信息服務(wù)設(shè)備后門和技術(shù)漏洞的威脅及其法律應(yīng)對(duì)

張培田 唐 犀 周倩琳

內(nèi)容提要：大數(shù)據(jù)、云計(jì)算云存儲(chǔ)、互聯(lián)網(wǎng)+與區(qū)塊鏈等高新技術(shù)日新月異的發(fā)展，促進(jìn)了社會(huì)信息利用的轉(zhuǎn)型升級(jí)，也使得逐利的各級(jí)各類信息傳輸處理服務(wù)商，利用信息服務(wù)設(shè)備后門和技術(shù)漏洞，危害國(guó)家安全和社會(huì)個(gè)人隱私保護(hù)等良善運(yùn)行秩序。本文從信息服務(wù)基礎(chǔ)設(shè)備后門和技術(shù)漏洞的社會(huì)危害、信息服務(wù)設(shè)備后門和技術(shù)漏洞產(chǎn)生的原因及其行為的法律定性、信息服務(wù)設(shè)備后門和技術(shù)漏洞法律規(guī)制的理由和目的、強(qiáng)化信息服務(wù)設(shè)備后門和技術(shù)漏洞法律應(yīng)對(duì)的建議等方面，進(jìn)行分析論述。并就當(dāng)下及今后我國(guó)以法律規(guī)制信息傳輸設(shè)備后門和技術(shù)漏洞的法律問(wèn)題，應(yīng)對(duì)大數(shù)據(jù)、云計(jì)算云存儲(chǔ)、互聯(lián)網(wǎng)+與區(qū)塊鏈等伴隨高新科技演變的信息安全危害，提出改善建議。

隨著電腦手機(jī)及互聯(lián)網(wǎng)大數(shù)據(jù)的市場(chǎng)化加速，各種各類細(xì)分信息傳輸服務(wù)設(shè)備不斷升級(jí)。從技術(shù)上來(lái)看，相應(yīng)的信息基礎(chǔ)傳輸設(shè)備，常用的有線渠道需通過(guò)雙絞線、同軸電纜和光纖，無(wú)線傳輸媒體則通過(guò)衛(wèi)星通信、無(wú)線通信、紅外通信、激光通信以及微波通信等方式。信息傳輸?shù)奶幚憝h(huán)節(jié)主要包括數(shù)據(jù)（Data）、信號(hào)（Signal）、信道（Channel）、比特率（BitRate）、碼元（Code Cell）、多路復(fù)用(Multiplexing)、數(shù)據(jù)交換（Data Switching）、差錯(cuò)控制（error control）等。服務(wù)設(shè)備制造商為搶占針對(duì)消費(fèi)者的服務(wù)市場(chǎng)，一方面有意為信息服務(wù)使用商壟斷或推送特定服務(wù)留下后門，另一方面在信息技術(shù)欠缺的情況下倉(cāng)促推出存在技術(shù)漏洞的設(shè)備。由于設(shè)備制造商和使用商追求其商業(yè)利潤(rùn)最大化，這些后門和技術(shù)漏洞通常置信息使用終端消費(fèi)者群體信息安全利益于不顧，必然對(duì)消費(fèi)者群體的信息安全帶來(lái)直接隱患和危害，甚至威脅國(guó)家安全。

一、信息服務(wù)設(shè)備后門和技術(shù)漏洞概念及威脅

（一）信息服務(wù)設(shè)備后門和技術(shù)漏洞的概念

信息服務(wù)設(shè)備上出現(xiàn)的后門或技術(shù)漏洞，集中發(fā)生在硬件搭載的應(yīng)用軟件或是操作系統(tǒng)軟件設(shè)計(jì)上。出現(xiàn)后門的原因主要是編寫系統(tǒng)應(yīng)用軟件和操作系統(tǒng)軟件的程序員，在軟件開(kāi)發(fā)的階段即在軟件內(nèi)故意設(shè)置創(chuàng)建后門，作為繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)的方法，體現(xiàn)出設(shè)計(jì)人及知曉該后門缺陷而故意利用人主觀上的明知故犯。而出現(xiàn)技術(shù)漏洞的主要原因則是編寫系統(tǒng)應(yīng)用軟件和操作系統(tǒng)軟件的技術(shù)有局限性，人類目前無(wú)法預(yù)料缺陷并找到解決的技術(shù)方案。無(wú)論是后門還是技術(shù)漏洞，都導(dǎo)致設(shè)備存在可被非法利用的隱患，有可能被電腦黑客等不法者利用，在未授權(quán)的情況下通過(guò)植入木馬、病毒等方式攻擊或控制整個(gè)電腦或其他信息使用設(shè)備，從而竊取使用者電腦或其他信息使用設(shè)備的重要資料和信息，甚至導(dǎo)致使用者信息使用設(shè)備被破壞的結(jié)果。

信息服務(wù)設(shè)備后門和技術(shù)漏洞存在的主要差別在于，信息服務(wù)設(shè)備后門是設(shè)計(jì)者刻意為之，利用者通過(guò)后門在相對(duì)長(zhǎng)的期限內(nèi)維持對(duì)被攻擊設(shè)備的高權(quán)限。而技術(shù)漏洞屬于設(shè)備自身在硬件、軟件、協(xié)議中存在的缺陷，并非有意為之，但隨著用戶的持續(xù)使用而被暴露出來(lái)。漏洞一經(jīng)發(fā)現(xiàn)，安全人員會(huì)很快打補(bǔ)丁以消除漏洞。不過(guò)在實(shí)務(wù)中，故意和過(guò)失的界限非常模糊，難以界定。無(wú)論是緩沖區(qū)的溢出漏洞，還是加密算法的問(wèn)題導(dǎo)致加密強(qiáng)度下降，或者是SQL 注入漏洞，在被安全專家發(fā)現(xiàn)之后，也很難確定是故意放的后門還是編程缺乏安全意識(shí)留下的錯(cuò)誤。信息服務(wù)設(shè)備制造商的主觀意圖難以被認(rèn)定，這也造成了法律規(guī)制后門和技術(shù)漏洞的極大難度。

（二）信息服務(wù)設(shè)備后門和技術(shù)漏洞的威脅

不法分子主要通過(guò)以下幾種攻擊方式攻擊信息傳輸服務(wù)設(shè)備后門和技術(shù)漏洞，對(duì)個(gè)人隱私與公共安全產(chǎn)生極大的威脅。

