查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《暨南学报(哲学社会科学版)》
网络安全漏洞挖掘的法律规制研究
【作者】 赵精武【作者单位】 北京航空航天大学法学院
【中文关键词】 网络安全漏洞;善意黑客;漏洞挖掘规制;挖掘主体备案
【文章编码】 1000-5072(2017)05-0024-09【文献标识码】 A
【期刊年份】 2017年【期号】 3
【页码】 24
【摘要】 网络安全漏洞的挖掘、披露、交易、修复日益成为各国网络安全治理的中心议题。“袁炜案”直接表明了我国现行法对网络安全漏洞挖掘行为的否定性态度,《刑法》第二百八十五条前两款对善意黑客的漏洞挖掘行为构成了不当限制,应当通过《网络安全法》第二十六条对其在漏洞挖掘领域的适用进行严格的限缩解释,并围绕《网络安全法》从立法论的角度重塑漏洞管理机制。在充分考虑网络安全漏洞自身动态性、复杂性、开放性的基础上,从国家安全的高度把握漏洞挖掘治理,健全漏洞挖掘立法体系;完善漏洞库并配套漏洞评级机制;明确公私合作框架,对挖掘主体进行备案;在遵循现有实践的基础上对挖掘行为分级授权,并进一步强化漏洞的跨境流动应对。
【全文】法宝引证码CLI.A.1225109    
  一、问题的提出
  (一)网络安全漏洞挖掘关乎国家安全
  互联网正在逐渐摆脱其最初的工具、渠道、平台属性,逐渐转变为异常复杂的网络空间。按照搜索引擎爬虫是否可以检索或通过超链接的形式访问,互联网分为表网(Surface Web)和暗网(Dark Web)两层,作为互联网“蛮荒地带”的暗网中充斥着大量待价而沽的高风险网络安全漏洞,[1]一些著名网络安全公司雇员甚至沦为“数据掮客”,以贩卖高风险漏洞给其他国家和极端组织作为营利手段。网络安全漏洞利用已经成为国家间网络安全攻击行为的暗战场。[2]在此背景下,“瓦森纳协定”[3]将漏洞视为一种“潜在武器”进行监管,其规定:“参与国不得随意进出口利用漏洞设计规避政府系统监测以及修改系统或用户信息的软件。”[4]要知道,一个高风险的漏洞足以对国家安全造成毁灭性打击,典型的案例如2003年微软公布的冲击波病毒;[5]2010年伊朗核电站所遭遇的“震网”(Stuxnet)病毒袭击;2012年微软曝出的0Day漏洞已经被黑客利用并实施恶意挂马攻击。[6]
  所谓网络安全是指“保护信息和信息系统不受未经授权的访问、使用、披露、破坏、修改或者销毁”,以确保信息的完整性、保密性和可用性。[7]网络安全包含信息系统权限获取和数据泄露两个层面,事实上,这主要来自于网络安全漏洞的发现与利用,不同类型的漏洞获取,意味着不同等级的系统控制权取得和风险数据攫取。以管窥豹,网络安全漏洞治理在网络安全保护中居于牵一发而动全身的核心地位,贯穿了国家、社会、个人多个层次法律利益,其泄露势必对国家安全、公共安全及社会稳定造成极大的破坏和挑战。因此,无论是出于对关键基础设施保护的目的,还是国家安全战略的需求,网络安全漏洞治理必将是各国网络安全治理与立法的核心命题。
  (二)网络安全漏洞的概念分析
  网络安全漏洞(Computer vulnerability)指的是存在于计算机网络系统中、可能对系统组成部分和数据造成损害的一切因素,其存在于硬件、软件、协议的具体实现或系统安全策略多个维度。当前学术界、产业界并未对其概念达成共识,学界多有从系统安全、主体安全、物理缺陷的角度分析漏洞的属性,[8]笔者认为,网络安全漏洞本质是通过软件或者系统的逻辑缺陷所导致的错误,从而可以使攻击者在未经授权的情形下访问或者破坏,网络安全漏洞应以软件漏洞的防范为核心,网络安全漏洞不同于病毒,以“震网”(Stuxnet)病毒为例,每一次网络安全漏洞的发现就意味着被病毒恶意攻击的可能,可以说,网络安全漏洞的发现是计算机病毒入侵的直接原因,计算机病毒的传播和复制往往以网络安全漏洞存在为前提,二者存在时间节点上的差异。
