論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

趙麗莉，鐘 晗

(1. 新疆財經(jīng)大學(xué) 法學(xué)院，新疆 烏魯木齊 830012；2. 南京大學(xué) 計算機(jī)科學(xué)與技術(shù)系 江蘇 南京 210023)

論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

趙麗莉1，鐘 晗2

(1. 新疆財經(jīng)大學(xué) 法學(xué)院，新疆 烏魯木齊 830012；2. 南京大學(xué) 計算機(jī)科學(xué)與技術(shù)系 江蘇 南京 210023)

伴隨互聯(lián)網(wǎng)和信息化的迅猛發(fā)展，網(wǎng)絡(luò)安全對國家經(jīng)濟(jì)、社會生活甚至國家安全的影響日益增強(qiáng)。與此同時，銀行、電信網(wǎng)絡(luò)、政府部門等關(guān)鍵基礎(chǔ)設(shè)施、大型商業(yè)網(wǎng)站、云服務(wù)、工業(yè)控制系統(tǒng)均日益成為網(wǎng)絡(luò)攻擊重點；基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、通用軟硬件的漏洞攻擊風(fēng)險、大型網(wǎng)站數(shù)據(jù)和個人信息泄露現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)安全事件頻發(fā)，信息披露訴求應(yīng)運而生。網(wǎng)絡(luò)安全事件信息披露機(jī)制可有效防控惡意軟件、漏洞風(fēng)險、數(shù)據(jù)泄漏等網(wǎng)絡(luò)信息安全風(fēng)險和威脅。為此，為進(jìn)一步明確網(wǎng)絡(luò)空間各主體有效管理和規(guī)制網(wǎng)絡(luò)安全風(fēng)險和威脅的責(zé)任，建構(gòu)系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制具有現(xiàn)實必要性。

網(wǎng)絡(luò)安全；風(fēng)險與威脅；信息披露；體系化

一、網(wǎng)絡(luò)安全事件披露機(jī)制的提出與界定

(一)問題的提出

在互聯(lián)網(wǎng)全面發(fā)展之際，互聯(lián)網(wǎng)已深入國家政治、經(jīng)濟(jì)、文化、醫(yī)療、教育等社會生產(chǎn)、生活的各個領(lǐng)域，“互聯(lián)網(wǎng)+”新時代模式開啟。然而網(wǎng)絡(luò)欺詐，政府網(wǎng)站等關(guān)鍵基礎(chǔ)設(shè)施被攻擊，重要信息被泄露，恐怖分子等不法分子利用互聯(lián)網(wǎng)策劃組織暴力恐怖事件等網(wǎng)絡(luò)安全事件頻發(fā)。當(dāng)頻發(fā)的網(wǎng)絡(luò)事件關(guān)乎信息系統(tǒng)和信息內(nèi)容安全，使公民、組織的信息安全以及公共安全和國家安全被威脅時，為了能夠?qū)崟r控制網(wǎng)絡(luò)安全應(yīng)用過程，提高網(wǎng)絡(luò)安全事件治理的透明度，適時的網(wǎng)絡(luò)安全事件信息披露就顯得非常必要。此外，網(wǎng)絡(luò)安全事件產(chǎn)生因素多樣，產(chǎn)生的風(fēng)險具有不確定性、不可逆性，而且產(chǎn)生損害的時間非常短，若不能及時告知，則產(chǎn)生的損害將無法恢復(fù)和估計。在美國，已有45個州出臺要求公司或政府機(jī)構(gòu)披露入侵有關(guān)個人信息事件的法案[1]。2015年6月19日《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》簽署，包括國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)、重要行業(yè)部門、基礎(chǔ)設(shè)施部門、軟硬件廠商以及網(wǎng)絡(luò)安全企業(yè)等在內(nèi)的32家單位參與，該公約以行業(yè)自律方式規(guī)范網(wǎng)絡(luò)安全事件之漏洞信息的披露工作。但中國文獻(xiàn)鮮少研究不同部門、機(jī)構(gòu)和人員的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題，而是更多地從技術(shù)角度關(guān)注安全事件的發(fā)現(xiàn)、處置，或者從宏觀視角研究網(wǎng)絡(luò)安全保障問題。當(dāng)網(wǎng)絡(luò)安全事件發(fā)現(xiàn)及預(yù)警通報的信息披露工作在應(yīng)對網(wǎng)絡(luò)安全威脅方面的作用日益凸顯時，以網(wǎng)絡(luò)安全治理視角探索系統(tǒng)化的網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)問題就成為值得深思的問題。目前的立法并未對需披露的網(wǎng)絡(luò)安全事件進(jìn)行等級分類，也未涉及多大范圍內(nèi)披露和披露什么內(nèi)容以及披露時間等具體規(guī)定。

