【摘要】網(wǎng)絡(luò)安全漏洞挖掘是網(wǎng)絡(luò)安全治理的中心議題，其存在對于維護網(wǎng)絡(luò)安全非常有必要。由于網(wǎng)絡(luò)安全漏洞挖掘是一個復(fù)雜、動態(tài)的問題，對其進行法律規(guī)制不能單憑一部法律，應(yīng)以《網(wǎng)絡(luò)安全法》為核心，構(gòu)建多元化的法律法規(guī)體系，約束網(wǎng)絡(luò)安全漏洞挖掘行為，讓其既能為網(wǎng)絡(luò)安全服務(wù)，又能不觸碰法律紅線。

【關(guān)鍵詞】網(wǎng)絡(luò)安全  漏洞挖掘  法律規(guī)制    【中圖分類號】D92    【文獻標(biāo)識碼】A

《網(wǎng)絡(luò)安全法》被視為規(guī)范網(wǎng)絡(luò)安全漏洞挖掘最全面、最具體的法律，一方面給予網(wǎng)絡(luò)安全漏洞挖掘合法性的肯定，另一方面又通過諸多條款來限制網(wǎng)絡(luò)安全漏洞挖掘工作，符合現(xiàn)代法治文明和客觀實際的雙重需求。鑒于《網(wǎng)絡(luò)安全法》剛剛實施，其實踐效果尚未取得驗證；同時，網(wǎng)絡(luò)安全漏洞挖掘是一項復(fù)雜、動態(tài)的問題，對其進行法律規(guī)制不能單憑一部法律，所以筆者試圖從《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《個人信息保護法》《電子商務(wù)法》《網(wǎng)絡(luò)社會管理法》等相關(guān)法律出發(fā)，探討網(wǎng)絡(luò)安全漏洞挖掘的規(guī)制，讓該項工作能夠在法律框架下順利開展。

將《網(wǎng)絡(luò)安全法》作為規(guī)制網(wǎng)絡(luò)安全漏洞挖掘的核心法律

《網(wǎng)絡(luò)安全法》于2016年11月頒布，2017年6月正式開始實施，被認為是我國維護網(wǎng)絡(luò)安全方面最全面、最重要的法律文件，其針對網(wǎng)絡(luò)安全運行、信息基礎(chǔ)設(shè)施安全運行、信息安全、監(jiān)測與預(yù)警等各個方面都予以規(guī)定，其中對挖掘網(wǎng)絡(luò)安全漏洞的行為也有專門規(guī)定。

《網(wǎng)絡(luò)安全法》第4條、18條、21條以及51條都針對網(wǎng)絡(luò)安全漏洞問題進行明確規(guī)定，要求網(wǎng)絡(luò)服務(wù)商對自身產(chǎn)品存在的漏洞具有告知和補救責(zé)任，對自身存在的安全漏洞負有保護義務(wù)，如未能盡到相應(yīng)義務(wù)應(yīng)該承擔(dān)責(zé)任?！毒W(wǎng)絡(luò)安全法》認定個人和機構(gòu)隨意發(fā)布網(wǎng)絡(luò)安全漏洞會對社會和網(wǎng)絡(luò)安全造成巨大影響，并針對這種發(fā)布行為進行嚴格規(guī)范。同時，要求官方開展網(wǎng)絡(luò)安全認定、風(fēng)險評估等活動時，應(yīng)遵守國家相關(guān)法律規(guī)定。顯然，國家有關(guān)部門已經(jīng)意識到網(wǎng)絡(luò)安全漏洞對社會和網(wǎng)絡(luò)安全造成的巨大影響，并試圖借助法律規(guī)范來約束挖掘網(wǎng)絡(luò)安全漏洞的行為，要求行為人在對外公布網(wǎng)絡(luò)安全漏洞時應(yīng)該規(guī)范化，并遵守相關(guān)法律法規(guī)。

《網(wǎng)絡(luò)安全法》出臺的目的就是打造我國網(wǎng)絡(luò)安全管理最全面、最具體的法律法規(guī)，應(yīng)將《網(wǎng)絡(luò)安全法》作為規(guī)制網(wǎng)絡(luò)安全漏洞挖掘的核心法律。需要指出的是，《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全漏洞的規(guī)定和處罰，還沒有特別具體的規(guī)定。比如，關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞管控、網(wǎng)絡(luò)安全漏洞挖掘的披露及出口行為等，都缺乏具體的認定。未來修改完善《網(wǎng)絡(luò)安全法》時，應(yīng)給予社會公眾和行為人更加明確的指引。

