民法視角下的網(wǎng)絡(luò)安全治理法律框架建設(shè)

虞潯 馬寅宵

〔摘要〕 大數(shù)據(jù)時代，我國網(wǎng)絡(luò)安全漏洞治理的重要性更加凸顯，與社會各方面的關(guān)系也更加密切。目前，相關(guān)法律還沒有明確界定“眾測平臺”“白帽子”等概念，也缺少對漏洞測試行為的規(guī)范指引和監(jiān)督制約。實(shí)踐中，應(yīng)在法律框架下對“眾測平臺”“白帽子”概念進(jìn)行界定，將善意因素作為主要評價對象;對“眾測平臺”“白帽子”在法律意義上的權(quán)利義務(wù)加以明確并進(jìn)行限定，確立受償機(jī)制與披露機(jī)制;建立“眾測平臺”及“白帽子”的有效運(yùn)行機(jī)制和綜合監(jiān)管機(jī)制，以維護(hù)網(wǎng)絡(luò)安全和相關(guān)民眾的合法權(quán)益。

〔關(guān)鍵詞〕 漏洞治理;“白帽子”;“眾測平臺”;受償權(quán);披露權(quán)

〔中圖分類號〕D923 ? 〔文獻(xiàn)標(biāo)識碼〕A 〔文章編號〕1009-1203（2019）05-0084-04

《網(wǎng)絡(luò)安全法》自2017年6月開始施行，它標(biāo)志著我國對網(wǎng)絡(luò)安全領(lǐng)域治理的正式立法。早在此之前，民間自發(fā)形成的網(wǎng)絡(luò)安全漏洞治理產(chǎn)業(yè)就已逐步成型。網(wǎng)絡(luò)安全漏洞的治理包括如下內(nèi)容：通過計算機(jī)技術(shù)對漏洞的挖掘與測試、組織技術(shù)人員針對特定系統(tǒng)的測試、以眾包眾測的方式組建第三方平臺、對已確認(rèn)的漏洞進(jìn)行披露，以及對漏洞解決進(jìn)度進(jìn)行社會反饋等，其中，漏洞眾測是核心部分。漏洞眾測一般有以下三個步驟：首先，“眾測平臺”獲得產(chǎn)品測試授權(quán)，在網(wǎng)站上標(biāo)明測試目標(biāo)和獎賞，允許在平臺注冊的“白帽子”（互聯(lián)網(wǎng)語中的“白帽子”一詞是指道德計算機(jī)黑客或計算機(jī)安全專家，專門從事滲透測試和運(yùn)用其他測試方法，以確保組織信息系統(tǒng)的安全）對其進(jìn)行漏洞治理;其次，由“白帽子”向平臺上報其所發(fā)現(xiàn)的漏洞，平臺在網(wǎng)站適度披露，同時向測試產(chǎn)品的運(yùn)營者進(jìn)行反饋;最后，由運(yùn)營者確認(rèn)漏洞，向“白帽子”發(fā)放獎勵，并在修補(bǔ)后向社會公眾完整披露。然而，即使在《網(wǎng)絡(luò)安全法》施行之后，仍然存在著一些法律漏洞與制度缺位，導(dǎo)致我國對網(wǎng)絡(luò)安全漏洞治理從業(yè)者的不當(dāng)刑事制裁。因此，我國亟需通過相關(guān)法律對關(guān)鍵的主體概念進(jìn)行界定，將善意因素作為主要評價對象;對利益相關(guān)方的權(quán)利義務(wù)加以明確并進(jìn)行限定，在對網(wǎng)絡(luò)安全漏洞的法律屬性分析后確立受償機(jī)制與披露機(jī)制，以更為完善的法律法規(guī)為網(wǎng)絡(luò)安全治理領(lǐng)域提供充足的理論支撐。

一、網(wǎng)絡(luò)安全漏洞治理領(lǐng)域法律法規(guī)的制定

網(wǎng)絡(luò)安全漏洞治理自21世紀(jì)初就開始興起，軟件技術(shù)伴隨著摩爾定律下的硬件升級一同發(fā)展。在大數(shù)據(jù)時代，安全漏洞治理的重要性愈發(fā)凸顯，與社會治理的關(guān)系更加密切，測試技術(shù)和交易市場均形成了一定的體系與規(guī)模。但我國目前針對安全漏洞測試和交易的體系化立法還不完善，相關(guān)規(guī)定零散分布在《網(wǎng)絡(luò)安全法》《刑法》以及《治安管理處罰法》等法律法規(guī)中，善意的、正當(dāng)?shù)陌踩┒礈y試行為有時會受到法律的制裁。

