洞的法律法規(guī)大體上有兩類，一類是以《網絡安全法》為核心的規(guī)范體系，一類是以保障《網絡安全法》實現(xiàn)為內容的法律規(guī)范。

1.以《網絡安全法》為核心的規(guī)范體系

以《網絡安全法》為核心的規(guī)范體系包括法律、行政法規(guī)、國家政策、規(guī)范、司法解釋等。法律方面有全國人大常委會頒布的《網絡安全法》（2015 年6 月1 日）；行政法規(guī)有國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例（2011 年修訂）》（2011 年1 月8 日）；國家政策有全國人大常委會頒布《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（2012 年12 月28日），國家互聯(lián)網信息辦公室頒布《國家網絡空間安全戰(zhàn)略》（2016 年12 月27 日），外交部和國家互聯(lián)網信息辦公室頒布《網絡空間安全合作戰(zhàn)略》（2017 年3 月1 日）；規(guī)范方面有國務院、國家互聯(lián)網信息辦公室、全國信息安全標準化技術委員會、工業(yè)和信息化部、中央網絡安全和信息化領導小組辦公室、中國互聯(lián)網絡信息中心等部門機構頒布的關于網絡安全等級保護制度、關鍵信息基礎設施的認定和保護制度、個人信息和重要數(shù)據保護制度、網絡產品和服務的國家安全審查制度、網絡安全事件管理制度等。司法解釋有《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》（2014 年10 月10 日）、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題解釋》（2017 年6 月1 日）。

2.以保障《網絡安全法》實現(xiàn)為內容的法律規(guī)范

這類法律規(guī)范的范圍非常寬泛，包括《民法總則》《侵權責任法》《國家安全法》《刑法》《治安管理處罰法》《反恐怖主義法》《保密法》等現(xiàn)行法律，共同構成中國對信息安全管理的法律保護。

《網絡安全法》作為信息安全管理的基本法律，明確立法目的是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發(fā)展。4相關“網絡安全法立法”的詳情介紹參見中國人大網：http://www.npc.gov.cn/zgrdw/npc/lfzt/rlyw/node_27975.htm，2019 年9 月20 日訪問?！毒W絡安全法》除在中華人民共和國境內適用以外，其第七十五條規(guī)定采用了有限的域外管轄原則，對境外的主體實施入侵或攻擊境內關鍵信息基礎設施的活動，造成嚴重后果的，依法追究法律責任并可采取凍結財產或者其他必要的制裁措施。《國家安全法》第二十五條更提出要以保護網絡和信息關鍵基礎設施的方式打擊網絡違法犯罪行為，并創(chuàng)造性地提出了“網絡空間主權”概念。5《國家安全法》第二十五條提到，“實現(xiàn)網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發(fā)展利益。”保護信息安全的著眼點已經從保護用戶信息和個人信息提升到國家安全和信息現(xiàn)代化的層次。

（二）法律規(guī)定

1.對信息服務設備后門的法律規(guī)定

對于故意編程留置后門的危害信息安全秩序的行為，無論適用民事規(guī)范還是行政規(guī)范、刑事規(guī)范，都會在主觀與客觀、行為與結果方面，得到合理的法律推定。

民事責任主要處理信息服務設備提供商與用戶之間的法律關系，可以基于《合同法》第一百五十三條及第一百五十五條判定。用戶可要求信息服務設備提供商作為出賣方承擔產品質量瑕疵?！懂a品質量法》第四十條、第四十六條及《消費者權益保護法》第四十六條均得以適用。

刑事責任方面，對于有意使用設備后門進行不法活動的行為人，如涉及觸犯《刑法》第二百八十五條的非法侵入計算機信息系統(tǒng)罪及第二百八十六條破壞計算機信息系統(tǒng)罪，可以追究刑事責任?！缎谭ㄐ拚福ㄆ撸返诰艞l及最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第一條有細化規(guī)定。