完善《互聯(lián)網(wǎng)信息服務(wù)管理辦法》 ，防止網(wǎng)絡(luò)安全漏洞信息傳遞

《互聯(lián)網(wǎng)信息服務(wù)管理辦法》早在2000年已經(jīng)頒布并正式實施，核心內(nèi)容就是管理網(wǎng)絡(luò)中的信息傳播，避免出現(xiàn)網(wǎng)絡(luò)謠言、網(wǎng)絡(luò)誹謗以及相關(guān)的犯罪信息，幫助社會公眾屏蔽這些非法信息，凈化網(wǎng)絡(luò)環(huán)境。

在現(xiàn)代網(wǎng)絡(luò)安全漏洞挖掘的過程中，時常會出現(xiàn)一些非真正網(wǎng)絡(luò)安全漏洞的問題，其產(chǎn)生主要是由于一些個人和機構(gòu)惡意誹謗和誣陷。他們宣稱網(wǎng)絡(luò)服務(wù)商提供的網(wǎng)絡(luò)服務(wù)存在安全漏洞，通過這種方式來敲詐網(wǎng)絡(luò)服務(wù)商。他們雖然沒有在技術(shù)層面上真正挖掘網(wǎng)絡(luò)安全漏洞，但已經(jīng)借助網(wǎng)絡(luò)安全漏洞實施了不法行為，給社會造成一定的負面影響。除此之外，個人和機構(gòu)在挖掘網(wǎng)絡(luò)安全漏洞之時，也會通過信息傳遞的方式將網(wǎng)絡(luò)安全漏洞散播給社會大眾，給服務(wù)商和社會公眾造成巨大影響，并且容易出現(xiàn)一些與事實不符的虛假信息。

《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的重要意義，就是防止這些涉及網(wǎng)絡(luò)安全漏洞的信息傳遞給社會公眾而造成恐慌。無論是否屬于真實的網(wǎng)絡(luò)安全漏洞信息都應(yīng)該在信息傳播中予以限制，筆者認為《互聯(lián)網(wǎng)信息服務(wù)管理辦法》應(yīng)增設(shè)關(guān)于網(wǎng)絡(luò)安全漏洞信息傳遞的具體化規(guī)定，并明確傳播網(wǎng)絡(luò)安全漏洞信息需要承擔(dān)的責(zé)任，以此來規(guī)范網(wǎng)絡(luò)安全漏洞信息傳播，減少社會公眾對網(wǎng)絡(luò)安全漏洞的恐慌。

出臺《個人信息保護法》 ，切割網(wǎng)絡(luò)安全漏洞對個人影響

《個人信息保護法》尚處于制定之中，其將成為個人信息保護的最重要的法律依據(jù)。在挖掘網(wǎng)絡(luò)安全漏洞的行為中也存在對個人信息的披露和侵犯，針對這種侵犯個人信息的行為應(yīng)該予以禁止，并對泄露個人信息的人員和單位予以懲處。

在利益的驅(qū)動下，個人信息經(jīng)常被非法收集、買賣和濫用，給社會公眾的日常生活及經(jīng)濟安全造成巨大影響。面對此問題，《個人信息保護法》正在制定之中，其結(jié)合了《憲法》《刑法》《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《居民身份證法》等多部法律法規(guī)，構(gòu)建出保護社會公眾個人信息的全面法律規(guī)范。個人信息泄露的危害十分巨大，比如2015年2月，全國多家酒店由于網(wǎng)絡(luò)安全漏洞造成房客信息泄露，其中部分信息就是由挖掘網(wǎng)絡(luò)安全漏洞的相關(guān)人員泄露出來的，給社會公眾造成極大的負面影響，并且形成了社會恐慌。一旦《個人信息保護法》制定完畢后，就可以針對挖掘網(wǎng)絡(luò)安全漏洞中泄露個人信息行為進行打擊，及時制止侵犯個人信息的行為，對社會公眾的個人信息進行更好保護。

出臺《電子商務(wù)法》 ，防止網(wǎng)絡(luò)安全漏洞挖掘形成商業(yè)化模式

正在制定的《電子商務(wù)法》主要處理正常的電子商務(wù)貿(mào)易關(guān)系，針對網(wǎng)絡(luò)安全漏洞挖掘行為約束較少，尚未意識到挖掘網(wǎng)絡(luò)安全漏洞已經(jīng)朝著商業(yè)化的模式邁進。