1.XSS 蠕蟲(chóng)

XSS 蠕蟲(chóng)是指一種具有自我傳播能力的XSS 攻擊，殺傷力很大。引發(fā)XSS 蠕蟲(chóng)的條件比較高，需要在用戶之間發(fā)生交互行為的頁(yè)面才能形成有效的傳播。一般要同時(shí)結(jié)合反射型XSS 和存儲(chǔ)型XSS。1邱仲潘、洪鎮(zhèn)宇：《網(wǎng)絡(luò)安全》，清華大學(xué)出版社2016 年版，第15 頁(yè)。XSS蠕蟲(chóng)可以將用戶的數(shù)據(jù)信息發(fā)送給Web 應(yīng)用程序，并且將代碼植入其中，如果被感染的用戶訪問(wèn)到這些存在問(wèn)題的Web 應(yīng)用程序時(shí)，XSS 蠕蟲(chóng)開(kāi)始進(jìn)行數(shù)據(jù)發(fā)送和感染，并且隨著用戶的訪問(wèn)量而大量擴(kuò)散。因此XSS 蠕蟲(chóng)能夠用來(lái)發(fā)送垃圾廣告、刷流量、掛馬、毀壞網(wǎng)上數(shù)據(jù)、實(shí)行DDOS 攻擊等。其造成的傷害也是多樣化的。

2.網(wǎng)站及網(wǎng)頁(yè)掛馬

網(wǎng)站掛馬是指行為人以非法獲利為目的，利用瀏覽器存在的漏洞（腳本），跨站后應(yīng)用IFrame嵌入潛藏的歹意網(wǎng)站或?qū)⒈还粽叨ㄏ虻綈阂饩W(wǎng)站上（木馬服務(wù)端），以彈出歹意網(wǎng)站窗口等方式進(jìn)行掛馬襲擊。2關(guān)于“網(wǎng)頁(yè)掛馬”的詳情介紹參見(jiàn)百度百科網(wǎng)：https://baike.baidu.com/item/網(wǎng)頁(yè)掛馬/2368054，2019 年10 月15 日訪問(wèn)。當(dāng)不知情的互聯(lián)網(wǎng)用戶進(jìn)行網(wǎng)頁(yè)瀏覽時(shí)，具有破壞性的木馬或病毒就被同時(shí)悄悄安裝進(jìn)了用戶的電腦中，從而破壞用戶的電腦信息，偷盜用戶的各種賬號(hào)及密碼。用戶的電腦甚至能被黑客遠(yuǎn)程操作，成為僵尸網(wǎng)絡(luò)中的一份子，對(duì)別的正常網(wǎng)站發(fā)動(dòng)DDOS 攻擊。

3.用戶身份盜用

用戶身份盜用，是指行為人進(jìn)行session 跟蹤而盜取儲(chǔ)存在用戶本地終端上的Cookie，以冒充用戶本人。Cookie 是貯存在用戶當(dāng)?shù)亟K端上關(guān)于特定網(wǎng)站的身份考證標(biāo)記數(shù)據(jù)。XSS 能夠偷取用戶的Cookie，從而應(yīng)用該Cookie 獵取用戶對(duì)該網(wǎng)站的操縱權(quán)限。一旦竊取到用戶Cookie 從而獲取到用戶身份時(shí)，攻擊者能夠獲取到用戶對(duì)網(wǎng)站的操縱權(quán)限，從而檢查用戶隱藏信息。一些高等的XSS 襲擊甚至能夠挾制用戶的Web 行動(dòng)，用于發(fā)送與接受數(shù)據(jù)等。

4.渣滓信息發(fā)送

渣滓信息，意指無(wú)用的糟粕信息，如發(fā)送的各類垃圾廣告。這類渣滓信息不但占據(jù)用戶網(wǎng)速和空間，還嚴(yán)重影響信息用戶信息獲取和利用的合法權(quán)益。

5.垂綸詐騙

所謂“垂綸”是一種網(wǎng)絡(luò)訛詐行動(dòng)，這意味著行為人使用各種方法來(lái)偽造真實(shí)網(wǎng)站的URL 位置和頁(yè)面內(nèi)容，或者在真實(shí)網(wǎng)站服務(wù)器程序上應(yīng)用漏洞以在其中插入危險(xiǎn)的HTML。該代碼的最典型示例即是應(yīng)用程序目標(biāo)網(wǎng)站的反射性跨站點(diǎn)腳本漏洞，該漏洞將目標(biāo)網(wǎng)站重定向到垂綸網(wǎng)站，或注入垂綸Java 來(lái)監(jiān)視目標(biāo)網(wǎng)站的表單輸出。垂綸漏洞是被廣泛使用于新注冊(cè)域名（NRD）的便于惡意攻擊的漏洞現(xiàn)象。學(xué)術(shù)界和行業(yè)的研究報(bào)告已經(jīng)以統(tǒng)計(jì)學(xué)方式證明了新注冊(cè)域名存在著確實(shí)的風(fēng)險(xiǎn)，攻擊者經(jīng)常惡意使用新注冊(cè)域名進(jìn)行網(wǎng)絡(luò)釣魚(yú)、惡意軟件和詐騙。

6.直接侵入操控硬件設(shè)備

不法分子還可以利用信息服務(wù)設(shè)備的技術(shù)漏洞侵入設(shè)備本身，并進(jìn)行操控，對(duì)使用信息終端的消費(fèi)群體產(chǎn)生直接危害，最容易發(fā)生問(wèn)題的設(shè)備包括路由器、主機(jī)及網(wǎng)絡(luò)攝影設(shè)備。

Fortinet 2018 年第四季度威脅形勢(shì)的報(bào)告顯示，全球12 大漏洞中有一半是物聯(lián)網(wǎng)（IoT）設(shè)備，而且前12 個(gè)中有4 個(gè)與支持IP 的攝像機(jī)相關(guān)。3詳見(jiàn)https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2018.pdf，2019 年9 月20 日訪問(wèn)。

二、信息服務(wù)設(shè)備后門和技術(shù)漏洞的現(xiàn)行法律框架及規(guī)定

（一）法律框架

目前我國(guó)關(guān)于規(guī)范信息服務(wù)設(shè)備后門和技術(shù)漏洞的法律法規(guī)大體上有兩類，一類是以《網(wǎng)絡(luò)安全法》為核心的規(guī)范體系，一類是以保障《網(wǎng)絡(luò)安全法》實(shí)現(xiàn)為內(nèi)容的法律規(guī)范。