（一）《網(wǎng)絡(luò)安全法》關(guān)于安全漏洞測試的相關(guān)規(guī)定

《網(wǎng)絡(luò)安全法》首次從網(wǎng)絡(luò)安全保障基本法的高度確定安全漏洞這一客觀事實(shí)，該法第22條規(guī)定了網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者對其產(chǎn)品、服務(wù)負(fù)有補(bǔ)救、告知義務(wù);第25條明確了網(wǎng)絡(luò)經(jīng)營者負(fù)有制定應(yīng)急預(yù)案、及時處置系統(tǒng)漏洞的安全保護(hù)義務(wù);第26條系對安全漏洞披露行為的引導(dǎo)性規(guī)定，該規(guī)定目前實(shí)施性不強(qiáng)，應(yīng)屬于預(yù)留性條款;第60條、第62條規(guī)定了網(wǎng)絡(luò)運(yùn)營者違反上述條文時應(yīng)承擔(dān)的法律責(zé)任。從以上法條可以看出，《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定傾向于鼓勵網(wǎng)絡(luò)運(yùn)營者自覺遵守、自我審查、自主報告，但沒有涉及設(shè)立相對更有效的政府機(jī)構(gòu)或第三方監(jiān)管措施，也沒有從網(wǎng)絡(luò)漏洞的測試方面界定該行為的法律邊界，更沒有在罰則與漏洞嚴(yán)重程度、危害程度等衡量標(biāo)準(zhǔn)之間建立直接而詳細(xì)的關(guān)聯(lián)。

（二）《治安管理處罰法》《刑法》關(guān)于安全漏洞測試的相關(guān)規(guī)定

《治安管理處罰法》《刑法》側(cè)重于對非授權(quán)訪問行為的治安處罰和刑事打擊。從表面來看已經(jīng)形成了以《治安管理處罰法》與《刑法》為核心的二元制裁體系，但實(shí)際上該制裁體系較為零散，且對作為漏洞治理的核心行為規(guī)制的操作性不強(qiáng)，實(shí)踐中多通過適用《刑法》第285條加以規(guī)制?！缎谭ā返?85條、第286條規(guī)定了“非法侵入計算機(jī)信息系統(tǒng)罪;非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)罪;提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪;破壞計算機(jī)信息系統(tǒng)罪;網(wǎng)絡(luò)服務(wù)瀆職罪”。實(shí)踐中，如果漏洞測試者利用系統(tǒng)安全漏洞實(shí)施了相關(guān)行為，就可能觸犯上述罪名，《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》也進(jìn)一步明確了以上罪名中“情節(jié)嚴(yán)重”“后果嚴(yán)重”“情節(jié)特別嚴(yán)重”的判斷依據(jù)。對于尚未觸犯《刑法》第285條、第286條的違法行為，《治安管理處罰法》第29條規(guī)定了拘留的治安處罰?！缎谭ㄐ拚福ň牛返?86條中新增了“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，強(qiáng)調(diào)了網(wǎng)絡(luò)運(yùn)營者對安全漏洞的管理責(zé)任，該新增條款適用于漏洞隱患致使用戶個人信息泄露而網(wǎng)絡(luò)服務(wù)的提供者不作為的情況，但對漏洞測試行為又未涉及。

關(guān)于善意的漏洞測試行為的規(guī)制。在司法實(shí)踐中，絕大部分黑客專門利用網(wǎng)絡(luò)安全漏洞從事系統(tǒng)破壞行為，司法實(shí)踐多直接適用《刑法》第286條加以規(guī)制，但還有部分黑客僅將漏洞利用行為作為其他犯罪的手段，也就是說在觸犯《刑法》第285條第一、二款的同時還觸犯其他罪名，大多構(gòu)成擇一重罪處罰的牽連犯。這就導(dǎo)致在漏洞利用規(guī)制問題上，直接適用《刑法》第285條的案例數(shù)量相對較少。

當(dāng)前我國與漏洞治理相關(guān)的法律規(guī)范過于強(qiáng)調(diào)事后救濟(jì)，多以禁止性規(guī)定為主，將情節(jié)和后果作為認(rèn)定犯罪的依據(jù)，并不考慮漏洞測試行為人的社會危害性，這顯然并不符合《刑法》的謙抑性特點(diǎn)。結(jié)合國內(nèi)相關(guān)案例看，我國現(xiàn)行法律對漏洞測試者的規(guī)制存在兩大問題：一是對漏洞測試持否定性評價，二是對測試者自發(fā)組織的漏洞測試行為呈現(xiàn)重刑主義傾向。

