全球網絡武器丟失 通報機制亟待建立

　　資料圖。

“在網絡技術和應用不發達的時期，很多國家都倡導的是政府為主導的管理模式；而時至今日，一些網絡技術應用比較發達的國家，更多是倡導治理的模式。”在8月31日召開的“網絡空間與網絡安全國際治理研討會”上，中央網信辦政策法規局副局長李長喜表示，目前網絡空間治理模式已經發生了變化。

李長喜指出，管理更多是強調政府主導，社會各方作為一個次要的位置進行參與；而治理，則是基于網絡空間的“三多”特點：主體的多元性、活動的多重性、行為的多樣性，對網絡空間采取多元主體共治的模式，這無論是在發達國家還是發展中國家，無論是理論層面還是實踐層面，基本得到了國際社會的認同。

用多邊通報機制捍衛網安

當前，我國的互聯網安全行業快速發展，互聯網在促進社會發展、方便人民生活的同時，相伴而生的網絡安全威脅與日俱增。尤其是今年5月“永恒之藍”勒索事件的爆發，致使全球150多個國家和地區受到波及。

360公司總法律顧問許堅認為，網絡安全不僅影響著傳統的社會領域，更影響著國防領域和國家安全領域，而我國在快速崛起的背景下已成為海外敵對勢力的攻擊目標，因此急需建立網絡安全信息共享機制和立體化網絡空間防御體系。

針對永恒之藍勒索病毒，微軟副總裁、首席法務官布拉德·史密斯曾表示，如果用傳統武器打比方，這次事件相當于美國軍方的戰斧巡航導彈丟失。

“既然已經將網絡武器的重要性提高到戰斧巡航導彈的層次，一旦失竊當事國有義務向其他國家通報相關情況，讓各國的政府和民眾提前預警。”許堅認為，網絡武器防擴散流程應盡可能前置，有必要在全球范圍內構建網絡武器丟失通報機制，一方面建立國與國之間的雙邊通報機制，另一方面盡可能在聯合國框架下建立多邊通報機制，共同捍衛網絡空間的安全秩序。

北京師范大學刑事法律科學研究院院長趙秉志教授也認為，基于網絡世界的開放性、全球互聯性、網絡攻擊的跨國性與非對稱性等特征，任何國家都很難獨善其身，國際合作會成為必然的趨勢。

鑒于我國在立法、司法、商業等網絡治理相關實踐上已走在世界前列，北京外國語大學法學院博士生導師、電子商務與網絡犯罪研究中心主任王文華教授建議，我國可以基于上海合作組織、G20等平臺，主導制定一些區域性的有關網絡安全或網絡犯罪的國際公約。

建議對“白帽子”給予保護性政策

隨著網絡空間多元共治成為各方的共識，如何正向發揮“白帽子”黑客(正面的黑客，可以識別計算機系統或網絡系統中的安全漏洞，但不會惡意去利用，而是向廠商或相關機構去公布)的價值，讓其參與到網絡安全的治理與防范中也顯得尤為重要。

不過，研討會上，360法律研究院一位負責人介紹，在目前法律框架下，很多“白帽子”會面臨很多法律風險，如目前我國正在征求意見的《關鍵信息基礎設施安全保護條例》擬規定，未經授權不能掃描關鍵信息基礎設施的漏洞，掃描本身就可能構成違法行為；另如刑法中規定的侵犯計算機系統罪，不區分行為人的主觀意圖，只要有這方面的行為就可能構成犯罪。

從2010年開始，國內也出現了像烏云網等漏洞報告平臺，“白帽子”在發現一些互聯網廠商的漏洞后，平臺會按照一定的程序分批次、分等級對外進行披露，該模式盡管強化了公眾對網絡安全的直觀認知，但自誕生以來就飽受爭議。

以烏云網為例，其平臺上注冊的“白帽子”先后披露出京東商城、支付寶等互聯網企業的漏洞，但法律風險一直如影隨行。尤其是2016年，杭州的IT人士袁某，在烏云網提交了他發現的某網站系統漏洞后，被該網以“網站數據被非法竊取”為由報警。隨后袁某被司法機關逮捕。目前該案尚未宣判。受該事件的影響，烏云網的業務也基本停滯。

前述360法律研究院相關負責人告訴記者，業界非常關注該案件的走向。在他看來，如果對一些善意的“白帽子”缺乏一個正向正面的引導、鼓勵和激勵，一些游走在“灰黑白”的邊界上的“白帽子”就有可能走向黑產，將挖掘到的漏洞在黑市上交易。

該負責人介紹，目前，像美國等國家出臺了很多鼓勵挖掘漏洞的政策和做法，比如說攻陷五角大樓、攻克白宮，鼓勵全球的“白帽子”發現和修復漏洞；此外，通過給予“白帽子”激勵措施，還可以發現其他國家的黑客、“白帽子”的戰術水平，進而采取更好的防范措施。

“他們其實是用了一個成本比較低的方式，既維護了網絡安全，又鼓勵了這些人做好事。”該負責人建議，我國可以借鑒這方面的做法，給予“白帽子”一些激勵性措施，落實到法律層面上，能否在正在征求意見的《關鍵信息基礎設施保護條例》，就“禁止未經授權的關鍵信息掃描”增加一個例外條款，例如為了網絡安全科研、監測預警目的，又符合一定規范的掃描探測漏洞信息行為，可以免責。