1.以《網(wǎng)絡(luò)安全法》為核心的規(guī)范體系

以《網(wǎng)絡(luò)安全法》為核心的規(guī)范體系包括法律、行政法規(guī)、國(guó)家政策、規(guī)范、司法解釋等。法律方面有全國(guó)人大常委會(huì)頒布的《網(wǎng)絡(luò)安全法》（2015 年6 月1 日）；行政法規(guī)有國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（2011 年修訂）》（2011 年1 月8 日）；國(guó)家政策有全國(guó)人大常委會(huì)頒布《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012 年12 月28日），國(guó)家互聯(lián)網(wǎng)信息辦公室頒布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》（2016 年12 月27 日），外交部和國(guó)家互聯(lián)網(wǎng)信息辦公室頒布《網(wǎng)絡(luò)空間安全合作戰(zhàn)略》（2017 年3 月1 日）；規(guī)范方面有國(guó)務(wù)院、國(guó)家互聯(lián)網(wǎng)信息辦公室、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心等部門機(jī)構(gòu)頒布的關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定和保護(hù)制度、個(gè)人信息和重要數(shù)據(jù)保護(hù)制度、網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查制度、網(wǎng)絡(luò)安全事件管理制度等。司法解釋有《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》（2014 年10 月10 日）、《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題解釋》（2017 年6 月1 日）。

2.以保障《網(wǎng)絡(luò)安全法》實(shí)現(xiàn)為內(nèi)容的法律規(guī)范

這類法律規(guī)范的范圍非常寬泛，包括《民法總則》《侵權(quán)責(zé)任法》《國(guó)家安全法》《刑法》《治安管理處罰法》《反恐怖主義法》《保密法》等現(xiàn)行法律，共同構(gòu)成中國(guó)對(duì)信息安全管理的法律保護(hù)。

《網(wǎng)絡(luò)安全法》作為信息安全管理的基本法律，明確立法目的是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。4相關(guān)“網(wǎng)絡(luò)安全法立法”的詳情介紹參見(jiàn)中國(guó)人大網(wǎng)：http://www.npc.gov.cn/zgrdw/npc/lfzt/rlyw/node_27975.htm，2019 年9 月20 日訪問(wèn)?！毒W(wǎng)絡(luò)安全法》除在中華人民共和國(guó)境內(nèi)適用以外，其第七十五條規(guī)定采用了有限的域外管轄原則，對(duì)境外的主體實(shí)施入侵或攻擊境內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)，造成嚴(yán)重后果的，依法追究法律責(zé)任并可采取凍結(jié)財(cái)產(chǎn)或者其他必要的制裁措施?！秶?guó)家安全法》第二十五條更提出要以保護(hù)網(wǎng)絡(luò)和信息關(guān)鍵基礎(chǔ)設(shè)施的方式打擊網(wǎng)絡(luò)違法犯罪行為，并創(chuàng)造性地提出了“網(wǎng)絡(luò)空間主權(quán)”概念。5《國(guó)家安全法》第二十五條提到，“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。”保護(hù)信息安全的著眼點(diǎn)已經(jīng)從保護(hù)用戶信息和個(gè)人信息提升到國(guó)家安全和信息現(xiàn)代化的層次。

（二）法律規(guī)定

1.對(duì)信息服務(wù)設(shè)備后門的法律規(guī)定

對(duì)于故意編程留置后門的危害信息安全秩序的行為，無(wú)論適用民事規(guī)范還是行政規(guī)范、刑事規(guī)范，都會(huì)在主觀與客觀、行為與結(jié)果方面，得到合理的法律推定。

民事責(zé)任主要處理信息服務(wù)設(shè)備提供商與用戶之間的法律關(guān)系，可以基于《合同法》第一百五十三條及第一百五十五條判定。用戶可要求信息服務(wù)設(shè)備提供商作為出賣方承擔(dān)產(chǎn)品質(zhì)量瑕疵?！懂a(chǎn)品質(zhì)量法》第四十條、第四十六條及《消費(fèi)者權(quán)益保護(hù)法》第四十六條均得以適用。

刑事責(zé)任方面，對(duì)于有意使用設(shè)備后門進(jìn)行不法活動(dòng)的行為人，如涉及觸犯《刑法》第二百八十五條的非法侵入計(jì)算機(jī)信息系統(tǒng)罪及第二百八十六條破壞計(jì)算機(jī)信息系統(tǒng)罪，可以追究刑事責(zé)任?！缎谭ㄐ拚福ㄆ撸返诰艞l及最高人民法院、最高人民檢察院《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》第一條有細(xì)化規(guī)定。

行政責(zé)任則根據(jù)《網(wǎng)絡(luò)安全法》第五十九至六十六條及《電信條例》第五十七條、第七十七條之法律法規(guī)進(jìn)行處理。

2.對(duì)信息服務(wù)設(shè)備技術(shù)漏洞的法律規(guī)定

對(duì)于技術(shù)漏洞造成的問(wèn)題，廠商及利用技術(shù)漏洞的不法分子都有責(zé)任。利用后門或者技術(shù)漏洞的不法分子之行為同樣可以按照上述《刑法》規(guī)定進(jìn)行處理。但對(duì)于技術(shù)漏洞的前端廠商基本沒(méi)有相關(guān)法律規(guī)制，只能通過(guò)督促?gòu)S商自律的方式予以激勵(lì)，這造成了法律上的真空地帶。