行政責任則根據《網絡安全法》第五十九至六十六條及《電信條例》第五十七條、第七十七條之法律法規(guī)進行處理。

2.對信息服務設備技術漏洞的法律規(guī)定

對于技術漏洞造成的問題，廠商及利用技術漏洞的不法分子都有責任。利用后門或者技術漏洞的不法分子之行為同樣可以按照上述《刑法》規(guī)定進行處理。但對于技術漏洞的前端廠商基本沒有相關法律規(guī)制，只能通過督促廠商自律的方式予以激勵，這造成了法律上的真空地帶。

筆者認為，對信息服務設備技術漏洞的法律規(guī)制更要給予相應的關注。從法律的功能來說。法律的規(guī)范功能除了對人的行為模式提出標準，區(qū)分出可以為、應當為和禁止為的事項以外，還包括對人們的行為有評價作用、教育作用、預測作用和強制作用。具體來說，首先信息服務設備技術漏洞的嚴峻危害已經不以人的意志為轉移的客觀存在。應對信息服務設備技術漏洞的危害單靠技術創(chuàng)新的解決辦法，往往滯后且飽受危害才暫時局部地緩解。因此，應對信息服務設備技術漏洞的危害，應當使用技術手段無法取代的法律規(guī)制手段或方法。其次，對于不是人為惡意出現(xiàn)的信息服務設備技術漏洞的危害，法律規(guī)制應當仍然立足于規(guī)范調整人的行為。只不過這種法律規(guī)范調整，帶有國家強制力保障實施的特性，有利于及時高效地發(fā)揮阻止或減少信息服務設備技術漏洞危害的作用。最后，人類社會發(fā)展史上對于不以人的意志為轉移的客觀存在危害，有過不少運用法律規(guī)范調整且取得有益回報的先例。諸如制定并實施法律應對因地震等重大自然災害導致的損失，人類已經積累了不少寶貴的經驗。

換言之，當下互聯(lián)網+大數(shù)據推動的信息運行使用出現(xiàn)的安全問題，已經向人類社會法律規(guī)制提出了新的挑戰(zhàn)。如果不能對客觀上存在的技術漏洞有所作用，那人類現(xiàn)在及今后社會信息安全問題，也就無法從規(guī)范人的行為方面提供及時有效的保障和解決措施，伴隨高新科技日新月異發(fā)展而產生的信息安全問題將會愈加嚴重。因此，筆者認為須同時展開對緣于人們科學技術局限技術漏洞的法律規(guī)制。

三、配套監(jiān)管機構的設置與反思

隨著互聯(lián)網+時代的到來，萬物互聯(lián)的大背景使得系統(tǒng)邊界正在擴張。不法分子可攻擊的信息服務設備后門及技術漏洞不斷增多，攻擊方式不斷革新，使得被動防御變得愈加不可能。在此情況下，僅靠法律的事后規(guī)制不能解決有效提供防護，因此國家也建立了相關的配套監(jiān)管預警機制。

（一）現(xiàn)行監(jiān)管機構

防范后門及技術漏洞的危害信息安全秩序的行為，可以選擇的法律規(guī)制方式，首先應當包括后門及技術漏洞危害的監(jiān)測、鑒別及預警法律規(guī)范機制。對此類問題，國外發(fā)達國家已按照行業(yè)自治的傳統(tǒng)，實現(xiàn)了通過行業(yè)協(xié)會監(jiān)測、鑒別及預警的法律規(guī)范機制。

我國目前相關的后門和技術漏洞的危害信息安全的監(jiān)測、鑒別和預警，主要通過設立相應的行政機關進行。2001 年8 月，國家計算機網絡應急技術處理協(xié)調中心（以下簡稱“CNCERT”）成立，是國家中央網絡安全和信息化委員會辦公室領導下的國家級網絡安全應急機構。該機構負責全國范圍內的網絡安全監(jiān)控，預警和緊急響應。2003 年，CNCERT 在中國中央政府直轄的31 個省、自治區(qū)、直轄市建立了分中心，并完成了跨網絡、跨系統(tǒng)、跨區(qū)域的公共互聯(lián)網網絡安全應急技術支持系統(tǒng)的建設，形成了全國性的互聯(lián)網網絡安全信息共享，發(fā)起成立了國家信息安全漏洞共享平臺（CNVD）、 中國反網絡病毒聯(lián)盟 （ANVA） 和中國互聯(lián)網網絡安全威脅治理聯(lián)盟 （CCTGA）。CNCERT 還積極開展信息安全的國際合作，截至到2018 年，CNCERT 已與76 個國家和地區(qū)的233個組織建立了“CNCERT 國際合作伙伴”關系。