  作为网络安全治理核心命题的网络安全漏洞具有内生动态性、聚焦性、潜伏性的特点。当前漏洞的威胁阶段不断提前,从应用污染、系统污染逐渐向作为源头的供应链污染转移(如XcodeGhost污染事件[9])。网络漏洞安全也在伴随着网络安全发展不断迭代升级,现在已经并非囿于技术条件限制和系统缺陷的软件或者系统的逻辑错误,随着云计算、物联网、移动互联网技术的风起云涌,开始呈现多种新型错误类型,已经逐渐形成了逻辑错误、环境错误[10]、配置错误[11]的多元发展模式,今后还要不断应对频发的新型漏洞问题。从利用方式上来看,其具有动态性、潜伏性的特点。网络安全漏洞正在从静态的被动攻击向主动攻击转化,从传统的网络钓鱼,拒绝服务攻击(DDOS)使得目标瘫痪转变为高风险持续性攻击(Advanced Persistent Threat),大量的高风险漏洞不易发现,具有潜伏性的特点,微软打印机和文档打印漏洞Windows Print Spooler潜伏长达二十年之久。[12]
  (三)我国现行法对网络安全漏洞挖掘的否定性态度——以袁炜案为例
  网络安全漏洞主要通过渗透测试的方式获取,1980年美国密执安大学的B. Hebbard小组第一次采用“渗透分析”(Penetration Analysis[13])方式,运用漏洞检测软件成功发现了系统程序中的大量逻辑错误漏洞。
  当前世界范围内,漏洞挖掘以黑客群体为主,黑客分为善意黑客(Certified Ethical Hacker)和恶意黑客。善意黑客又被称为“白帽子”,指识别计算机系统或者应用安全漏洞的网络安全技术人员。其由来自社会不同背景的黑客技术网络安全精英组成。“白帽子”采取渗透技术手段和黑客攻击方法寻找系统中存在的漏洞,在发现漏洞后向平台和被测主体反馈并发布,敦促被测主体尽快修补漏洞,维护网络安全。“白帽子”群体正在逐渐成为我国网络安全漏洞挖掘的主力军,据《2016年中国互联网安全报告》,民间“白帽子”黑客的组织所挖掘的漏洞比高达45%。[14]
  通过“白帽子”袁炜挖掘漏洞被抓、乌云平台被关闭可窥知,我国现行法对漏洞规制尤其是作为关键环节的漏洞挖掘持否定性评价,对民间善意黑客(白帽子)自发组织的漏洞挖掘行为呈现出一种重刑主义的倾向,[15]这一事件引发了激烈的讨论,“白帽子”挖掘安全漏洞的法律界限在哪里,如何免责?
  袁炜是乌云漏洞平台的一名“白帽子”,2015年12月3日,其通过SQLmap软件对世纪佳缘网站缓存区溢出安全漏洞进行扫描检测,发现该网站存在造成数据泄露的高危漏洞。袁炜检测确认后,将此网络安全漏洞通过乌云平台提交给世纪佳缘网站。世纪佳缘网站在进行了确认、修复漏洞后,依循惯例向漏洞提交者致谢并给付了一定报酬。[16]不久后,世纪佳缘网站向北京市公安局朝阳分局报案称其大量数据被窃取,据查花千树公司运营的世纪佳缘网站收到11个同一IP地址的SQL注入攻击,持续时间长达8小时40分钟,932条实名注册信息被窃取。2016年3月,袁炜因涉嫌“非法获取计算机信息系统数据罪”,被北京市公安局朝阳分局依法逮捕。
  双方各执一词,公安部门认为,袁炜进行测试所使用的SQLmap软件属于黑客软件,袁炜所涉嫌的“非法获取计算机信息系统数据罪”指违反国家规定侵入国家事务国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重,本案属于情节犯,本罪的犯罪构成的认定标准为“获取身份认证信息500组以上”,袁炜获取的932条信息显然已经远远超过了500组。
  在本案中,11个IP是否包含932条身份信息有赖于司法鉴定部门进一步确认。根据技术中立理念,[17]SQLmap属于常用的漏洞测试软件,其本质为自动化软件,一经设定,该软件将自动重复进行注入行为,自动化软件进行攻防测试是否可以成为入罪理由暂且不论,本案中最为核心的是,袁炜并未试图隐去测试的IP地址,而是以该地址持续进行SQL注入测试,在测试后主动将该漏洞报告给世纪佳缘网,毫无疑问表明了袁炜的善意测试目的,这样一种并无社会危害性的行为直接入刑是否妥当值得深思。
  二、网络安全漏洞挖掘的规制路径反思
  (一)对既有挖掘规范的适用分析
  我国《网络安全法》对漏洞问题的专门配套立法尚付阙如,当前我国漏洞挖掘的法律规制体系不健全,从表面来看已经形成了以《治安管理处罚法》与《刑法》为核心的二元制裁体系,但事实上仅有《网络安全法》[18]
