网络安全漏洞披露规则及其体系设计

网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全，凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则，并根据形势不断进行调整，规则设计呈现从负责任披露到协同披露的变化趋势，国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品和服务提供者、第三方和国家三个层面提出了网络安全漏洞合法披露的基本要求，可借鉴域外经验，以协同披露为导向，围绕披露主体、披露对象、披露方式和披露的责任豁免论证和设计网络安全漏洞披露规则体系，为安全漏洞披露行为提供明确指引。

1、以负责任披露为核心的传统漏洞披露政策及实践

漏洞披露政策与漏洞披露类型密切相关，后者是前者的基础和铺垫，实践中适用最广的漏洞披露类型是制定漏洞披露政策考虑的主要因素。2015年前，美国行业界广泛承认和支持的是负责任披露，当时的披露政策也偏重该种类型。美国“以负责任披露为核心”的政策包括美国计算机紧急事件响应小组协调中心（CERT/CC）、国家基础设施委员会（ NIAC）等政府机构制定的框架，以及由大型互联网企业组成的网络安全组织（OIS）主导的指引政策等。

CERT/CC 2000年发布的披露机制属于负责任披露中较为开放的，偏重于保护用户的知情权。CERT/CC起到的作用类似于第三方政府机构，负责将漏洞发现者报告的漏洞反馈给厂商，督促其测试、研发补丁，披露期限为收到该漏洞后的45天之后。这里包括一个例外情况，即有证据表明厂商具有积极的补救漏洞的作为，例如改变其系统组件以降低漏洞被利用的风险等，为鼓励厂商的积极行为可将45天期限延长至90天。该例外情况将厂商的技术限制、社会责任心、安全义务纳入考虑范围，表明了政府机构的中间立场和协调的监管职责，较为科学合理。

NIAC 2004年向总统提交的漏洞披露政策是在调查、研究实践基础上，提出的更全面的漏洞披露政策，包括根据危害性进行漏洞评分、鼓励公私部门信息共享、漏洞修复具有优先级等。该政策将漏洞信息规定为敏感机密的信息，要求对漏洞沟通的所有电子邮件都必须进行加密。若漏洞发现者提交的漏洞信息准确，则厂商应该在7天内响应并禁止其威胁发现者，以切实保护漏洞研究工作者的合法权益和积极性。

OIS 2004年发布的漏洞披露指引政策更侧重漏洞报告的响应机制，规定发现者向厂商发送漏洞报告之后，厂商应在7个工作日内进行回复。研究出补丁之后方可向社会发布漏洞，为加快研究速度以维护安全，相关部门30天内可向利益相关方分享漏洞的详细信息。在整个漏洞修补过程中，若发现者未得到厂商的回复，则可向厂商发送一个收到漏洞的确认请求，厂商若在3天内仍然不予回应，发现者可以寻求第三方协调机构的帮助，协调过程出现冲突还可进一步寻求仲裁，先决条件之一是发现者和厂商均同意且授权范围统一。

从以上典型的漏洞披露政策分析可知，“以负责任披露为核心”的美国传统漏洞披露政策以保护用户知情权为出发点，在明确漏洞披露周期管理的基础上重视利益相关方的协调，开始鼓励公私部门信息共享，同时也注重保护漏洞发现者的合法利益和积极性。实践中厂商也会对善意的漏洞发现者做出一定程度的让步，即使以牺牲自身经济利益为代价，也不愿意引起整个安全研究人员群体的排斥，以防止打压发现者寻求其漏洞、改善其软硬件安全性的主动性。“惠普起诉SnoSoft 公司研究者”一案即体现了这个思路。2002年，惠普公司起诉一家名为SnoSoft的安全研究机构（现更名为Netragard），认为其涉嫌发现和披露惠普Tru64（惠普的 Unix 操作系统）中的22项漏洞，依据《数字千年版权法》（DMCA），安全研究机构和相关人员可能面临高达50万美元的罚款和5年监禁。但惠普员工和其他相关人士都警告惠普公司时任CEO Carly Fiorina，公司如果采取强硬立场可能会打压漏洞研究，对未来惠普软件的安全不利，最终惠普公司选择了撤诉。

此外，“Tornado起诉员工Bret McDanel”一案也反映出对善意漏洞安全研究人员的承认。Tornado是美国一家提供网页邮件和语音邮件服务的公司，其员工Bret McDanel发现公司电子邮件系统存在严重网络安全漏洞，可导致客户隐私泄露，McDanel随即向上级反映，但该漏洞并未得到修复。McDanel离开Tornado公司6个月后得知该漏洞仍未被修复，其便向约5600个客户发送匿名邮件披露了该漏洞详情。2002年，美国法院根据解释《计算机欺诈与滥用法》的相关条款对McDanel定罪，判处16个月监禁。McDanel服刑结束后，美国法院判定此前对他的起诉存在错误并撤销了定罪，原因在于McDanel是在公司拒绝修复漏洞之后选择告知用户，其目的是为了确保用户采取安全措施。