(二)網(wǎng)絡(luò)安全事件信息披露機(jī)制界定

網(wǎng)絡(luò)安全事件主要涉及影響互聯(lián)網(wǎng)安全運行的事件、波及較大范圍互聯(lián)網(wǎng)用戶事件和涉及政府部門和重要信息系統(tǒng)的事件，事件類型主要包括漏洞、網(wǎng)頁仿冒、網(wǎng)頁篡改、惡意程序、網(wǎng)站后門、網(wǎng)頁掛馬、拒絕服務(wù)攻擊等方面。網(wǎng)絡(luò)安全事件信息披露機(jī)制作為廣義信息披露的一種，其披露的信息范圍即是與特定網(wǎng)絡(luò)安全事件相關(guān)的風(fēng)險信息，主要包括信息系統(tǒng)功能性風(fēng)險和信息安全內(nèi)容風(fēng)險。功能性風(fēng)險主要指針對信息系統(tǒng)實體安全和信息系統(tǒng)運行安全兩個方面。前者指信息系統(tǒng)設(shè)備、設(shè)施免受破壞；后者指防止信息系統(tǒng)被非法侵入，信息系統(tǒng)因病毒等破壞性程序的感染或其他非法攻擊而遭受損害，網(wǎng)絡(luò)或通信服務(wù)被非正常中斷，使信息網(wǎng)絡(luò)或通信系統(tǒng)不能正常運行等危害。網(wǎng)絡(luò)安全內(nèi)容風(fēng)險則主要包括重要信息泄密、暴力恐怖音視頻內(nèi)容的網(wǎng)絡(luò)傳播等。

網(wǎng)絡(luò)安全事件信息披露本身可以被視為將風(fēng)險信息公知化的過程，但基于網(wǎng)絡(luò)安全事件信息的敏感性，這一公知過程可能產(chǎn)生潛在的負(fù)面影響。為此，網(wǎng)絡(luò)安全事件信息披露需要在有效機(jī)制的規(guī)范下予以實施。網(wǎng)絡(luò)安全事件信息披露機(jī)制即是網(wǎng)絡(luò)安全事件信息披露的約束性框架，是對可能造成特定信息系統(tǒng)和信息內(nèi)容安全減損，影響用戶合法權(quán)益，造成人身或財產(chǎn)損失，或可能產(chǎn)生其他嚴(yán)重危害后果的事件信息進(jìn)行公知活動的系統(tǒng)性規(guī)范，包括披露主體、披露內(nèi)容、披露程序、披露時間、披露對象、相關(guān)責(zé)任和例外規(guī)定等，進(jìn)而有效規(guī)范網(wǎng)絡(luò)安全事件信息披露活動。

二、網(wǎng)絡(luò)安全事件信息披露機(jī)制建構(gòu)的價值基礎(chǔ)