二、網(wǎng)絡(luò)安全漏洞治理領(lǐng)域法律法規(guī)建設(shè)存在的主要問題

通過對我國安全漏洞治理領(lǐng)域法律法規(guī)建設(shè)現(xiàn)狀分析，可以看出總體上我國法律法規(guī)沒有明確界定類似安全漏洞測試者（以下簡稱“白帽子”）、安全漏洞眾測平臺（以下簡稱“眾測平臺”）等概念，也缺少對漏洞測試行為的規(guī)范指引和監(jiān)督制約?，F(xiàn)有立法的模糊性，導(dǎo)致從業(yè)者對于安全漏洞測試行為合法性缺乏必要的預(yù)判，也容易出現(xiàn)漏洞測試行為超出合理邊界導(dǎo)致侵犯他人合法權(quán)益的現(xiàn)象。

（一）對“眾測平臺”概念界定不清晰

盡管《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全各方面進(jìn)行了較為詳細(xì)的規(guī)定，但在網(wǎng)絡(luò)安全漏洞的治理方面還存在缺位，尤其是在主體概念定義的規(guī)定上，這就導(dǎo)致現(xiàn)實(shí)生活中存在不少爭議與糾紛，甚至還可能導(dǎo)致執(zhí)法司法的不當(dāng)。目前我國法律中對于安全漏洞眾測平臺并沒有明確界定，唯一可以被認(rèn)為與眾測平臺相關(guān)的法律規(guī)定是在2017年11月1日發(fā)布的《中華人民共和國電子商務(wù)法》第九條中：本法所稱電子商務(wù)平臺經(jīng)營者，是指在電子商務(wù)中為交易雙方或者多方提供網(wǎng)絡(luò)經(jīng)營場所、交易撮合、信息發(fā)布等服務(wù)，供交易雙方或者多方獨(dú)立開展交易活動的法人或者非法人組織。本法所稱平臺內(nèi)經(jīng)營者，是指通過電子商務(wù)平臺銷售商品或者提供服務(wù)的電子商務(wù)經(jīng)營者。但“電子商務(wù)平臺經(jīng)營者”中是否也包括“眾測平臺”呢？事實(shí)上，網(wǎng)絡(luò)安全漏洞“眾測平臺”并不像天貓、京東等互聯(lián)網(wǎng)銷售平臺，漏洞測試服務(wù)由不以盈利為目的的“白帽子”提供，“眾測平臺”也并不從資金流動中獲利，因此“白帽子”不屬于電子商務(wù)經(jīng)營者，而“眾測平臺”似乎也談不上是電子商務(wù)平臺經(jīng)營者。2016年“烏云平臺”停運(yùn)事件，也暴露出相關(guān)法律對網(wǎng)絡(luò)安全漏洞平臺的概念界定還不清晰。

（二）“眾測平臺”與“白帽子”的權(quán)利義務(wù)不明確

解決現(xiàn)實(shí)中的網(wǎng)絡(luò)安全漏洞測試、披露、交易問題，關(guān)鍵要厘清“眾測平臺”與“白帽子”在法律意義上的權(quán)利與義務(wù)。針對網(wǎng)絡(luò)安全漏洞測試行業(yè)，由于法律法規(guī)保護(hù)與規(guī)制不到位，行業(yè)公約或行業(yè)協(xié)會的自律規(guī)定就在實(shí)踐中充當(dāng)了替代品。如國家信息安全漏洞共享平臺公布的《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約（簽約版）》、互聯(lián)網(wǎng)安全工作組發(fā)布的《互聯(lián)網(wǎng)企業(yè)安全漏洞披露與處理公約》提出，互聯(lián)網(wǎng)企業(yè)應(yīng)：（1）承諾提供可用的官方安全事件、漏洞反饋渠道;（2）承諾對每位報告者反饋的問題都有專人進(jìn)行跟進(jìn)、分析和處理，并給予及時答復(fù)或公告;（3）承諾對于每位以保護(hù)用戶利益為目的、幫助企業(yè)提升產(chǎn)品安全質(zhì)量的報告者，將給予感謝和回饋;（4）反對在安全問題解決前公開披露漏洞細(xì)節(jié)的行為;（5）反對和譴責(zé)一切以漏洞測試為借口，利用安全漏洞進(jìn)行破壞、損害用戶利益的黑客行為，包括但不限于利用漏洞盜取用戶隱私及虛擬財產(chǎn)、入侵業(yè)務(wù)系統(tǒng)、竊取用戶數(shù)據(jù)、惡意傳播漏洞等。相對來說，我國網(wǎng)絡(luò)安全漏洞測試行業(yè)的法律法規(guī)還不夠?qū)ｉT化、系統(tǒng)化。