2、以协同披露为趋势的现代漏洞披露政策及演化

随着安全漏洞协同披露为更多的组织所支持和倡导，政府机构在制定安全漏洞披露规则时也对其加以吸收，以协同披露为核心的规则成为现行美国政策和立法的新趋势，2015年美国通过的《网络安全信息共享法》（CISA）、2016年公开的VEP政策、2017年《补丁法案》体现了这一趋势。

1. 《网络安全信息共享法》（CISA）

《网络安全信息共享法》（CISA）是美国关于网络安全信息共享的第一部综合性立法，也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息。CISA将共享的网络安全信息分为“网络威胁指标”和“防御措施”两大类。网络威胁指标实质即为直接的漏洞威胁和与漏洞相关的其他威胁，防御措施则是针对网络威胁指标做出的技术和其他措施的回应。总体来说，CISA围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本框架。CISA鼓励私企与美国政府实时共享网络安全威胁信息，特别规定了私主体共享信息的责任豁免；对于通过合法共享而获得的网络威胁指标和防御措施，联邦政府基于识别网络安全威胁或者安全漏洞的需要可以披露。

具体而言，如果将披露视为共享的一种特殊方式，那么CISA建立的网络安全威胁信息共享框架事实上可以延及漏洞披露的规范体系，目标在于确保相关机构具备并保持与信息安全相协调的实时共享网络安全威胁指标的能力。CISA规定私人实体享有监控和获取网络安全威胁信息，当然也包括安全漏洞信息的权利，但除其自身信息系统外，对其他信息系统中网络安全威胁信息的监控、获取、使用和共享均以事先授权为基础，并且该授权需要获得书面同意。可以认为，CISA建立一套“授权——发现——共享”的网络安全威胁信息共享的合规路径，在赋予私人主体发现和共享网络安全威胁信息权利的同时，将其行为的合法性边界限制在法律规定和授权基础的范围内。根据CISA的规定，向联邦政府提供网络安全威胁指标和防御措施必须基于特定的目的，包括维护网络安全，识别网络安全威胁或安全漏洞来源，识别外国敌对人员或恐怖分子使用信息系统造成的网络安全威胁，应对、制止或缓解由恐怖行为或使用大规模杀伤性武器产生的威胁，预防、调查和起诉犯罪等等。

尽管CISA并非专门针对安全漏洞信息披露而设计共享框架，但其相关举措仍然衍生出一条重要的安全漏洞信息披露原则，即合法披露原则。虽然私人实体被赋予了广泛的网络安全威胁信息的发现和共享权利，但这一权利的实现需要满足两个必要的前提，即合法目的和行为授权，这对于建立我国安全漏洞信息披露的相关制度具有重要的指导意义。

2. VEP政策

奥巴马政府时期，美国联邦调查局、国家安全局等政府机构一方面通过采购、收集等方式进行网络安全漏洞的攻击性研究和储备，另一方面制定和施行VEP政策，评判收集到的漏洞对网络安全、信息保障、情报、执法、国防和关键基础设施保护的影响，裁决是披露已经获得或发现的安全漏洞，还是保留安全漏洞用于情报、执法或者其他目的。VEP整体内容在美国现行制度下仍属于“国家秘密”信息，直至2016年才向公众公布其中一部分。

依据VEP公开的规定，美国政府实体对于任何来源的网络安全漏洞信息裁决程序如下：第一，基于漏洞分级，在触发特定阈值时向国家安全局指定担任的执行秘书长通报；第二，执行秘书长通知政府相关的利益相关方，指定特定联络人，由各方反馈是否启动裁决程序；第三，提出裁决要求的所有利益相关方指派特定专家参与讨论，并向裁决审查委员会（Equities Review Board）提供决策建议；第四，裁决审查委员会做出如何响应漏洞的倾向性决定，如有利益相关方异议，则该机构可向某特定内设机构提出申诉。

VEP规定体现出这一阶段美国网络安全漏洞披露政策的三大特点：第一，网络安全漏洞的来源十分广泛。VEP政策下的漏洞来自政府软硬件、商用软硬件、工控系统、国家安全系统等任何可能存在网络安全漏洞的场景，包括开源软件等；第二，网络安全信息呈单向线性流动。由于政府在政策制定和执行中的主导作用，任何来源的网络安全漏洞信息只限于在政府及相关实体中共享和决策，在VEP裁决之前，限制向政府之外的实体披露网络安全漏洞，政府（包括关键基础设施）的利益保障具有绝对的优先性；第三，国家安全局具有多重身份和相当的自由裁量权。VEP规定，“国家安全局对其认证或批准的或具有密码功能的设备、系统等中漏洞附有前置性安全审查义务，因此亦应当尽快向其报告，并由其履行适当的VEP程序”，由于密码应用的普遍性、政府软硬件认证或批准的强制性、接受报告的优先性，此规定实际上赋予了国家安全局决断和裁量网络安全漏洞的绝对垄断权力。

