【摘要】網(wǎng)絡安全漏洞挖掘是網(wǎng)絡安全治理的中心議題，其存在對于維護網(wǎng)絡安全非常有必要。由于網(wǎng)絡安全漏洞挖掘是一個復雜、動態(tài)的問題，對其進行法律規(guī)制不能單憑一部法律，應以《網(wǎng)絡安全法》為核心，構建多元化的法律法規(guī)體系，約束網(wǎng)絡安全漏洞挖掘行為，讓其既能為網(wǎng)絡安全服務，又能不觸碰法律紅線。

【關鍵詞】網(wǎng)絡安全  漏洞挖掘  法律規(guī)制    【中圖分類號】D92    【文獻標識碼】A

《網(wǎng)絡安全法》被視為規(guī)范網(wǎng)絡安全漏洞挖掘最全面、最具體的法律，一方面給予網(wǎng)絡安全漏洞挖掘合法性的肯定，另一方面又通過諸多條款來限制網(wǎng)絡安全漏洞挖掘工作，符合現(xiàn)代法治文明和客觀實際的雙重需求。鑒于《網(wǎng)絡安全法》剛剛實施，其實踐效果尚未取得驗證；同時，網(wǎng)絡安全漏洞挖掘是一項復雜、動態(tài)的問題，對其進行法律規(guī)制不能單憑一部法律，所以筆者試圖從《網(wǎng)絡安全法》《互聯(lián)網(wǎng)信息服務管理辦法》《個人信息保護法》《電子商務法》《網(wǎng)絡社會管理法》等相關法律出發(fā)，探討網(wǎng)絡安全漏洞挖掘的規(guī)制，讓該項工作能夠在法律框架下順利開展。

將《網(wǎng)絡安全法》作為規(guī)制網(wǎng)絡安全漏洞挖掘的核心法律

《網(wǎng)絡安全法》于2016年11月頒布，2017年6月正式開始實施，被認為是我國維護網(wǎng)絡安全方面最全面、最重要的法律文件，其針對網(wǎng)絡安全運行、信息基礎設施安全運行、信息安全、監(jiān)測與預警等各個方面都予以規(guī)定，其中對挖掘網(wǎng)絡安全漏洞的行為也有專門規(guī)定。

《網(wǎng)絡安全法》第4條、18條、21條以及51條都針對網(wǎng)絡安全漏洞問題進行明確規(guī)定，要求網(wǎng)絡服務商對自身產品存在的漏洞具有告知和補救責任，對自身存在的安全漏洞負有保護義務，如未能盡到相應義務應該承擔責任?！毒W(wǎng)絡安全法》認定個人和機構隨意發(fā)布網(wǎng)絡安全漏洞會對社會和網(wǎng)絡安全造成巨大影響，并針對這種發(fā)布行為進行嚴格規(guī)范。同時，要求官方開展網(wǎng)絡安全認定、風險評估等活動時，應遵守國家相關法律規(guī)定。顯然，國家有關部門已經(jīng)意識到網(wǎng)絡安全漏洞對社會和網(wǎng)絡安全造成的巨大影響，并試圖借助法律規(guī)范來約束挖掘網(wǎng)絡安全漏洞的行為，要求行為人在對外公布網(wǎng)絡安全漏洞時應該規(guī)范化，并遵守相關法律法規(guī)。

《網(wǎng)絡安全法》出臺的目的就是打造我國網(wǎng)絡安全管理最全面、最具體的法律法規(guī)，應將《網(wǎng)絡安全法》作為規(guī)制網(wǎng)絡安全漏洞挖掘的核心法律。需要指出的是，《網(wǎng)絡安全法》對網(wǎng)絡安全漏洞的規(guī)定和處罰，還沒有特別具體的規(guī)定。比如，關鍵信息基礎設施安全漏洞管控、網(wǎng)絡安全漏洞挖掘的披露及出口行為等，都缺乏具體的認定。未來修改完善《網(wǎng)絡安全法》時，應給予社會公眾和行為人更加明確的指引。