但是，該機構主要支持政府機構履行與網絡安全相關的社會保障和公共服務職能，重點是國家安全基本信息網絡的安全保護和安全運行，并支持該機構重要信息系統(tǒng)的網絡安全、國家裁定、監(jiān)測、預警和處置。因此對廣泛的信息安全，特別是國家隱私信息安全的監(jiān)視，識別，預警和處置的法律規(guī)范相對薄弱。相應地還存在著對普通公民信息安全的法律處罰不完善和不及時等問題。例如，當前該機構對于信息服務設備后門和技術漏洞監(jiān)測、甄別和預警最為通行也最為有效的規(guī)制，是構建國家信息安全信息技術設備漏洞后門的情況通報制度。不過，CNCERT 的監(jiān)測、預警通報制度，雖在協(xié)調國內安全應急組織（CERT）共同處理互聯(lián)網安全事件方面發(fā)揮著重要作用，但仍有很多方面需要健全完善。

（二）現(xiàn)有監(jiān)管機制的不足之處

CNCERT 主要是通過聯(lián)合國內重要的信息系統(tǒng)單位、基礎電信運營商、軟硬件廠商共同成立的國家信息安全漏洞共享平臺（CNVD）來進行。CNVD 對信息系統(tǒng)用戶通過網站、郵件、電話等方式上報的異常信息后，組織成員單位進行漏洞分析驗證，核實該異常信息確實為漏洞后，便與相關廠商共同協(xié)商發(fā)布時間，根據漏洞發(fā)布的策略，加以選擇地發(fā)布相關信息。CNVD 建立起了統(tǒng)一收集驗證、預警發(fā)布及應急處置體系，但主要仍然是靠自律的方式來跟進及處理。漏洞的信息披露還要遵循客觀、適時、適度的三原則。客觀披露要求對公開發(fā)布的漏洞信息進行披露審核，確保涉及的目標對象、風險情況描述基本準確，對漏洞可導致的潛在風險不能作為網絡攻擊事件進行披露和引導。適時披露原則要求相關廠商和信息系統(tǒng)管理方在未接收到漏洞信息、完成漏洞處置前或預定時限前不應提前公開發(fā)布漏洞相關信息。針對不同類型漏洞的修復規(guī)律和所需周期，各方研判后協(xié)商擬定靈活實際的漏洞公開披露時間。適度披露原則要求不得披露國家政策法規(guī)和主管部門禁止披露的信息系統(tǒng)漏洞，不得披露違反知識產權保護法律法規(guī)及商業(yè)機密協(xié)定的信息。在漏洞處置完成前，可對具體目標系統(tǒng)、攻擊手法的信息進行弱化處理。

由于廠商的自律義務本身已經相對缺乏強制力和執(zhí)行力，再加上為了避免產生披露漏洞而被黑客利用實施網絡攻擊的情況，漏洞的披露顯得遮遮掩掩。而違反公約的廠商，也僅僅是進行調查，內部通報或取消公約簽署單位資格的處理。在沒有法律約束的情況下，很難取得實效。筆者通過CNVD 公布的自2017 年1 月至2019 年11 月的統(tǒng)計數(shù)據查詢，2017 年漏洞披露共計15478 例，2018 年共計13957 例，2019 年1 月至11 月共計14358 例，其中高危漏洞14414 例，占21.91%，中危漏洞25900 例，占59.14%，低危漏洞3479 例，占7.94%。由此可見，漏洞的發(fā)生數(shù)量每年基本呈現(xiàn)均衡的態(tài)勢，并且中高危漏洞占了絕大部分比重。在這些披露的漏洞中，設計錯誤共有26948 例，占61.53%為最多。漏洞引發(fā)的威脅在以下三類最多，管理員訪問權限獲取13426 例，占30.64%，未授權的信息泄露14062 例，占32.11%，未授權的信息修改7481 例，占17.08%。漏洞影響的類型中，應用程序發(fā)生25396 例，占57.99%，WEB 應用8434 例，占19.24%，操作系統(tǒng)5021例，占11.47%，網絡設備（交換機、路由器等網絡端設備）發(fā)生3461 例，占6.9%。CBVD 在進行漏洞披露方面確實取得了一些成績，但筆者也發(fā)現(xiàn)，在其網站公布漏洞列表中，其點擊數(shù)基本從幾十到兩三百不等，很難讓社會公眾周知漏洞的存在和危害。