（三）相關(guān)部門的監(jiān)管機(jī)制不完善

我國在網(wǎng)絡(luò)安全漏洞測試的相關(guān)市場中，由于沒有形成相對穩(wěn)定的商業(yè)范式，中間環(huán)節(jié)多而繁雜，交易的保密性、完整性、可溯源性難以得到保證。同時，相關(guān)部門對網(wǎng)絡(luò)安全漏洞測試市場的監(jiān)管不到位，粗放甚至缺乏監(jiān)管機(jī)制，因此，很難實(shí)現(xiàn)這一領(lǐng)域商業(yè)交易的效率與公平，更起不到切實(shí)保護(hù)人民群眾網(wǎng)絡(luò)安全利益的作用。

三、網(wǎng)絡(luò)安全漏洞治理領(lǐng)域法律框架建設(shè)的思考

基于網(wǎng)絡(luò)安全漏洞治理的立法框架進(jìn)行研究，首先應(yīng)在立法中明確各個概念的定義，確立網(wǎng)絡(luò)安全漏洞治理的主要目標(biāo);其次應(yīng)通過區(qū)分合法測試與非法入侵的界限，分清情況明確權(quán)利責(zé)任以及相關(guān)原則;最后在執(zhí)法司法中應(yīng)明確各種行為的性質(zhì)，尤其應(yīng)在最高人民法院、最高人民檢察院的《司法解釋》《指導(dǎo)意見》等法律文件中予以體現(xiàn)。

（一）應(yīng)明晰網(wǎng)絡(luò)安全漏洞的法理屬性

隨著信息技術(shù)的快速發(fā)展，我國網(wǎng)絡(luò)安全漏洞無處不在，但對其法理屬性的界定比較模糊。筆者認(rèn)為，網(wǎng)絡(luò)安全漏洞應(yīng)被認(rèn)為是一種債務(wù)預(yù)期違約情形。假設(shè)有一網(wǎng)絡(luò)產(chǎn)品對社會公眾提供服務(wù)，在服務(wù)協(xié)議中有用戶安全保障規(guī)則條款，其中直接規(guī)定或可以推知產(chǎn)品運(yùn)營商有防止由于漏洞被惡意利用導(dǎo)致用戶權(quán)益受損害的義務(wù)。在產(chǎn)品安全漏洞未被發(fā)現(xiàn)之前，盡管漏洞依然存在，但是由于未被發(fā)現(xiàn)也未被利用，其本身并不具備法律含義。若安全漏洞在被發(fā)現(xiàn)并及時告知運(yùn)營方的情況下，漏洞就成為運(yùn)營商單方原因?qū)е碌念A(yù)期違約情形，債務(wù)人若在漏洞信息強(qiáng)制披露后的合理期限內(nèi)不進(jìn)行修補(bǔ)，即構(gòu)成明示預(yù)期違約，應(yīng)當(dāng)承擔(dān)違約責(zé)任?！鞍酌弊印痹谄渲邪缪莸慕巧蚴菍τ跓o眾測政策的產(chǎn)品安全性的無因管理，或是對于有眾測政策的產(chǎn)品運(yùn)營商懸賞廣告的完成?！鞍酌弊印睂τ诼┒葱畔⒉o所有權(quán)，因?yàn)槁┒幢旧聿⒉皇俏锘騻且环N情形，所以不存在歸屬問題，故“白帽子”只能對相應(yīng)企業(yè)進(jìn)行報告而無處分權(quán)利。