筆者認(rèn)為，對(duì)信息服務(wù)設(shè)備技術(shù)漏洞的法律規(guī)制更要給予相應(yīng)的關(guān)注。從法律的功能來(lái)說(shuō)。法律的規(guī)范功能除了對(duì)人的行為模式提出標(biāo)準(zhǔn)，區(qū)分出可以為、應(yīng)當(dāng)為和禁止為的事項(xiàng)以外，還包括對(duì)人們的行為有評(píng)價(jià)作用、教育作用、預(yù)測(cè)作用和強(qiáng)制作用。具體來(lái)說(shuō)，首先信息服務(wù)設(shè)備技術(shù)漏洞的嚴(yán)峻危害已經(jīng)不以人的意志為轉(zhuǎn)移的客觀存在。應(yīng)對(duì)信息服務(wù)設(shè)備技術(shù)漏洞的危害單靠技術(shù)創(chuàng)新的解決辦法，往往滯后且飽受危害才暫時(shí)局部地緩解。因此，應(yīng)對(duì)信息服務(wù)設(shè)備技術(shù)漏洞的危害，應(yīng)當(dāng)使用技術(shù)手段無(wú)法取代的法律規(guī)制手段或方法。其次，對(duì)于不是人為惡意出現(xiàn)的信息服務(wù)設(shè)備技術(shù)漏洞的危害，法律規(guī)制應(yīng)當(dāng)仍然立足于規(guī)范調(diào)整人的行為。只不過(guò)這種法律規(guī)范調(diào)整，帶有國(guó)家強(qiáng)制力保障實(shí)施的特性，有利于及時(shí)高效地發(fā)揮阻止或減少信息服務(wù)設(shè)備技術(shù)漏洞危害的作用。最后，人類社會(huì)發(fā)展史上對(duì)于不以人的意志為轉(zhuǎn)移的客觀存在危害，有過(guò)不少運(yùn)用法律規(guī)范調(diào)整且取得有益回報(bào)的先例。諸如制定并實(shí)施法律應(yīng)對(duì)因地震等重大自然災(zāi)害導(dǎo)致的損失，人類已經(jīng)積累了不少寶貴的經(jīng)驗(yàn)。

換言之，當(dāng)下互聯(lián)網(wǎng)+大數(shù)據(jù)推動(dòng)的信息運(yùn)行使用出現(xiàn)的安全問(wèn)題，已經(jīng)向人類社會(huì)法律規(guī)制提出了新的挑戰(zhàn)。如果不能對(duì)客觀上存在的技術(shù)漏洞有所作用，那人類現(xiàn)在及今后社會(huì)信息安全問(wèn)題，也就無(wú)法從規(guī)范人的行為方面提供及時(shí)有效的保障和解決措施，伴隨高新科技日新月異發(fā)展而產(chǎn)生的信息安全問(wèn)題將會(huì)愈加嚴(yán)重。因此，筆者認(rèn)為須同時(shí)展開(kāi)對(duì)緣于人們科學(xué)技術(shù)局限技術(shù)漏洞的法律規(guī)制。

三、配套監(jiān)管機(jī)構(gòu)的設(shè)置與反思

隨著互聯(lián)網(wǎng)+時(shí)代的到來(lái)，萬(wàn)物互聯(lián)的大背景使得系統(tǒng)邊界正在擴(kuò)張。不法分子可攻擊的信息服務(wù)設(shè)備后門及技術(shù)漏洞不斷增多，攻擊方式不斷革新，使得被動(dòng)防御變得愈加不可能。在此情況下，僅靠法律的事后規(guī)制不能解決有效提供防護(hù)，因此國(guó)家也建立了相關(guān)的配套監(jiān)管預(yù)警機(jī)制。

（一）現(xiàn)行監(jiān)管機(jī)構(gòu)

防范后門及技術(shù)漏洞的危害信息安全秩序的行為，可以選擇的法律規(guī)制方式，首先應(yīng)當(dāng)包括后門及技術(shù)漏洞危害的監(jiān)測(cè)、鑒別及預(yù)警法律規(guī)范機(jī)制。對(duì)此類問(wèn)題，國(guó)外發(fā)達(dá)國(guó)家已按照行業(yè)自治的傳統(tǒng)，實(shí)現(xiàn)了通過(guò)行業(yè)協(xié)會(huì)監(jiān)測(cè)、鑒別及預(yù)警的法律規(guī)范機(jī)制。

我國(guó)目前相關(guān)的后門和技術(shù)漏洞的危害信息安全的監(jiān)測(cè)、鑒別和預(yù)警，主要通過(guò)設(shè)立相應(yīng)的行政機(jī)關(guān)進(jìn)行。2001 年8 月，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡(jiǎn)稱“CNCERT”）成立，是國(guó)家中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室領(lǐng)導(dǎo)下的國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)控，預(yù)警和緊急響應(yīng)。2003 年，CNCERT 在中國(guó)中央政府直轄的31 個(gè)省、自治區(qū)、直轄市建立了分中心，并完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨區(qū)域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支持系統(tǒng)的建設(shè)，形成了全國(guó)性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享，發(fā)起成立了國(guó)家信息安全漏洞共享平臺(tái)（CNVD）、 中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟 （ANVA） 和中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟 （CCTGA）。CNCERT 還積極開(kāi)展信息安全的國(guó)際合作，截至到2018 年，CNCERT 已與76 個(gè)國(guó)家和地區(qū)的233個(gè)組織建立了“CNCERT 國(guó)際合作伙伴”關(guān)系。

但是，該機(jī)構(gòu)主要支持政府機(jī)構(gòu)履行與網(wǎng)絡(luò)安全相關(guān)的社會(huì)保障和公共服務(wù)職能，重點(diǎn)是國(guó)家安全基本信息網(wǎng)絡(luò)的安全保護(hù)和安全運(yùn)行，并支持該機(jī)構(gòu)重要信息系統(tǒng)的網(wǎng)絡(luò)安全、國(guó)家裁定、監(jiān)測(cè)、預(yù)警和處置。因此對(duì)廣泛的信息安全，特別是國(guó)家隱私信息安全的監(jiān)視，識(shí)別，預(yù)警和處置的法律規(guī)范相對(duì)薄弱。相應(yīng)地還存在著對(duì)普通公民信息安全的法律處罰不完善和不及時(shí)等問(wèn)題。例如，當(dāng)前該機(jī)構(gòu)對(duì)于信息服務(wù)設(shè)備后門和技術(shù)漏洞監(jiān)測(cè)、甄別和預(yù)警最為通行也最為有效的規(guī)制，是構(gòu)建國(guó)家信息安全信息技術(shù)設(shè)備漏洞后門的情況通報(bào)制度。不過(guò)，CNCERT 的監(jiān)測(cè)、預(yù)警通報(bào)制度，雖在協(xié)調(diào)國(guó)內(nèi)安全應(yīng)急組織（CERT）共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用，但仍有很多方面需要健全完善。