综合CISA和VEP政策可以发现，VEP政策赋予了美国国家安全局裁决网络安全漏洞的绝对权力，供其决断的安全漏洞来源广泛且信息共享更多限于政府实体范围，与CISA所倡导的公私实时共享威胁信息理念存在一定的冲突。2017年5月全球勒索软件攻击事件发生后，美国国家安全局因其披露或保留漏洞用于情报收集目的的行为饱受争议，也引发美国政府对国家安全局主导的VEP政策的审查与反思。

3. 2017年补丁法案

为将VEP政策正式纳入立法范畴，进一步规范政府、厂商等披露主体的行为，同时解决CISA法案和VEP政策在安全漏洞信息共享和披露实施方面的衔接问题，2017年5月17日，美国国会提出了一项新法案—《2017反黑客保护能力法案》（Protecting Our Ability to Counter Hacking Act of 2017） ，该法案也被称为《2017补丁法案》（PATCH Act of 2017）。

总体来说，2017年补丁法案在“是否披露”和“如何披露”两个核心问题上体现出美国政府对VEP政策的改进。首先，补丁法案改变了漏洞披露裁决的顶层决策机制，实现了从国家安全局到国土安全部主导的过渡。补丁法案规定，由国土安全部长（或其指定人员）担任的“漏洞裁决审查委员会”主席代替VEP政策中国家安全局指定的执行秘书长，“漏洞裁决审查委员会”主席与联邦调查局、国家情报总监、中央情报局、国家安全局，以及商务部、国务院、财政部、能源部和联邦贸易委员会的指定人员等共同组成漏洞裁决审查委员会。这一决策主体的变化用意在于增加透明度，规避公众对国家安全局的敏感性；其次，补丁法案增加了推定披露程序。法案规定将通过制定标准，指引对推定披露程序的适用，以此弥合常规披露与“黑市披露”之间的时间差。但由于最终由国土安全部长代表联邦政府实施披露，因此其有效性仍有待观察和评估；再次，补丁法案加大了向厂商的安全漏洞披露倾向。法案规定，如果漏洞裁决审查委员会决定向特定厂商披露，则应当国土安全部长实施披露。此种情形属于向特定人的有限披露；最后，补丁法案规定，对于裁决禁止披露、但因任何原因进入公众领域的网络安全漏洞，应按照CISA制定的程序实施。

4.《瓦森纳协定》

在美国VEP政策制定和实施的同一时期，国际层面正式开始将网络安全漏洞纳入网络武器范畴管理。2013年12月，41个成员国参与的多边出口管控体制《关于常规武器和两用物品及技术出口控制的瓦森纳安排》（简称《瓦森纳协定》）修订附加条款，将一些特殊的入侵软件列入其两用物项清单中。为落实《瓦森纳协定》的附加条款，2015年5月20日，美国商务部下属的工业与安全局（BIS）提出实施规则草案《2013年<瓦森纳协议>全会决议的执行：入侵和检测物项》，草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”，拟将入侵软件纳入美国《出口管理条例（EAR）》的管控范围。如果草案施行，美国企业或个人向境外厂商披露安全漏洞是一种出口行为，需预先申请政府许可，否则将被视为非法，美国厂商举办的安全漏洞悬赏计划也不例外。

《瓦森纳协定》和美国BIS的新规说明，网络安全漏洞的资源性和武器化趋势已成为国际和国家层面的普遍共识，网络安全漏洞披露规制的制定上升到与国家安全和政治利益密切相关的高度，VEP政策的秘密施行、2017年补丁法案的提出和改进进一步印证了这一点。

3、美国网络安全漏洞披露规则的主要特点

考察美国网络安全漏洞披露规则的具体设计、实践情况和演变趋势，本文认为，可概括出以下特点：

第一，高度重视网络安全漏洞披露问题，很早在法律和政策中分别对网络安全漏洞披露问题进行规定，并根据形势变化不断做出调整，总体呈现从负责任披露到协同披露变革的趋势；第二，网络安全漏洞披露过程中注重充分保护用户知情权，强调政府机构主导下厂商、安全研究人员、用户等利益相关方的利益协调；第三，基于刑法和知识产权法对未经授权的漏洞发现和披露行为予以规制，实践中也注重保护善意漏洞发现和披露者的合法利益和积极性；第四，鼓励政府机构、企业和公众在法定条件和程序下实时共享网络安全信息，授权联邦政府披露合法共享的安全漏洞信息；第五，将安全漏洞作为网络空间战的战略资源和博弈资本，网络安全漏洞披露规则的制定上升到与国家安全和政治利益密切相关的高度；第六，构建国家层面统一的网络安全漏洞披露协调和决策机制，并积极推动从政策到立法的转变。