（二）在立法層面完善“眾測平臺”及“白帽子”的主體概念

在法律層面，目前對“白帽子”這一群體并未與從事危險危害行為的“網(wǎng)絡(luò)黑客”區(qū)分開來，這對“白帽子”群體法律地位的確認(rèn)與規(guī)制非常不利。參照信息發(fā)達(dá)國家《2012年網(wǎng)絡(luò)安全法案》以及《2015年網(wǎng)絡(luò)安全信息共享法案》中對于“私人實(shí)體”（Private Entity）行為的規(guī)定，盡管有任何其他法律規(guī)定，但出于網(wǎng)絡(luò)安全目的，私人實(shí)體可監(jiān)察：（1）該私人實(shí)體的信息系統(tǒng);（2）經(jīng)該另一實(shí)體的授權(quán)和書面同意，另一實(shí)體的信息系統(tǒng);（3）由私人實(shí)體根據(jù)本段監(jiān)控的信息系統(tǒng)存儲、處理信息。根據(jù)這條規(guī)定，可以認(rèn)為網(wǎng)絡(luò)安全漏洞“眾測平臺”是實(shí)行以上規(guī)定中行為的非公權(quán)力主體。按照吳沈括教授的觀點(diǎn)，根據(jù)《刑法》第285條規(guī)定，“白帽子”有兩條基本特征：一是構(gòu)成入侵行為，二是構(gòu)成“非法獲取”或“非法控制”且情節(jié)嚴(yán)重。在這“兩條紅線”規(guī)范下，“白帽子”與不法黑客的不同點(diǎn)在刑法領(lǐng)域主要體現(xiàn)在兩個方面：一是主觀意圖不同，二是造成后果不同。根據(jù)兩個“不同”，可以簡單地概括出“白帽子”在法律上的主體概念，即通過技術(shù)手段侵入系統(tǒng)獲取數(shù)據(jù)的方式檢測查找安全漏洞并加以合法披露的善意第三人。

（三）明確“眾測平臺”和“白帽子”的義務(wù)權(quán)利

1.“眾測平臺”的義務(wù)與權(quán)利。參照現(xiàn)行法律規(guī)定，眾測平臺的義務(wù)大致可歸納以下幾點(diǎn)：一是保護(hù)國家利益、社會公益的義務(wù)。根據(jù)《國家安全法》第77條與《保守國家秘密法》第24條之規(guī)定，應(yīng)認(rèn)為禁止平臺與“白帽子”對國家秘密、涉密國家信息系統(tǒng)漏洞的主動披露，同時對于國家許可的或者無關(guān)國家安全、國家秘密的情形，應(yīng)遵循必要的弱化披露處理原則。二是保護(hù)互聯(lián)網(wǎng)用戶安全和隱私的義務(wù)。根據(jù)《網(wǎng)絡(luò)安全法》第四章、第六章關(guān)于網(wǎng)絡(luò)信息安全的規(guī)定與責(zé)任條款，平臺獲得漏洞報告后，應(yīng)該盡一切措施保障漏洞涉及的用戶安全和隱私，防止相關(guān)信息泄露造成有關(guān)主體的法益損害。三是尊重漏洞測試從業(yè)人員的智力勞動成果與價值的義務(wù)。根據(jù)《電子商務(wù)法》第42條、第43條的規(guī)定，平臺有義務(wù)對每位報告者反饋的問題都有專人進(jìn)行跟進(jìn)、分析和處理，并給予及時答復(fù)或公告，對于“白帽子”勞動成果的價值予以認(rèn)定，不擅自利用其成果。從權(quán)利角度來講，安全“眾測平臺”應(yīng)享有一定的披露權(quán)。依據(jù)《網(wǎng)絡(luò)安全法》第60條第二款對于法律責(zé)任的規(guī)定，“經(jīng)營產(chǎn)品的企業(yè)應(yīng)該對產(chǎn)品漏洞有補(bǔ)救義務(wù)”。由此可知，在企業(yè)未盡到補(bǔ)救義務(wù)時，平臺進(jìn)行合理程度的披露，有利于促進(jìn)企業(yè)對國家利益、社會公益進(jìn)行及時保護(hù)。

2.“白帽子”的義務(wù)與權(quán)利。首先，從義務(wù)角度講，“白帽子”測試漏洞中應(yīng)履行無害化義務(wù)。根據(jù)《中國互聯(lián)網(wǎng)協(xié)會漏洞發(fā)現(xiàn)與報告行為守則》第八條規(guī)定：按照對信息系統(tǒng)機(jī)密性、可用性、完整性等三方面要素的影響評估，漏洞風(fēng)險發(fā)現(xiàn)與技術(shù)驗(yàn)證應(yīng)遵循無害化原則，即“白帽子”應(yīng)該在漏洞測試中承擔(dān)技術(shù)無害化的義務(wù)。其次，從權(quán)利角度來講，“白帽子”在漏洞測試中應(yīng)享有以下權(quán)利：一是披露權(quán)。在平臺披露權(quán)的前提上，需要特別指出一點(diǎn)，若響應(yīng)處置期滿，企業(yè)對漏洞仍未采取實(shí)質(zhì)性修補(bǔ)措施，在救濟(jì)用盡情況下，“白帽子”出于對社會公益保護(hù)目的，應(yīng)當(dāng)可以行使緊急避險，即對漏洞合理披露，而不對企業(yè)承擔(dān)損害賠償責(zé)任。二是豁免權(quán)?！鞍酌弊印背鲇诒Ｗo(hù)自身以及他人利益的目的，所對漏洞的測試行為，本身是可以豁免的行為，其可能承擔(dān)的刑事責(zé)任以及民事責(zé)任，應(yīng)以無故意過錯為阻卻事由的上限。三是受償權(quán)。由于“白帽子”在漏洞測試過程中所付出的勞動本身是一種高技術(shù)活動，所以其測試漏洞行為應(yīng)享有受償權(quán)。