到底是設備制造商有意為之的后門還是技術漏洞本就難以決斷，漏洞披露的范圍限制及跟進措施的缺乏更使得懲罰措施只能高高舉起，輕輕放下。設備制造商和使用商推卸責任的態(tài)度造成消費者群體的信息安全得不到應有的尊重和保護，亟需建立更為完善的協(xié)調機制。

四、信息服務設備后門和技術漏洞問題的法律應對

（一）法律應對的框架設計

目前的解決之策應該把握以下幾方面：

首先是立法環(huán)節(jié)，不能繼續(xù)傳統(tǒng)的部門主導模式，亟需改為統(tǒng)合主導模式。具體來說，就是應對網絡信息安全的所有立法職能，均要統(tǒng)一到國家信息安全領導小組進行統(tǒng)合、研究、協(xié)調以及立法起草直到提案的通過。鑒于網絡安全基于信息技術發(fā)展而變化的規(guī)律，對于信息傳輸運用的技術性規(guī)范，不能局限于以往部頒標準或行業(yè)標準一般不給予國家強制力保障實施的傳統(tǒng)，而應當加大技術規(guī)范向法律規(guī)范轉型升級的力度和效率。一方面，按照國際上行會自治高于一般國法的良法慣例，結合現(xiàn)代社會行業(yè)管理去行政化的自治改革，在執(zhí)法和司法實踐中承認行業(yè)技術規(guī)范或部頒技術規(guī)范的法律效力。另一方面，跟上互聯(lián)網大數(shù)據技術應用日新月異的變化，對能夠及時迅捷和有效地應對信息應用設備的后門及技術漏洞的行業(yè)技術規(guī)范，直接以國家立法的形式及途徑固定下來。

其次是執(zhí)法環(huán)節(jié)，對于網絡信息服務設備后門及技術漏洞的危害，既要堅持法無明文不亂作為，又要根據其危害程度及危害速度，不斷完善制止其危害的綜合反應行動機制。因此，執(zhí)法藝術的不斷提高，已經毋庸置疑地擺在執(zhí)法機構及其隊伍的面前。至于如何才能在立法相對滯后的環(huán)境中，既要及時高效地遏制網絡信息服務設備技術后門及技術漏洞的危害，又不能陷入無法可依的不作為甚至亂作為陷阱，筆者擬于另文闡述。

最后是司法環(huán)節(jié)。司法是法律防范的最后防線。但基于司法的被動性，對于當下及今后涉及國家和社會運行至關重要的信息安全，司法的救濟顯然有滯后的一面。在大數(shù)據時代，危害信息安全的設備后門和技術漏洞，因運營服務商追逐商業(yè)利潤的客觀規(guī)律，總是想方設法、改頭換面甚至不斷通過技術轉型升級，已然造成人類社會可持續(xù)發(fā)展至關重要的隱患和問題。因此，如果繼續(xù)按照以往司法必須有法可依的理論及原則才能進行司法救濟，無論是救濟效率還是救濟成本，都不能達到理想的水平。要改變這種被動局面，筆者結合人類社會發(fā)展史上司法能動性經驗教訓，建議擺脫傳統(tǒng)司法必須依靠制定法才能展開救濟的類法律教條主義的束縛，吸收英美法系和大陸法系國家將法理作為最高司法準據法的有益經驗，在應對大數(shù)據、互聯(lián)網+、區(qū)塊鏈等高新技術突飛猛進發(fā)展變化的當下及今后隨之引發(fā)的信息安全法律規(guī)制的糾紛爭議或事件的司法救濟方面，及時高效地發(fā)揮作用。