  《国家安全法》[19]《刑法》[20]《治安管理处罚法》[21]寥寥数个条文而已,体系零散,且对作为漏洞治理核心的漏洞挖掘行为规制的操作性不强,实践中多通过《刑法》第二百八十五条适用加以规制。
  我国《刑法》第二百八十五条与《刑法》第二百八十六条分别规定破坏计算机信息系统罪和拒不履行信息网络管理义务罪两款罪名,“白帽子”袁炜不同于传统黑客,传统黑客往往会基于其特殊的打击目的对计算机系统及内容进行修改和破坏,“白帽子”多以检测并获取漏洞为目标,一般不会对计算机系统造成致命打击,因此其行为多不涉及第二百八十六条。所以可以将视野聚焦,对善意漏洞挖掘行为直接相关刑事法律规定为《刑法》第二百八十五条前两款。[22]
  事实上,我国对于漏洞挖掘的规制有一个变化过程。[23]1994年颁布了公安部牵头制定的《计算机信息系统安全保护条例》,笼统概括了对信息系统安全破坏的行政责任,责任较为轻微,侵害对象主要集中在与国家或者事业单位密切相关的计算机信息系统安全(第条上)。
  在吸收该条例思想的基础上,1997年颁布并实施的《刑法》第二百八十五条规定了非法侵入计算机信息系统罪。经过司法实践的检验与助推证明,该罪的保护对象和范围显得过于狭窄,明显与社会发展要求和计算机应用现状不相适应,且不利于有效遏制和惩处计算机犯罪。2009年2月28日,全国人大常委会发布的《刑法修正案(七)》对该条规定作出了必要修正,分别将侵入特定计算机信息系统以外的计算机信息系统“采用或者其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为”,以及“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为”,作为该条的第二款、第三款规定一并入罪,从而扩大了《刑法》的保护对象和范围。2012年《治安管理处罚法》对侵入计算机系统行为加以明确。至此,我国漏洞挖掘规制二元格局正式形成。
  其中第一款为非法侵入计算机信息系统罪:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”本款表述意味着一旦侵入国家系统,无论是否具有主观恶意,直接认定构成本罪,本条行为犯的立场进一步强化了对国家关键基础设施的强保护理念。第二款为非法获取计算机信息系统数据罪和非法控制计算机信息系统罪置于一条进行规定,旨在表明对非国家系统的保护立场。
  表面上来看,对《刑法》第二百八十五条,第二百八十六条的适用逻辑非常清晰,但司法实践中的态度却令人匪夷所思,笔者在检索裁判文书网后分析了自2008—2016年383个相关案例后发现,绝大部分黑客专门利用网络安全漏洞从事系统破坏行为,[24]司法实践多直接适用《刑法》第二百八十六条加以规制,但部分黑客仅将漏洞利用行为作为其他犯罪的手段行为,[25]触犯《刑法》第二百八十五条第一二款的同时触犯其他罪名,多构成择一重罪处罚的牵连犯。这导致了在漏洞利用规制问题上,直接适用第二百八十五条的案例数量相对较少,吊诡的是,《刑法》第二百八十五条在规制类似袁炜一样的善意漏洞挖掘行为却无任何法律障碍。易言之,本条变为了针对善意漏洞挖掘行为的口袋罪。
  《刑法》第二百八十五条第二款的两款罪名不同于第一款的行为犯,需要侵入计算机系统并获得数据或者控制计算机系统两个行为,并且要达到情节严重,方可构成本罪,对于情节严重的判断标准主要依据2011年出台的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的司法解释加以明确。[26]
  经过前文对袁炜案的评析,可以考虑将问题聚焦:一个没有社会危害性的漏洞挖掘行为通过《刑法》第二百八十五条第二款进行规制是否具有合理性?笔者认为,当前我国与漏洞挖掘相关的法律规范太过强调事后救济,多以禁止性规定为中心,将情节和后果作为认定犯罪的依据,并不考虑袁炜漏洞挖掘行为人的社会危害性,这显然并不符合《刑法》的谦抑性特点。需要在考虑漏洞挖掘特殊目的的基础之上,对白帽子的身份属性、漏洞挖掘行为的边界加以明确。
  (二)漏洞挖掘行为规制的域外经验