（四）健全網(wǎng)絡(luò)安全漏洞治理的有效運(yùn)行和綜合監(jiān)管機(jī)制

在“眾測平臺”與網(wǎng)絡(luò)企業(yè)、“白帽子”形成的三角關(guān)系中，眾測平臺作為中間渠道的提供者，參與并掌控著交易中的所有流程與另外兩方的信息交流，在漏洞治理過程中具有重要的銜接協(xié)調(diào)功能。對企業(yè)來說，平臺一方面應(yīng)以商業(yè)化為主，注重服務(wù)與客戶體驗(yàn)，方便企業(yè)注冊、發(fā)布、獎勵并及時收到信息進(jìn)行漏洞修補(bǔ);另一方面應(yīng)通過輔助制定披露政策，督促企業(yè)加強(qiáng)對產(chǎn)品漏洞的修補(bǔ)，促使其履行相應(yīng)的社會責(zé)任。對“白帽子”來說，平臺應(yīng)形成與廣大“白帽子”人才資源的良性互動，努力成為“白帽子”的代表者、發(fā)聲者、引導(dǎo)者。在“白帽子”與企業(yè)之間，應(yīng)建立更加規(guī)范透明的交流渠道，通過雙方信息對稱性的提高，既防止“白帽子”在獎勵滯后的情況下走向黑產(chǎn)成為“黑客”，又保障“白帽子”不受到不利的訴訟威脅。而在這組三角關(guān)系之外，政府應(yīng)當(dāng)組建相應(yīng)的漏洞治理機(jī)構(gòu)，統(tǒng)合各方資源，制定漏洞治理的原則與規(guī)劃，并主導(dǎo)技術(shù)規(guī)范與操作流程的制定，結(jié)合公權(quán)力與社會資源，形成一套行之有效的網(wǎng)絡(luò)安全漏洞治理體系。另外，可以考慮建立行業(yè)自律協(xié)會，通過制定行業(yè)標(biāo)準(zhǔn)，弘揚(yáng)行業(yè)自律文化，形成行業(yè)內(nèi)良性競爭機(jī)制，促進(jìn)漏洞治理產(chǎn)業(yè)與網(wǎng)絡(luò)技術(shù)協(xié)調(diào)發(fā)展。同時，行業(yè)自律協(xié)會可與行政機(jī)關(guān)、司法機(jī)關(guān)共同構(gòu)成監(jiān)管體系，還可以與立法機(jī)關(guān)合作，起草制定行業(yè)內(nèi)相關(guān)認(rèn)定標(biāo)準(zhǔn)、認(rèn)證程序等法律文件，從而達(dá)到保護(hù)社會公共利益的最終目的。

早在2014年2月27日，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上，習(xí)近平總書記就已經(jīng)闡明，網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國。在建設(shè)網(wǎng)絡(luò)強(qiáng)國總目標(biāo)下，構(gòu)建網(wǎng)絡(luò)安全漏洞治理體系至關(guān)重要，在理論上厘清概念、劃定界限，在實(shí)踐中明確義務(wù)、保障權(quán)利，以此形成的治理體系才能行有所據(jù)，才能保障人民群眾財產(chǎn)安全與國家穩(wěn)定發(fā)展。

〔參 考 文 獻(xiàn)〕

〔1〕王 遷.知識產(chǎn)權(quán)法教程〔M〕.北京：中國人民大學(xué)出版社，2016.

〔2〕朱慶育.民法總論〔M〕.北京：北京大學(xué)出版社，2016.

〔3〕莊永廉，皮 勇，楊 明，等.對“白帽子”行為如何定性〔J〕.人民檢察，2017（04）：41-46.

責(zé)任編輯 李 雯