法律制度應(yīng)當(dāng)具備應(yīng)有的價值基礎(chǔ)，客觀反映為其意欲實現(xiàn)的法益追求和規(guī)范目標(biāo)，這也構(gòu)成形成社會公眾“規(guī)范性期待”的前提條件。網(wǎng)絡(luò)安全風(fēng)險無法避免，因此有效的風(fēng)險管理措施非常必要。其中，披露被認(rèn)為是風(fēng)險控制的中心環(huán)節(jié)，對于降低風(fēng)險和分化風(fēng)險起著至關(guān)重要的作用[2]。網(wǎng)絡(luò)安全事件披露機(jī)制建構(gòu)是加強(qiáng)網(wǎng)絡(luò)安全保護(hù)工作的重要組成部分，其價值基礎(chǔ)可以歸納為兩個方面：(1)有助于防控網(wǎng)絡(luò)安全威脅，可使用戶清晰認(rèn)知網(wǎng)絡(luò)安全事件風(fēng)險，并充分利用披露的信息及時采取預(yù)防和控制措施，有效預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險的產(chǎn)生，降低或阻止威脅的擴(kuò)大化；(2)可強(qiáng)化國家安全基礎(chǔ)數(shù)據(jù)保障的綜合能力，有效協(xié)調(diào)創(chuàng)新發(fā)展與用戶安全保障矛盾。

(一)防控網(wǎng)絡(luò)安全威脅

隨著信息網(wǎng)絡(luò)滲透于人類生產(chǎn)和生活的方方面面，人類政治、經(jīng)濟(jì)、軍事、科技、文化生活、環(huán)境等各個方面對信息網(wǎng)絡(luò)的依賴性越來越強(qiáng)，個人、企業(yè)、民族、國家乃至人類的安全也建立于互聯(lián)網(wǎng)中，網(wǎng)絡(luò)安全已成為關(guān)乎個人乃至整個國家的重要問題。CNCERT報告顯示，僅 2015 年 8 月即收到網(wǎng)絡(luò)安全事件達(dá)9 655 件*國家互聯(lián)網(wǎng)應(yīng)急中心《CNCERT互聯(lián)網(wǎng)安全威脅報告》(2015年08月)。，[3]。諸如針對信息系統(tǒng)的安全威脅：2014年“全國DNS大劫難”事故中超過85%的用戶遭遇了網(wǎng)速變慢和網(wǎng)站打不開的DNS故障，國內(nèi)2/3網(wǎng)站因此受影響；OpenSSL公布的重大安全漏洞顯示，該安全漏洞正被網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊所利用而成為新的威脅，該漏洞可使任何人讀取系統(tǒng)運行的內(nèi)存，安全行業(yè)人士實踐利用此漏洞可實時獲取網(wǎng)站、電商、網(wǎng)上支付等網(wǎng)站用戶賬號和密碼，并實現(xiàn)成功登陸[3]。該漏洞已使網(wǎng)站、即時聊天、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻等系統(tǒng)遭受安全風(fēng)險和威脅。美國《福布斯》網(wǎng)站報道一款漏洞“可被黑客利用在不被檢測情況下實現(xiàn)對全球八成個人電腦、網(wǎng)絡(luò)應(yīng)用或者云端虛擬機(jī)實現(xiàn)監(jiān)控”[4]。國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2015年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，諸多網(wǎng)絡(luò)安全威脅伴隨信息化的不斷發(fā)展而產(chǎn)生，包括重要信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、智能終端領(lǐng)域軟硬件漏洞攻擊；重要網(wǎng)站域名解析篡改攻擊；工業(yè)控制系統(tǒng)、移動應(yīng)用程序惡意軟件攻擊；分布式反射性的拒絕服務(wù)攻擊；網(wǎng)站數(shù)據(jù)和個人信息泄漏等方面[5]。2016年該工具被爆出的DROWN安全漏洞又使國內(nèi)10萬余家網(wǎng)站受影響。另據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNERT/CC)2016年第39期發(fā)布的互聯(lián)網(wǎng)安全威脅報告顯示，僅2016年9月19日至25日一周內(nèi)“境內(nèi)感染網(wǎng)絡(luò)病毒主機(jī)數(shù)59.1萬；網(wǎng)站被篡改數(shù)量為2 477個，包括政府網(wǎng)站53個；新增信息系統(tǒng)安全漏洞257個，其中，高危漏洞146個；處理各類網(wǎng)絡(luò)安全事件622起，包括跨境案件158起”[6]。