（二）現(xiàn)有監(jiān)管機(jī)制的不足之處

CNCERT 主要是通過(guò)聯(lián)合國(guó)內(nèi)重要的信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、軟硬件廠商共同成立的國(guó)家信息安全漏洞共享平臺(tái)（CNVD）來(lái)進(jìn)行。CNVD 對(duì)信息系統(tǒng)用戶通過(guò)網(wǎng)站、郵件、電話等方式上報(bào)的異常信息后，組織成員單位進(jìn)行漏洞分析驗(yàn)證，核實(shí)該異常信息確實(shí)為漏洞后，便與相關(guān)廠商共同協(xié)商發(fā)布時(shí)間，根據(jù)漏洞發(fā)布的策略，加以選擇地發(fā)布相關(guān)信息。CNVD 建立起了統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系，但主要仍然是靠自律的方式來(lái)跟進(jìn)及處理。漏洞的信息披露還要遵循客觀、適時(shí)、適度的三原則?？陀^披露要求對(duì)公開(kāi)發(fā)布的漏洞信息進(jìn)行披露審核，確保涉及的目標(biāo)對(duì)象、風(fēng)險(xiǎn)情況描述基本準(zhǔn)確，對(duì)漏洞可導(dǎo)致的潛在風(fēng)險(xiǎn)不能作為網(wǎng)絡(luò)攻擊事件進(jìn)行披露和引導(dǎo)。適時(shí)披露原則要求相關(guān)廠商和信息系統(tǒng)管理方在未接收到漏洞信息、完成漏洞處置前或預(yù)定時(shí)限前不應(yīng)提前公開(kāi)發(fā)布漏洞相關(guān)信息。針對(duì)不同類型漏洞的修復(fù)規(guī)律和所需周期，各方研判后協(xié)商擬定靈活實(shí)際的漏洞公開(kāi)披露時(shí)間。適度披露原則要求不得披露國(guó)家政策法規(guī)和主管部門禁止披露的信息系統(tǒng)漏洞，不得披露違反知識(shí)產(chǎn)權(quán)保護(hù)法律法規(guī)及商業(yè)機(jī)密協(xié)定的信息。在漏洞處置完成前，可對(duì)具體目標(biāo)系統(tǒng)、攻擊手法的信息進(jìn)行弱化處理。

由于廠商的自律義務(wù)本身已經(jīng)相對(duì)缺乏強(qiáng)制力和執(zhí)行力，再加上為了避免產(chǎn)生披露漏洞而被黑客利用實(shí)施網(wǎng)絡(luò)攻擊的情況，漏洞的披露顯得遮遮掩掩。而違反公約的廠商，也僅僅是進(jìn)行調(diào)查，內(nèi)部通報(bào)或取消公約簽署單位資格的處理。在沒(méi)有法律約束的情況下，很難取得實(shí)效。筆者通過(guò)CNVD 公布的自2017 年1 月至2019 年11 月的統(tǒng)計(jì)數(shù)據(jù)查詢，2017 年漏洞披露共計(jì)15478 例，2018 年共計(jì)13957 例，2019 年1 月至11 月共計(jì)14358 例，其中高危漏洞14414 例，占21.91%，中危漏洞25900 例，占59.14%，低危漏洞3479 例，占7.94%。由此可見(jiàn)，漏洞的發(fā)生數(shù)量每年基本呈現(xiàn)均衡的態(tài)勢(shì)，并且中高危漏洞占了絕大部分比重。在這些披露的漏洞中，設(shè)計(jì)錯(cuò)誤共有26948 例，占61.53%為最多。漏洞引發(fā)的威脅在以下三類最多，管理員訪問(wèn)權(quán)限獲取13426 例，占30.64%，未授權(quán)的信息泄露14062 例，占32.11%，未授權(quán)的信息修改7481 例，占17.08%。漏洞影響的類型中，應(yīng)用程序發(fā)生25396 例，占57.99%，WEB 應(yīng)用8434 例，占19.24%，操作系統(tǒng)5021例，占11.47%，網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備）發(fā)生3461 例，占6.9%。CBVD 在進(jìn)行漏洞披露方面確實(shí)取得了一些成績(jī)，但筆者也發(fā)現(xiàn)，在其網(wǎng)站公布漏洞列表中，其點(diǎn)擊數(shù)基本從幾十到兩三百不等，很難讓社會(huì)公眾周知漏洞的存在和危害。

到底是設(shè)備制造商有意為之的后門還是技術(shù)漏洞本就難以決斷，漏洞披露的范圍限制及跟進(jìn)措施的缺乏更使得懲罰措施只能高高舉起，輕輕放下。設(shè)備制造商和使用商推卸責(zé)任的態(tài)度造成消費(fèi)者群體的信息安全得不到應(yīng)有的尊重和保護(hù)，亟需建立更為完善的協(xié)調(diào)機(jī)制。

四、信息服務(wù)設(shè)備后門和技術(shù)漏洞問(wèn)題的法律應(yīng)對(duì)

（一）法律應(yīng)對(duì)的框架設(shè)計(jì)

目前的解決之策應(yīng)該把握以下幾方面：

首先是立法環(huán)節(jié)，不能繼續(xù)傳統(tǒng)的部門主導(dǎo)模式，亟需改為統(tǒng)合主導(dǎo)模式。具體來(lái)說(shuō)，就是應(yīng)對(duì)網(wǎng)絡(luò)信息安全的所有立法職能，均要統(tǒng)一到國(guó)家信息安全領(lǐng)導(dǎo)小組進(jìn)行統(tǒng)合、研究、協(xié)調(diào)以及立法起草直到提案的通過(guò)。鑒于網(wǎng)絡(luò)安全基于信息技術(shù)發(fā)展而變化的規(guī)律，對(duì)于信息傳輸運(yùn)用的技術(shù)性規(guī)范，不能局限于以往部頒標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)一般不給予國(guó)家強(qiáng)制力保障實(shí)施的傳統(tǒng)，而應(yīng)當(dāng)加大技術(shù)規(guī)范向法律規(guī)范轉(zhuǎn)型升級(jí)的力度和效率。一方面，按照國(guó)際上行會(huì)自治高于一般國(guó)法的良法慣例，結(jié)合現(xiàn)代社會(huì)行業(yè)管理去行政化的自治改革，在執(zhí)法和司法實(shí)踐中承認(rèn)行業(yè)技術(shù)規(guī)范或部頒技術(shù)規(guī)范的法律效力。另一方面，跟上互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)應(yīng)用日新月異的變化，對(duì)能夠及時(shí)迅捷和有效地應(yīng)對(duì)信息應(yīng)用設(shè)備的后門及技術(shù)漏洞的行業(yè)技術(shù)規(guī)范，直接以國(guó)家立法的形式及途徑固定下來(lái)。