（二）法律應對的具體建議

1.完善《網絡安全法》及相應的配套法律法規(guī)

《網絡安全法》亮點突出，但在應對信息服務設備后門及技術漏洞方面的法律規(guī)定同樣需要完善。

《網絡安全法》在第二十二條、第二十五至二十七條針對信息設備服務廠商、網絡運營者及挖掘發(fā)布安全漏洞的白帽子6白帽黑客，他可以識別計算機系統(tǒng)或網絡系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。這樣系統(tǒng)可以在被其他人（例如黑帽子）利用之前修補漏洞。的法律責任進行了規(guī)定，但偏重于賦權而缺少具體對接的法律法規(guī)。譬如第二十五條提及網絡運營商應在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。卻未指出具體的報告程序及對接部門。第二十六條要求漏洞發(fā)掘者要遵守國家有關規(guī)定，卻也未明確有哪些規(guī)定。《網絡安全法》歷經三次審議草案，給配套規(guī)章留下接口，但必須完善并出臺實施細則，否則將淪為口號式的倡議。

此外，不法分子攻擊信息服務設備的后門及技術漏洞主要為了獲得系統(tǒng)的高權限，以便控制設備并盜取相關信息。《網絡安全法》中用了將近三分之一的篇幅對嚴重危害國家安全、國計民生、公共利益的系統(tǒng)和設施運行安全進行規(guī)范，但卻對個人信息的保護較少涉及?，F(xiàn)行法規(guī)僅有工信部《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》及《電信和互聯(lián)網用戶個人信息保護規(guī)定》有集中的概念界定，保護措施散見于《消費者權益保護法》《民法總則》《刑法》等諸多法律法規(guī)，缺乏統(tǒng)一的頂層設計。現(xiàn)在《個人信息保護法》已經列入十三屆全國人大常委會立法規(guī)劃中，希望能盡快出臺。

2.立法規(guī)范白帽子挖掘漏洞活動

白帽子與黑客的最大區(qū)別是其進行挖掘發(fā)布安全漏洞的主觀意圖是善意的，故此能成為國家力量以外不可或缺的補充力量，但我國對白帽子的行為進行嚴格規(guī)制?，F(xiàn)行《網絡安全法》第二十七條及工信部出臺的《網絡安全漏洞管理規(guī)定（征求意見稿）》將白帽子的行為予以禁止，《刑法》第二百八十五條及第二百八十六條和《治安管理處罰法》第二十九條規(guī)定則更為嚴格地處理。如果挖掘發(fā)布安全漏洞的白帽子未經授權就去開始滲透測試，或者開展?jié)B透測試的時間不是在客戶授權的時間，或者測試范圍超過了客戶的授權，都可能被認定為是非法入侵他人網絡的違法行為，需要承擔法律責任。

《網絡安全漏洞管理規(guī)定（征求意見稿）》于2019 年6 月公開征求社會意見，同樣要求白帽子發(fā)現(xiàn)漏洞必須上報工業(yè)與信息化部網絡安全威脅信息共享平臺，禁止私自發(fā)布或修復漏洞。第六條第三項規(guī)定：“不得發(fā)布和提供專門用于利用網絡產品、服務、系統(tǒng)漏洞從事危害網絡安全活動的方法、程序和工具。”

筆者認為，將漏洞管理整體納入國家管理的出發(fā)點是好的，但還需考慮現(xiàn)實情況。上述嚴格的規(guī)定基本禁止白帽子之間的技術交流，各大網絡安全論壇上的各種帖子會變得更加純潔，表面看來是消弭了威脅，但所有發(fā)掘的漏洞均成為“國家財產”的做法卻扼殺了白帽子研究的熱情。目前中國的網絡安全研究實力較弱，如果不開放較為自由的環(huán)境，白帽子在發(fā)布研究成果前都如履薄冰，短期上或許更為穩(wěn)定，從長遠來看卻為中國安全人才的培養(yǎng)產生負面效果，甚至迫使相當一部分白帽子轉入暗網成為黑客。

