全球网络武器丢失 通报机制亟待建立

　　资料图。

“在网络技术和应用不发达的时期，很多国家都倡导的是政府为主导的管理模式；而时至今日，一些网络技术应用比较发达的国家，更多是倡导治理的模式。”在8月31日召开的“网络空间与网络安全国际治理研讨会”上，中央网信办政策法规局副局长李长喜表示，目前网络空间治理模式已经发生了变化。

李长喜指出，管理更多是强调政府主导，社会各方作为一个次要的位置进行参与；而治理，则是基于网络空间的“三多”特点：主体的多元性、活动的多重性、行为的多样性，对网络空间采取多元主体共治的模式，这无论是在发达国家还是发展中国家，无论是理论层面还是实践层面，基本得到了国际社会的认同。

用多边通报机制捍卫网安

当前，我国的互联网安全行业快速发展，互联网在促进社会发展、方便人民生活的同时，相伴而生的网络安全威胁与日俱增。尤其是今年5月“永恒之蓝”勒索事件的爆发，致使全球150多个国家和地区受到波及。

360公司总法律顾问许坚认为，网络安全不仅影响着传统的社会领域，更影响着国防领域和国家安全领域，而我国在快速崛起的背景下已成为海外敌对势力的攻击目标，因此急需建立网络安全信息共享机制和立体化网络空间防御体系。

针对永恒之蓝勒索病毒，微软副总裁、首席法务官布拉德·史密斯曾表示，如果用传统武器打比方，这次事件相当于美国军方的战斧巡航导弹丢失。

“既然已经将网络武器的重要性提高到战斧巡航导弹的层次，一旦失窃当事国有义务向其他国家通报相关情况，让各国的政府和民众提前预警。”许坚认为，网络武器防扩散流程应尽可能前置，有必要在全球范围内构建网络武器丢失通报机制，一方面建立国与国之间的双边通报机制，另一方面尽可能在联合国框架下建立多边通报机制，共同捍卫网络空间的安全秩序。

北京师范大学刑事法律科学研究院院长赵秉志教授也认为，基于网络世界的开放性、全球互联性、网络攻击的跨国性与非对称性等特征，任何国家都很难独善其身，国际合作会成为必然的趋势。

鉴于我国在立法、司法、商业等网络治理相关实践上已走在世界前列，北京外国语大学法学院博士生导师、电子商务与网络犯罪研究中心主任王文华教授建议，我国可以基于上海合作组织、G20等平台，主导制定一些区域性的有关网络安全或网络犯罪的国际公约。

建议对“白帽子”给予保护性政策

随着网络空间多元共治成为各方的共识，如何正向发挥“白帽子”黑客(正面的黑客，可以识别计算机系统或网络系统中的安全漏洞，但不会恶意去利用，而是向厂商或相关机构去公布)的价值，让其参与到网络安全的治理与防范中也显得尤为重要。

不过，研讨会上，360法律研究院一位负责人介绍，在目前法律框架下，很多“白帽子”会面临很多法律风险，如目前我国正在征求意见的《关键信息基础设施安全保护条例》拟规定，未经授权不能扫描关键信息基础设施的漏洞，扫描本身就可能构成违法行为；另如刑法中规定的侵犯计算机系统罪，不区分行为人的主观意图，只要有这方面的行为就可能构成犯罪。

从2010年开始，国内也出现了像乌云网等漏洞报告平台，“白帽子”在发现一些互联网厂商的漏洞后，平台会按照一定的程序分批次、分等级对外进行披露，该模式尽管强化了公众对网络安全的直观认知，但自诞生以来就饱受争议。

以乌云网为例，其平台上注册的“白帽子”先后披露出京东商城、支付宝等互联网企业的漏洞，但法律风险一直如影随行。尤其是2016年，杭州的IT人士袁某，在乌云网提交了他发现的某网站系统漏洞后，被该网以“网站数据被非法窃取”为由报警。随后袁某被司法机关逮捕。目前该案尚未宣判。受该事件的影响，乌云网的业务也基本停滞。

前述360法律研究院相关负责人告诉记者，业界非常关注该案件的走向。在他看来，如果对一些善意的“白帽子”缺乏一个正向正面的引导、鼓励和激励，一些游走在“灰黑白”的边界上的“白帽子”就有可能走向黑产，将挖掘到的漏洞在黑市上交易。

该负责人介绍，目前，像美国等国家出台了很多鼓励挖掘漏洞的政策和做法，比如说攻陷五角大楼、攻克白宫，鼓励全球的“白帽子”发现和修复漏洞；此外，通过给予“白帽子”激励措施，还可以发现其他国家的黑客、“白帽子”的战术水平，进而采取更好的防范措施。

“他们其实是用了一个成本比较低的方式，既维护了网络安全，又鼓励了这些人做好事。”该负责人建议，我国可以借鉴这方面的做法，给予“白帽子”一些激励性措施，落实到法律层面上，能否在正在征求意见的《关键信息基础设施保护条例》，就“禁止未经授权的关键信息扫描”增加一个例外条款，例如为了网络安全科研、监测预警目的，又符合一定规范的扫描探测漏洞信息行为，可以免责。