其次是執(zhí)法環(huán)節(jié)，對(duì)于網(wǎng)絡(luò)信息服務(wù)設(shè)備后門及技術(shù)漏洞的危害，既要堅(jiān)持法無(wú)明文不亂作為，又要根據(jù)其危害程度及危害速度，不斷完善制止其危害的綜合反應(yīng)行動(dòng)機(jī)制。因此，執(zhí)法藝術(shù)的不斷提高，已經(jīng)毋庸置疑地?cái)[在執(zhí)法機(jī)構(gòu)及其隊(duì)伍的面前。至于如何才能在立法相對(duì)滯后的環(huán)境中，既要及時(shí)高效地遏制網(wǎng)絡(luò)信息服務(wù)設(shè)備技術(shù)后門及技術(shù)漏洞的危害，又不能陷入無(wú)法可依的不作為甚至亂作為陷阱，筆者擬于另文闡述。

最后是司法環(huán)節(jié)。司法是法律防范的最后防線。但基于司法的被動(dòng)性，對(duì)于當(dāng)下及今后涉及國(guó)家和社會(huì)運(yùn)行至關(guān)重要的信息安全，司法的救濟(jì)顯然有滯后的一面。在大數(shù)據(jù)時(shí)代，危害信息安全的設(shè)備后門和技術(shù)漏洞，因運(yùn)營(yíng)服務(wù)商追逐商業(yè)利潤(rùn)的客觀規(guī)律，總是想方設(shè)法、改頭換面甚至不斷通過(guò)技術(shù)轉(zhuǎn)型升級(jí)，已然造成人類社會(huì)可持續(xù)發(fā)展至關(guān)重要的隱患和問(wèn)題。因此，如果繼續(xù)按照以往司法必須有法可依的理論及原則才能進(jìn)行司法救濟(jì)，無(wú)論是救濟(jì)效率還是救濟(jì)成本，都不能達(dá)到理想的水平。要改變這種被動(dòng)局面，筆者結(jié)合人類社會(huì)發(fā)展史上司法能動(dòng)性經(jīng)驗(yàn)教訓(xùn)，建議擺脫傳統(tǒng)司法必須依靠制定法才能展開(kāi)救濟(jì)的類法律教條主義的束縛，吸收英美法系和大陸法系國(guó)家將法理作為最高司法準(zhǔn)據(jù)法的有益經(jīng)驗(yàn)，在應(yīng)對(duì)大數(shù)據(jù)、互聯(lián)網(wǎng)+、區(qū)塊鏈等高新技術(shù)突飛猛進(jìn)發(fā)展變化的當(dāng)下及今后隨之引發(fā)的信息安全法律規(guī)制的糾紛爭(zhēng)議或事件的司法救濟(jì)方面，及時(shí)高效地發(fā)揮作用。

（二）法律應(yīng)對(duì)的具體建議

1.完善《網(wǎng)絡(luò)安全法》及相應(yīng)的配套法律法規(guī)

《網(wǎng)絡(luò)安全法》亮點(diǎn)突出，但在應(yīng)對(duì)信息服務(wù)設(shè)備后門及技術(shù)漏洞方面的法律規(guī)定同樣需要完善。

《網(wǎng)絡(luò)安全法》在第二十二條、第二十五至二十七條針對(duì)信息設(shè)備服務(wù)廠商、網(wǎng)絡(luò)運(yùn)營(yíng)者及挖掘發(fā)布安全漏洞的白帽子6白帽黑客，他可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞。這樣系統(tǒng)可以在被其他人（例如黑帽子）利用之前修補(bǔ)漏洞。的法律責(zé)任進(jìn)行了規(guī)定，但偏重于賦權(quán)而缺少具體對(duì)接的法律法規(guī)。譬如第二十五條提及網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。卻未指出具體的報(bào)告程序及對(duì)接部門。第二十六條要求漏洞發(fā)掘者要遵守國(guó)家有關(guān)規(guī)定，卻也未明確有哪些規(guī)定?！毒W(wǎng)絡(luò)安全法》歷經(jīng)三次審議草案，給配套規(guī)章留下接口，但必須完善并出臺(tái)實(shí)施細(xì)則，否則將淪為口號(hào)式的倡議。

此外，不法分子攻擊信息服務(wù)設(shè)備的后門及技術(shù)漏洞主要為了獲得系統(tǒng)的高權(quán)限，以便控制設(shè)備并盜取相關(guān)信息?！毒W(wǎng)絡(luò)安全法》中用了將近三分之一的篇幅對(duì)嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的系統(tǒng)和設(shè)施運(yùn)行安全進(jìn)行規(guī)范，但卻對(duì)個(gè)人信息的保護(hù)較少涉及?，F(xiàn)行法規(guī)僅有工信部《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》及《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》有集中的概念界定，保護(hù)措施散見(jiàn)于《消費(fèi)者權(quán)益保護(hù)法》《民法總則》《刑法》等諸多法律法規(guī)，缺乏統(tǒng)一的頂層設(shè)計(jì)?，F(xiàn)在《個(gè)人信息保護(hù)法》已經(jīng)列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃中，希望能盡快出臺(tái)。

2.立法規(guī)范白帽子挖掘漏洞活動(dòng)

白帽子與黑客的最大區(qū)別是其進(jìn)行挖掘發(fā)布安全漏洞的主觀意圖是善意的，故此能成為國(guó)家力量以外不可或缺的補(bǔ)充力量，但我國(guó)對(duì)白帽子的行為進(jìn)行嚴(yán)格規(guī)制?，F(xiàn)行《網(wǎng)絡(luò)安全法》第二十七條及工信部出臺(tái)的《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》將白帽子的行為予以禁止，《刑法》第二百八十五條及第二百八十六條和《治安管理處罰法》第二十九條規(guī)定則更為嚴(yán)格地處理。如果挖掘發(fā)布安全漏洞的白帽子未經(jīng)授權(quán)就去開(kāi)始滲透測(cè)試，或者開(kāi)展?jié)B透測(cè)試的時(shí)間不是在客戶授權(quán)的時(shí)間，或者測(cè)試范圍超過(guò)了客戶的授權(quán)，都可能被認(rèn)定為是非法入侵他人網(wǎng)絡(luò)的違法行為，需要承擔(dān)法律責(zé)任。