此外，近年來針對網(wǎng)絡(luò)信息內(nèi)容的安全威脅事件亦處于頻發(fā)狀態(tài)，且影響后果越來越大：諸如2014年4月黑客利用快遞公司官網(wǎng)漏洞入侵網(wǎng)站，1 400萬條用戶個人信息被非法竊取，2014年12月25日中國大型交通購票網(wǎng)站12306網(wǎng)站中約10萬多條用戶數(shù)據(jù)被泄漏，包括用戶賬號、密碼、身份證號、手機(jī)號碼以及電子郵箱等重要信息[7]。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報告顯示，2015 年，該中心抽樣監(jiān)測發(fā)現(xiàn)的惡意軟件程序轉(zhuǎn)發(fā)用戶信息郵件超過66萬封，大量個人隱私信息可通過郵件被發(fā)送到指定郵箱[8]； 2015年發(fā)生約10萬條應(yīng)屆高考生信息泄漏事件，而2016年更發(fā)生多名學(xué)生更因個人信息泄漏而引發(fā)學(xué)費被騙事件。2016年信誠人壽保險公司被曝其平臺面臨客戶銀行卡號、密碼、身份證等重要敏感信息被泄漏的風(fēng)險。目前，由于教育、金融、醫(yī)療、物流行業(yè)、政府等都與互聯(lián)網(wǎng)密切相關(guān)，這一方面網(wǎng)絡(luò)安全威脅已對各領(lǐng)域重要信息系統(tǒng)安全、公共網(wǎng)絡(luò)環(huán)境安全造成威脅，產(chǎn)生重大突發(fā)網(wǎng)絡(luò)安全事件風(fēng)險。此外，“暴恐音視頻”的網(wǎng)絡(luò)傳播威脅則可在“意識形態(tài)領(lǐng)域、文化領(lǐng)域”沖擊國家安全和社會穩(wěn)定，這已成為一些特定區(qū)域網(wǎng)絡(luò)安全威脅的主要內(nèi)容。在國內(nèi)破獲的各種暴力恐怖犯罪，其涉案人員幾乎均觀看收聽了包括宣揚暴力恐怖、宗教極端、民族分裂等暴力恐怖音像視頻，其中，互聯(lián)網(wǎng)成為獲得、傳播、觀看和組織實施恐怖活動的重要渠道。

有鑒于此，頻發(fā)的網(wǎng)絡(luò)安全事件無論是針對網(wǎng)絡(luò)運行系統(tǒng)安全，還是網(wǎng)絡(luò)信息內(nèi)容安全都已成為關(guān)乎互聯(lián)網(wǎng)健康發(fā)展乃至國家安全和社會穩(wěn)定的重大問題，而有效的網(wǎng)絡(luò)安全治理機(jī)制尤顯必要和緊迫。鑒于網(wǎng)絡(luò)安全風(fēng)險和威脅的動態(tài)性，目前的網(wǎng)絡(luò)安全事件治理缺乏一種動態(tài)的機(jī)制以實現(xiàn)對網(wǎng)絡(luò)信息安全事件的前期控制，于是“確立以預(yù)防與控制為核心的治理理念和機(jī)制極為必要”[9]。而網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)即可體現(xiàn)這種預(yù)防與控制的理念，而且“管理和披露信息安全風(fēng)險也被認(rèn)為是網(wǎng)絡(luò)時代一些主體的責(zé)任”[10]。面對不斷增長的網(wǎng)絡(luò)安全事件威脅，有效的信息披露機(jī)制確立可使用戶及時預(yù)判，并因此而防范和控制風(fēng)險和威脅的產(chǎn)生，從而確保網(wǎng)絡(luò)安全。