完善《互聯(lián)網(wǎng)信息服務管理辦法》 ，防止網(wǎng)絡安全漏洞信息傳遞

《互聯(lián)網(wǎng)信息服務管理辦法》早在2000年已經(jīng)頒布并正式實施，核心內容就是管理網(wǎng)絡中的信息傳播，避免出現(xiàn)網(wǎng)絡謠言、網(wǎng)絡誹謗以及相關的犯罪信息，幫助社會公眾屏蔽這些非法信息，凈化網(wǎng)絡環(huán)境。

在現(xiàn)代網(wǎng)絡安全漏洞挖掘的過程中，時常會出現(xiàn)一些非真正網(wǎng)絡安全漏洞的問題，其產生主要是由于一些個人和機構惡意誹謗和誣陷。他們宣稱網(wǎng)絡服務商提供的網(wǎng)絡服務存在安全漏洞，通過這種方式來敲詐網(wǎng)絡服務商。他們雖然沒有在技術層面上真正挖掘網(wǎng)絡安全漏洞，但已經(jīng)借助網(wǎng)絡安全漏洞實施了不法行為，給社會造成一定的負面影響。除此之外，個人和機構在挖掘網(wǎng)絡安全漏洞之時，也會通過信息傳遞的方式將網(wǎng)絡安全漏洞散播給社會大眾，給服務商和社會公眾造成巨大影響，并且容易出現(xiàn)一些與事實不符的虛假信息。

《互聯(lián)網(wǎng)信息服務管理辦法》的重要意義，就是防止這些涉及網(wǎng)絡安全漏洞的信息傳遞給社會公眾而造成恐慌。無論是否屬于真實的網(wǎng)絡安全漏洞信息都應該在信息傳播中予以限制，筆者認為《互聯(lián)網(wǎng)信息服務管理辦法》應增設關于網(wǎng)絡安全漏洞信息傳遞的具體化規(guī)定，并明確傳播網(wǎng)絡安全漏洞信息需要承擔的責任，以此來規(guī)范網(wǎng)絡安全漏洞信息傳播，減少社會公眾對網(wǎng)絡安全漏洞的恐慌。

出臺《個人信息保護法》 ，切割網(wǎng)絡安全漏洞對個人影響

《個人信息保護法》尚處于制定之中，其將成為個人信息保護的最重要的法律依據(jù)。在挖掘網(wǎng)絡安全漏洞的行為中也存在對個人信息的披露和侵犯，針對這種侵犯個人信息的行為應該予以禁止，并對泄露個人信息的人員和單位予以懲處。

在利益的驅動下，個人信息經(jīng)常被非法收集、買賣和濫用，給社會公眾的日常生活及經(jīng)濟安全造成巨大影響。面對此問題，《個人信息保護法》正在制定之中，其結合了《憲法》《刑法》《關于加強網(wǎng)絡信息保護的決定》《居民身份證法》等多部法律法規(guī)，構建出保護社會公眾個人信息的全面法律規(guī)范。個人信息泄露的危害十分巨大，比如2015年2月，全國多家酒店由于網(wǎng)絡安全漏洞造成房客信息泄露，其中部分信息就是由挖掘網(wǎng)絡安全漏洞的相關人員泄露出來的，給社會公眾造成極大的負面影響，并且形成了社會恐慌。一旦《個人信息保護法》制定完畢后，就可以針對挖掘網(wǎng)絡安全漏洞中泄露個人信息行為進行打擊，及時制止侵犯個人信息的行為，對社會公眾的個人信息進行更好保護。

出臺《電子商務法》 ，防止網(wǎng)絡安全漏洞挖掘形成商業(yè)化模式

正在制定的《電子商務法》主要處理正常的電子商務貿易關系，針對網(wǎng)絡安全漏洞挖掘行為約束較少，尚未意識到挖掘網(wǎng)絡安全漏洞已經(jīng)朝著商業(yè)化的模式邁進。