筆者建議，應以政府為主導，利用現(xiàn)有的漏洞發(fā)布平臺組成行業(yè)協(xié)會，將白帽子的身份信息在協(xié)會進行備案并嚴格保密。協(xié)會根據《信息安全等級保護管理辦法》的管理規(guī)定，明確會員挖掘漏洞的范圍，并規(guī)定合法的挖掘漏洞方式、合法的挖掘工具及挖掘手段等前提條件。依據會員挖掘漏洞的過往記錄區(qū)分會員等級，逐步開放相應權限，建立信息安全人才后備力量，并進一步建立政府、企業(yè)、個人多方參與的信息安全防御體系。同時在法律適用上應考慮白帽子挖掘信息服務設備漏洞的動機、行為及社會危害性，適當制定一些豁免條款。

3.立法加強CNVD 的指導功能及協(xié)調作用

現(xiàn)行的《網絡安全法》及《信息系統(tǒng)安全等級保護基本要求》基本沿用政府主導的模式，按照等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度進行定級，根據不同定級制定相關國家標準及行業(yè)標準作為強制性標準，再配合其他必要措施的兜底內容。《網絡安全法》第十條規(guī)定：“建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩(wěn)定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數(shù)據的完整性、保密性和可用性?！?/p>

現(xiàn)在攻擊手段不斷發(fā)展，國家層面的定級分類和強制性標準必然相對滯后。作為防范信息服務設備后門及技術漏洞的要求而言，達到強制性要求僅能完成表面上的合規(guī)，卻造成事實上的不安全，這與按照企業(yè)情況制定的靈活安全策略的重要性不言而喻。筆者建議立法加強CNVD 的指導功能及協(xié)調作用?！毒W絡安全法》第三十九條規(guī)定:“國家網信部門應當統(tǒng)籌協(xié)調有關部門對關鍵信息基礎設施的安全保護采取下列措施：……（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享。”這給CNVD 介入提供了法律依據。目前在《CNVD 漏洞安全相應指導規(guī)范》中已經規(guī)定了通用軟硬件漏洞處置流程，但應更鼓勵CNVD與信息服務設備制造商及安全服務企業(yè)進行合作，根據不同行業(yè)情況完成風險評估，制定出相應的安全標準，并制定更為靈活的安全策略以明確其他必要措施的內容，做好事前防范工作。在事后處置上，根據設備性質制定處理流程和公開策略。

4.加重前端廠商的法律責任

如前文所述，信息服務設備制造商的主觀意圖很難被認定，導致現(xiàn)行的法律法規(guī)對其難以進行管理。目前CNVD 的《中國互聯(lián)網協(xié)會漏洞信息披露和處置自律公約》第二章自律條款的第八至十條分別規(guī)定了CNCERT、漏洞平臺、相關廠商和信息系統(tǒng)管理方應遵循的自律義務。但相關廠商和信息系統(tǒng)管理方的自律義務相對空泛，僅僅要求高度重視軟硬件產品漏洞和可能的危害，及時核實確認并提供和發(fā)布漏洞補丁或解決方案，確保漏洞修復措施的有效性和覆蓋面，積極配合CNCERT作好技術分析和用戶威脅評估，縮短應急響應周期，保障產品用戶和系統(tǒng)用戶的知情權和安全利益。7

筆者查看CNVD 漏洞分類中智能設備（物聯(lián)網終端設備）中的信息，比如近期編號為CNVD-2019-29855 的文件，公開于2019 年9 月21 日關于大華某型號網絡攝像頭安全認證存在邏輯缺陷漏洞的披露信息。筆者將大華攝像頭的漏洞信息進行數(shù)據檢索，不但發(fā)現(xiàn)此安全認證漏洞并未得到解決， 更發(fā)覺2015 年CNVD-2015-05128 文件， CNVD-2017-08192 文件， 2017 年CNVD-2017-06997 文件等多份報告顯示大華公司產品長期以來都存在極大隱患。安全專家bashis 認為大華設備的這些問題不僅僅是漏洞，更疑似大華科技自身預留的一個后門。而大華科技公司則只是將這些漏洞定級為“編碼問題”，而且言明并不是公司故意為之。