《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見(jiàn)稿）》于2019 年6 月公開(kāi)征求社會(huì)意見(jiàn)，同樣要求白帽子發(fā)現(xiàn)漏洞必須上報(bào)工業(yè)與信息化部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)，禁止私自發(fā)布或修復(fù)漏洞。第六條第三項(xiàng)規(guī)定：“不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具?！?/p>

筆者認(rèn)為，將漏洞管理整體納入國(guó)家管理的出發(fā)點(diǎn)是好的，但還需考慮現(xiàn)實(shí)情況。上述嚴(yán)格的規(guī)定基本禁止白帽子之間的技術(shù)交流，各大網(wǎng)絡(luò)安全論壇上的各種帖子會(huì)變得更加純潔，表面看來(lái)是消弭了威脅，但所有發(fā)掘的漏洞均成為“國(guó)家財(cái)產(chǎn)”的做法卻扼殺了白帽子研究的熱情。目前中國(guó)的網(wǎng)絡(luò)安全研究實(shí)力較弱，如果不開(kāi)放較為自由的環(huán)境，白帽子在發(fā)布研究成果前都如履薄冰，短期上或許更為穩(wěn)定，從長(zhǎng)遠(yuǎn)來(lái)看卻為中國(guó)安全人才的培養(yǎng)產(chǎn)生負(fù)面效果，甚至迫使相當(dāng)一部分白帽子轉(zhuǎn)入暗網(wǎng)成為黑客。

筆者建議，應(yīng)以政府為主導(dǎo)，利用現(xiàn)有的漏洞發(fā)布平臺(tái)組成行業(yè)協(xié)會(huì)，將白帽子的身份信息在協(xié)會(huì)進(jìn)行備案并嚴(yán)格保密。協(xié)會(huì)根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的管理規(guī)定，明確會(huì)員挖掘漏洞的范圍，并規(guī)定合法的挖掘漏洞方式、合法的挖掘工具及挖掘手段等前提條件。依據(jù)會(huì)員挖掘漏洞的過(guò)往記錄區(qū)分會(huì)員等級(jí)，逐步開(kāi)放相應(yīng)權(quán)限，建立信息安全人才后備力量，并進(jìn)一步建立政府、企業(yè)、個(gè)人多方參與的信息安全防御體系。同時(shí)在法律適用上應(yīng)考慮白帽子挖掘信息服務(wù)設(shè)備漏洞的動(dòng)機(jī)、行為及社會(huì)危害性，適當(dāng)制定一些豁免條款。

3.立法加強(qiáng)CNVD 的指導(dǎo)功能及協(xié)調(diào)作用

現(xiàn)行的《網(wǎng)絡(luò)安全法》及《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》基本沿用政府主導(dǎo)的模式，按照等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度進(jìn)行定級(jí)，根據(jù)不同定級(jí)制定相關(guān)國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)作為強(qiáng)制性標(biāo)準(zhǔn)，再配合其他必要措施的兜底內(nèi)容?！毒W(wǎng)絡(luò)安全法》第十條規(guī)定：“建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性?！?/p>

現(xiàn)在攻擊手段不斷發(fā)展，國(guó)家層面的定級(jí)分類和強(qiáng)制性標(biāo)準(zhǔn)必然相對(duì)滯后。作為防范信息服務(wù)設(shè)備后門及技術(shù)漏洞的要求而言，達(dá)到強(qiáng)制性要求僅能完成表面上的合規(guī)，卻造成事實(shí)上的不安全，這與按照企業(yè)情況制定的靈活安全策略的重要性不言而喻。筆者建議立法加強(qiáng)CNVD 的指導(dǎo)功能及協(xié)調(diào)作用?！毒W(wǎng)絡(luò)安全法》第三十九條規(guī)定:“國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取下列措施：……（三）促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享?！边@給CNVD 介入提供了法律依據(jù)。目前在《CNVD 漏洞安全相應(yīng)指導(dǎo)規(guī)范》中已經(jīng)規(guī)定了通用軟硬件漏洞處置流程，但應(yīng)更鼓勵(lì)CNVD與信息服務(wù)設(shè)備制造商及安全服務(wù)企業(yè)進(jìn)行合作，根據(jù)不同行業(yè)情況完成風(fēng)險(xiǎn)評(píng)估，制定出相應(yīng)的安全標(biāo)準(zhǔn)，并制定更為靈活的安全策略以明確其他必要措施的內(nèi)容，做好事前防范工作。在事后處置上，根據(jù)設(shè)備性質(zhì)制定處理流程和公開(kāi)策略。

4.加重前端廠商的法律責(zé)任

如前文所述，信息服務(wù)設(shè)備制造商的主觀意圖很難被認(rèn)定，導(dǎo)致現(xiàn)行的法律法規(guī)對(duì)其難以進(jìn)行管理。目前CNVD 的《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》第二章自律條款的第八至十條分別規(guī)定了CNCERT、漏洞平臺(tái)、相關(guān)廠商和信息系統(tǒng)管理方應(yīng)遵循的自律義務(wù)。但相關(guān)廠商和信息系統(tǒng)管理方的自律義務(wù)相對(duì)空泛，僅僅要求高度重視軟硬件產(chǎn)品漏洞和可能的危害，及時(shí)核實(shí)確認(rèn)并提供和發(fā)布漏洞補(bǔ)丁或解決方案，確保漏洞修復(fù)措施的有效性和覆蓋面，積極配合CNCERT作好技術(shù)分析和用戶威脅評(píng)估，縮短應(yīng)急響應(yīng)周期，保障產(chǎn)品用戶和系統(tǒng)用戶的知情權(quán)和安全利益。7

筆者查看CNVD 漏洞分類中智能設(shè)備（物聯(lián)網(wǎng)終端設(shè)備）中的信息，比如近期編號(hào)為CNVD-2019-29855 的文件，公開(kāi)于2019 年9 月21 日關(guān)于大華某型號(hào)網(wǎng)絡(luò)攝像頭安全認(rèn)證存在邏輯缺陷漏洞的披露信息。筆者將大華攝像頭的漏洞信息進(jìn)行數(shù)據(jù)檢索，不但發(fā)現(xiàn)此安全認(rèn)證漏洞并未得到解決， 更發(fā)覺(jué)2015 年CNVD-2015-05128 文件， CNVD-2017-08192 文件， 2017 年CNVD-2017-06997 文件等多份報(bào)告顯示大華公司產(chǎn)品長(zhǎng)期以來(lái)都存在極大隱患。安全專家bashis 認(rèn)為大華設(shè)備的這些問(wèn)題不僅僅是漏洞，更疑似大華科技自身預(yù)留的一個(gè)后門。而大華科技公司則只是將這些漏洞定級(jí)為“編碼問(wèn)題”，而且言明并不是公司故意為之。