早期的網(wǎng)絡(luò)安全漏洞挖掘主要由個人完成，其目的是挖掘者展示自我能力，但隨著網(wǎng)絡(luò)普及程度提升，挖掘網(wǎng)絡(luò)安全漏洞的現(xiàn)象逐漸增多，以挖掘網(wǎng)絡(luò)安全漏洞逐利的現(xiàn)象明顯增多，并形成一種灰色的商業(yè)鏈條，給社會公眾和經(jīng)濟發(fā)展都帶來不利的影響。面對圍繞挖掘網(wǎng)絡(luò)安全漏洞的產(chǎn)業(yè)鏈條，《電子商務(wù)法》應(yīng)該增設(shè)相關(guān)法律條款，用來限制挖掘網(wǎng)絡(luò)安全漏洞的商業(yè)行為。

在制定《電子商務(wù)法》的過程中，應(yīng)該針對挖掘網(wǎng)絡(luò)安全漏洞的商業(yè)行為進行有效識別，防止不法分子或機構(gòu)通過挖掘網(wǎng)絡(luò)安全漏洞對網(wǎng)絡(luò)服務(wù)商進行敲詐和威脅；應(yīng)該禁止以經(jīng)濟利益為目的而進行網(wǎng)絡(luò)安全漏洞挖掘工作，并針對以公益性為目的的挖掘網(wǎng)絡(luò)安全漏洞商業(yè)組織進行監(jiān)督和管理；堅決打擊將挖掘網(wǎng)絡(luò)安全漏洞行為與商業(yè)利益掛鉤，特別要防止挖掘網(wǎng)絡(luò)安全漏洞的行為逐漸形成一種商業(yè)模式。

建議制定《網(wǎng)絡(luò)社會管理法》 ，維護網(wǎng)絡(luò)安全漏洞挖掘者合法權(quán)益

目前我國尚未制定《網(wǎng)絡(luò)社會管理法》，但迫于網(wǎng)絡(luò)安全漏洞挖掘的現(xiàn)狀，我們應(yīng)該盡早制定?！毒W(wǎng)絡(luò)社會管理法》的目的主要是對從事網(wǎng)絡(luò)安全漏洞挖掘者的合法權(quán)益進行保護。

法學(xué)界的主流觀點雖然傾向于否定網(wǎng)絡(luò)安全漏洞挖掘工作，但客觀上看，網(wǎng)絡(luò)安全漏洞挖掘工作是一種必要性的工作，只不過這種工作應(yīng)該在法律允許的范圍內(nèi)進行，應(yīng)該不以經(jīng)濟利益、商業(yè)利益為目的而開展。在網(wǎng)絡(luò)社會中，任何網(wǎng)絡(luò)服務(wù)商在提供網(wǎng)絡(luò)服務(wù)中都可能存在安全漏洞，這些漏洞一旦被不法分子掌控，極容易給網(wǎng)絡(luò)服務(wù)商和消費者造成較大損失。此時需要借助相應(yīng)的網(wǎng)絡(luò)安全漏洞挖掘機構(gòu)，對網(wǎng)絡(luò)服務(wù)安全進行測試，及時了解網(wǎng)絡(luò)服務(wù)安全情況。網(wǎng)絡(luò)安全漏洞挖掘機構(gòu)一旦發(fā)現(xiàn)安全漏洞，應(yīng)該及時通知服務(wù)商，并盡可能提出修補方案，以此來維護網(wǎng)絡(luò)服務(wù)的安全性。

規(guī)范網(wǎng)絡(luò)安全漏洞挖掘行為要以目的為考量，只要網(wǎng)絡(luò)安全漏洞挖掘機構(gòu)出于維護網(wǎng)絡(luò)安全的目的，挖掘出網(wǎng)絡(luò)安全漏洞并及時進行告知，該種行為就應(yīng)該予以鼓勵，并予以保護。構(gòu)建《網(wǎng)絡(luò)社會管理法》就是要規(guī)范網(wǎng)絡(luò)安全漏洞挖掘行為，保障從事相關(guān)工作的個人和機構(gòu)能夠享有合法權(quán)益，避免其遭受非法侵犯。

（作者為河南財經(jīng)政法大學(xué)民商經(jīng)濟法學(xué)院講師）

【參考文獻】

①趙精武：《網(wǎng)絡(luò)安全漏洞挖掘的法律規(guī)制研究》，《暨南學(xué)報(哲學(xué)社會科學(xué)版)》，2017年第6期。

②黃道麗、馬民虎：《安全漏洞發(fā)現(xiàn)的合法性邊界：授權(quán)模式下的行為要素框架》，《西安交通大學(xué)學(xué)報（社會科學(xué)版）》，2017年第2期。

責(zé)編/溫祖俊    美編/楊玲玲

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán)，轉(zhuǎn)載時務(wù)必標(biāo)明來源及作者，否則追究法律責(zé)任。