  他山之石,可以攻玉,域外多采用“合同授权,法律保障”的模式对“白帽子”的挖掘行为进行治理。欧盟对“白帽子”漏洞挖掘行为同样表示支持和肯定,2013年通过《欧盟议会和理事会第40号指令》[27]规定,认为“白帽子”对于网络攻击以及与此相关的信息系统所造成的威胁和风险进行识别和报告的行为非常有助于有效应对网络攻击并提高信息系统安全。
  与我国对“漏洞挖掘行为”一刀切的立法模式不同,域外国家多采用公私合作框架模式,漏洞挖掘平台与被测试系统软件所有者的互联网公司之间签订合同,较为细致地就挖掘方法、目标、漏洞报告进行授权。与此同时,采用法律许可的方式对白帽子的漏洞挖掘行为予以规范,比较典型的例子是Heackerone平台与美国国防部合作发起的“ Hack the Pentagon”漏洞奖励计划。[28]事实上,美国绝大部分互联网公司均在Heackerone平台注册,授权“白帽子”对其公司的安全系统进行渗透测试。相应地,配套立法对这样的挖掘渗透行为予以明确,赋予“白帽子”黑客漏洞挖掘权限,豁免“白帽子”的善意挖掘行为,将漏洞挖掘人造成破坏的社会危害性纳入是否入罪的判断标准。
  美国于20世纪70年代中期就启动了PA(Protection Analysis Project)专门针对计算机操作系统的安全漏洞及脆弱性进行研究及RISOS(Research in Security Operating System)计划。[29]近些年,美国部署了国家网络空间安全保护系统(The National Cybersecurity Protection System,简称NCPS,俗称“爱因斯坦计划”),[30]旨在完善网络安全漏洞检测、入侵检测、入侵防御和安全信息共享。
  2015年修订的美国《计算机欺诈和滥用法》第1030条规定,与计算机有关的欺诈及类似威胁活动包含的若干情形均以故意、违法和超出授权为核心。[31]同年美国最新通过的《网络安全信息共享法案》[32],在“网络安全威胁指标”项下明确了网络安全漏洞的类型、利用方法以及诱导信息系统合法用户在不知情的情况下造成安全控制或者系统被利用的情形。[33]
  美国1998年的《数字千禧年版权法案》,第1201条第j项将安全测试[34]规定为允许行为人绕过计算机系统访问控制的例外情形,规定了以善意研究为目的的责任豁免情形。[35]行为人的善意测试行为可免责,这对于我国漏洞法律体系的完善具有非常重要的借鉴意义。
  2012年《网络安全法案》,更为详细地介绍了网络安全威胁合法披露的情形。第701条规定,在获得第三方授权的情况下,私人主体可以对其信息系统或者信息系统的储存、处理和传输的信息进行监视,或者施加反制措施以保护该系统和上述信息的安全。[36]第702条允许私主体向其他主体披露其合法获取的大量网络安全威胁指标,但要求披露方及被告知方遵守相关主体所设定的合法限制。[37]包括但不限于:披露的目的仅限于保护目标系统及数据安全;在披露相关安全威胁时确保不泄露相关数据的个人隐私;不将披露的威胁用以获取不正当的竞争优势。
  欧美国家采用的“合同授权,法律配套保障”的方案,主要是考虑到“白帽子”群体并无恶意破坏系统、获取数据的犯罪动机和社会危害性。不同于欧美国家公私合作模式,在我国,被测试系统软件所有者并未与测试平台之间签订合同授权“白帽子”的挖掘行为,这意味着只有当“白帽子”将漏洞提交给测试平台或者被测试系统所有者时,被测试主体方知晓该漏洞挖掘行为,此时被测主体享有是否追认的绝对权。若被测试主体拒绝追认,将直接导致挖掘行为人受制于《刑法》第二百八十五条的规制。吊诡的是,即便测试平台与被测试系统所有者签订挖掘授权合同,仍然存在违法的风险,因为该合同会因触犯《合同法》第五十四条第五款中的“违反法律、行政法规的强制性规定”特殊规定而归于无效。易言之,无论被测试系统软件所有者是否与平台签订合同,抑或事后是否追认该挖掘行为,均不影响“白帽子”受《刑法》第

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1225109      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多