筆者認(rèn)為，需要加重前端廠商的法律責(zé)任。首先，在發(fā)布產(chǎn)品前應(yīng)當(dāng)以法律法規(guī)的激勵(lì)性要求廠商自律并關(guān)注安全。有些設(shè)備商固件使用第三方開(kāi)源代碼，以便降低組裝成本，但在出廠之前應(yīng)強(qiáng)制要求通過(guò)掃描工具進(jìn)行掃描，并與已建立并經(jīng)常更新的安全漏洞數(shù)據(jù)庫(kù)進(jìn)行比較。國(guó)外立法經(jīng)驗(yàn)亦可借鑒，2017 年美國(guó)提出《2017 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，要求所有聯(lián)網(wǎng)設(shè)備的制造商都要確保聯(lián)網(wǎng)設(shè)備的軟件或固件（是固化在硬件中的軟件）的組件能夠被更新或替換，防止信息被未授權(quán)訪問(wèn)或者修改泄露。而加州率先通過(guò)SB-327 法案，并于2020 年元旦生效，要求任何“直接或間接”連接到互聯(lián)網(wǎng)的設(shè)備制造商必須為其配備“合理”的安全功能。英國(guó)則積極將歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）轉(zhuǎn)化為了《消費(fèi)類物聯(lián)網(wǎng)設(shè)備安全行為準(zhǔn)則》。我國(guó)需要出臺(tái)專門規(guī)范廠商責(zé)任的立法。其次，啟動(dòng)公益訴訟完善對(duì)產(chǎn)品的事后規(guī)制。美國(guó)聯(lián)邦貿(mào)易委員會(huì)對(duì)一系列D-Link路由器缺乏安全性提起訴訟后，D-Link 公司便同意在產(chǎn)品發(fā)布前做好規(guī)劃，完成應(yīng)有的威脅建模、漏洞測(cè)試、以及軟件安全計(jì)劃。而在我國(guó)，盡管《最高人民法院關(guān)于審理消費(fèi)民事公益訴訟案件適用法律若干問(wèn)題的解釋》明確了消費(fèi)者協(xié)會(huì)、法律規(guī)定或者全國(guó)人大及其常委會(huì)授權(quán)的機(jī)關(guān)和社會(huì)組織作為公益訴訟原告的主體地位，但此類公益訴訟甚少開(kāi)展。最后，對(duì)于經(jīng)常出現(xiàn)產(chǎn)品問(wèn)題的廠商，需要建立黑名單機(jī)制，施加更為嚴(yán)格的市場(chǎng)禁入，嚴(yán)格禁止政府采購(gòu)不符合安全要求的物聯(lián)網(wǎng)設(shè)備。

結(jié)語(yǔ)

大數(shù)據(jù)、云計(jì)算云存儲(chǔ)、互聯(lián)網(wǎng)+、區(qū)塊鏈等高新技術(shù)日新月異的發(fā)展，為人們的生產(chǎn)生活帶來(lái)更加便捷的服務(wù)，但提供信息技術(shù)服務(wù)的各級(jí)各類分銷服務(wù)商，受逐利的人性弱點(diǎn)驅(qū)使，都會(huì)在相應(yīng)的信息基礎(chǔ)傳輸設(shè)備進(jìn)行后門設(shè)計(jì)。另一方面，人類高新技術(shù)發(fā)展的局限，也使得信息基礎(chǔ)傳輸處理的生產(chǎn)廠商，無(wú)法做到一開(kāi)始就杜絕技術(shù)漏洞的技術(shù)保障水平。因此，從信息服務(wù)形成商業(yè)化運(yùn)用之初至今，各級(jí)各類信息服務(wù)設(shè)備制造商所出現(xiàn)的后門和技術(shù)漏洞引發(fā)的網(wǎng)絡(luò)信息安全危害愈演愈烈。這也向人類社會(huì)在大數(shù)據(jù)、云計(jì)算云存儲(chǔ)、互聯(lián)網(wǎng)+、區(qū)塊鏈等高新技術(shù)規(guī)模發(fā)展時(shí)空的法律規(guī)制，提出了前所未有的挑戰(zhàn)。

基于以上，筆者提出相應(yīng)淺見(jiàn)和建議，冀望能夠引發(fā)大家的重視，在應(yīng)對(duì)網(wǎng)絡(luò)信息安全的法律7 《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》第十條：“相關(guān)廠商和信息系統(tǒng)管理方遵循的自律義務(wù)有：高度重視軟硬件產(chǎn)品漏洞和信息系統(tǒng)漏洞可能對(duì)產(chǎn)品用戶和系統(tǒng)用戶可能造成的危害，積極回應(yīng)CNCERT、漏洞平臺(tái)以及漏洞報(bào)送者提供的漏洞信息，及時(shí)核實(shí)確認(rèn)并提供和發(fā)布漏洞補(bǔ)丁或解決方案。應(yīng)從產(chǎn)品研發(fā)、測(cè)試和發(fā)布等環(huán)節(jié)加強(qiáng)協(xié)同管理，及時(shí)應(yīng)對(duì)新出現(xiàn)的漏洞，在產(chǎn)品遠(yuǎn)程升級(jí)、用戶系統(tǒng)維護(hù)方面做好技術(shù)準(zhǔn)備和主動(dòng)服務(wù)，確保漏洞修復(fù)措施的有效性和覆蓋面。積極配合CNCERT 作好技術(shù)分析和用戶威脅評(píng)估，縮短應(yīng)急響應(yīng)周期。通過(guò)網(wǎng)站、郵件等方式及時(shí)披露和推送本單位生產(chǎn)、提供的軟硬件產(chǎn)品的漏洞描述信息?！币?guī)制方面，求同存異地探索，找到能夠及時(shí)高效防范網(wǎng)絡(luò)信息安全危害的法律之道。拙文權(quán)拋陋俗之磚，特求教于方家與同仁之玉。