筆者認為，需要加重前端廠商的法律責任。首先，在發(fā)布產品前應當以法律法規(guī)的激勵性要求廠商自律并關注安全。有些設備商固件使用第三方開源代碼，以便降低組裝成本，但在出廠之前應強制要求通過掃描工具進行掃描，并與已建立并經常更新的安全漏洞數(shù)據庫進行比較。國外立法經驗亦可借鑒，2017 年美國提出《2017 年物聯(lián)網網絡安全改進法案》，要求所有聯(lián)網設備的制造商都要確保聯(lián)網設備的軟件或固件（是固化在硬件中的軟件）的組件能夠被更新或替換，防止信息被未授權訪問或者修改泄露。而加州率先通過SB-327 法案，并于2020 年元旦生效，要求任何“直接或間接”連接到互聯(lián)網的設備制造商必須為其配備“合理”的安全功能。英國則積極將歐盟《通用數(shù)據保護條例》（GDPR）轉化為了《消費類物聯(lián)網設備安全行為準則》。我國需要出臺專門規(guī)范廠商責任的立法。其次，啟動公益訴訟完善對產品的事后規(guī)制。美國聯(lián)邦貿易委員會對一系列D-Link路由器缺乏安全性提起訴訟后，D-Link 公司便同意在產品發(fā)布前做好規(guī)劃，完成應有的威脅建模、漏洞測試、以及軟件安全計劃。而在我國，盡管《最高人民法院關于審理消費民事公益訴訟案件適用法律若干問題的解釋》明確了消費者協(xié)會、法律規(guī)定或者全國人大及其常委會授權的機關和社會組織作為公益訴訟原告的主體地位，但此類公益訴訟甚少開展。最后，對于經常出現(xiàn)產品問題的廠商，需要建立黑名單機制，施加更為嚴格的市場禁入，嚴格禁止政府采購不符合安全要求的物聯(lián)網設備。

結語

大數(shù)據、云計算云存儲、互聯(lián)網+、區(qū)塊鏈等高新技術日新月異的發(fā)展，為人們的生產生活帶來更加便捷的服務，但提供信息技術服務的各級各類分銷服務商，受逐利的人性弱點驅使，都會在相應的信息基礎傳輸設備進行后門設計。另一方面，人類高新技術發(fā)展的局限，也使得信息基礎傳輸處理的生產廠商，無法做到一開始就杜絕技術漏洞的技術保障水平。因此，從信息服務形成商業(yè)化運用之初至今，各級各類信息服務設備制造商所出現(xiàn)的后門和技術漏洞引發(fā)的網絡信息安全危害愈演愈烈。這也向人類社會在大數(shù)據、云計算云存儲、互聯(lián)網+、區(qū)塊鏈等高新技術規(guī)模發(fā)展時空的法律規(guī)制，提出了前所未有的挑戰(zhàn)。

基于以上，筆者提出相應淺見和建議，冀望能夠引發(fā)大家的重視，在應對網絡信息安全的法律7 《中國互聯(lián)網協(xié)會漏洞信息披露和處置自律公約》第十條：“相關廠商和信息系統(tǒng)管理方遵循的自律義務有：高度重視軟硬件產品漏洞和信息系統(tǒng)漏洞可能對產品用戶和系統(tǒng)用戶可能造成的危害，積極回應CNCERT、漏洞平臺以及漏洞報送者提供的漏洞信息，及時核實確認并提供和發(fā)布漏洞補丁或解決方案。應從產品研發(fā)、測試和發(fā)布等環(huán)節(jié)加強協(xié)同管理，及時應對新出現(xiàn)的漏洞，在產品遠程升級、用戶系統(tǒng)維護方面做好技術準備和主動服務，確保漏洞修復措施的有效性和覆蓋面。積極配合CNCERT 作好技術分析和用戶威脅評估，縮短應急響應周期。通過網站、郵件等方式及時披露和推送本單位生產、提供的軟硬件產品的漏洞描述信息?！币?guī)制方面，求同存異地探索，找到能夠及時高效防范網絡信息安全危害的法律之道。拙文權拋陋俗之磚，特求教于方家與同仁之玉。