早期的網(wǎng)絡安全漏洞挖掘主要由個人完成，其目的是挖掘者展示自我能力，但隨著網(wǎng)絡普及程度提升，挖掘網(wǎng)絡安全漏洞的現(xiàn)象逐漸增多，以挖掘網(wǎng)絡安全漏洞逐利的現(xiàn)象明顯增多，并形成一種灰色的商業(yè)鏈條，給社會公眾和經(jīng)濟發(fā)展都帶來不利的影響。面對圍繞挖掘網(wǎng)絡安全漏洞的產業(yè)鏈條，《電子商務法》應該增設相關法律條款，用來限制挖掘網(wǎng)絡安全漏洞的商業(yè)行為。

在制定《電子商務法》的過程中，應該針對挖掘網(wǎng)絡安全漏洞的商業(yè)行為進行有效識別，防止不法分子或機構通過挖掘網(wǎng)絡安全漏洞對網(wǎng)絡服務商進行敲詐和威脅；應該禁止以經(jīng)濟利益為目的而進行網(wǎng)絡安全漏洞挖掘工作，并針對以公益性為目的的挖掘網(wǎng)絡安全漏洞商業(yè)組織進行監(jiān)督和管理；堅決打擊將挖掘網(wǎng)絡安全漏洞行為與商業(yè)利益掛鉤，特別要防止挖掘網(wǎng)絡安全漏洞的行為逐漸形成一種商業(yè)模式。

建議制定《網(wǎng)絡社會管理法》 ，維護網(wǎng)絡安全漏洞挖掘者合法權益

目前我國尚未制定《網(wǎng)絡社會管理法》，但迫于網(wǎng)絡安全漏洞挖掘的現(xiàn)狀，我們應該盡早制定。《網(wǎng)絡社會管理法》的目的主要是對從事網(wǎng)絡安全漏洞挖掘者的合法權益進行保護。

法學界的主流觀點雖然傾向于否定網(wǎng)絡安全漏洞挖掘工作，但客觀上看，網(wǎng)絡安全漏洞挖掘工作是一種必要性的工作，只不過這種工作應該在法律允許的范圍內進行，應該不以經(jīng)濟利益、商業(yè)利益為目的而開展。在網(wǎng)絡社會中，任何網(wǎng)絡服務商在提供網(wǎng)絡服務中都可能存在安全漏洞，這些漏洞一旦被不法分子掌控，極容易給網(wǎng)絡服務商和消費者造成較大損失。此時需要借助相應的網(wǎng)絡安全漏洞挖掘機構，對網(wǎng)絡服務安全進行測試，及時了解網(wǎng)絡服務安全情況。網(wǎng)絡安全漏洞挖掘機構一旦發(fā)現(xiàn)安全漏洞，應該及時通知服務商，并盡可能提出修補方案，以此來維護網(wǎng)絡服務的安全性。

規(guī)范網(wǎng)絡安全漏洞挖掘行為要以目的為考量，只要網(wǎng)絡安全漏洞挖掘機構出于維護網(wǎng)絡安全的目的，挖掘出網(wǎng)絡安全漏洞并及時進行告知，該種行為就應該予以鼓勵，并予以保護。構建《網(wǎng)絡社會管理法》就是要規(guī)范網(wǎng)絡安全漏洞挖掘行為，保障從事相關工作的個人和機構能夠享有合法權益，避免其遭受非法侵犯。

（作者為河南財經(jīng)政法大學民商經(jīng)濟法學院講師）

【參考文獻】

①趙精武：《網(wǎng)絡安全漏洞挖掘的法律規(guī)制研究》，《暨南學報(哲學社會科學版)》，2017年第6期。

②黃道麗、馬民虎：《安全漏洞發(fā)現(xiàn)的合法性邊界：授權模式下的行為要素框架》，《西安交通大學學報（社會科學版）》，2017年第2期。

責編/溫祖俊    美編/楊玲玲

聲明：本文為人民論壇雜志社原創(chuàng)內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。