(二) 協(xié)調(diào)創(chuàng)新發(fā)展與安全保障之間的矛盾

隨著新一代網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的日常社會生活方式正在發(fā)生巨大的變化。新一代網(wǎng)絡(luò)技術(shù)已延伸到國家政治、經(jīng)濟(jì)、軍事、科技和文化等各個方面，滲入到人們的日常生活、社會活動、經(jīng)濟(jì)行為和國家安全的各個領(lǐng)域，極大地改變了社會生產(chǎn)生活方式。誠然，互聯(lián)網(wǎng)的不斷發(fā)展創(chuàng)新著各領(lǐng)域產(chǎn)業(yè)的發(fā)展，推動了社會進(jìn)步。然而，互聯(lián)網(wǎng)應(yīng)用云化以及計算機(jī)等終端通信設(shè)備的普及化也使影響國家安全、社會穩(wěn)定和個人隱私安全的網(wǎng)絡(luò)安全事件和行為陡增。因此，在網(wǎng)絡(luò)時代，在廣泛關(guān)注創(chuàng)新發(fā)展的同時，當(dāng)面臨網(wǎng)絡(luò)安全事件以及因此而影響到用戶合法權(quán)益、社會秩序以及公共利益時，我們不得不正視創(chuàng)新與安全間的沖突[11]。這就需要加強(qiáng)對網(wǎng)絡(luò)安全的防控，而確立有效的信息披露機(jī)制則成為能夠協(xié)調(diào)創(chuàng)新發(fā)展和安全保障的重要防控舉措。例如，Microsoft Windows 任務(wù)管理權(quán)限提升等漏洞可引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件，導(dǎo)致用戶計算機(jī)被控制。由于包括政府部門、重要信息系統(tǒng)部門以及大量用戶都使用Windows系統(tǒng)，一旦該漏洞被利用而引發(fā)網(wǎng)絡(luò)安全事件，那么網(wǎng)絡(luò)運行系統(tǒng)，甚至工業(yè)控制網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施部門以及大量公共、私人用戶網(wǎng)絡(luò)均可遭受攻擊，導(dǎo)致運行系統(tǒng)和信息內(nèi)容遭受安全威脅。而一些公司的惡意軟件或者漏洞已經(jīng)造成了實際的和潛在的損害，這種損害不僅僅使用戶暴露于攻擊之下，也使公司名譽受損，更嚴(yán)重的是技術(shù)保護(hù)措施所造成的損害不是單一的。因為信息技術(shù)設(shè)施分布式的本質(zhì)，整個網(wǎng)絡(luò)安全部分涉及成千上萬的私人電腦，對個人電腦的攻擊，通過延伸必然涉及網(wǎng)絡(luò)本身，而受攻擊的系統(tǒng)可包含公司、大學(xué)、政府或軍事網(wǎng)絡(luò)。然而，在具體實施中，必然會面臨創(chuàng)新發(fā)展與安全的矛盾性。在損害尚未發(fā)生前，一些主體擔(dān)心一旦及時告知用戶可能造成用戶的恐慌，這不僅危及權(quán)利主體自身利益，影響產(chǎn)業(yè)的發(fā)展，而且也使安全問題的解決陷于困境。于是一些企業(yè)基于信譽和名聲以及影響發(fā)展的考慮會選擇隱瞞相關(guān)信息，其結(jié)果可能導(dǎo)致?lián)p失的無限擴(kuò)大。而事實上，很多私營部門網(wǎng)絡(luò)攻擊入侵的防御體系不完備[12]。盡管安全披露義務(wù)可增加企業(yè)防御網(wǎng)絡(luò)安全風(fēng)險的成本，一定時期內(nèi)需要犧牲其發(fā)展利益，但是不能以犧牲網(wǎng)絡(luò)安全為代價而換取行業(yè)或產(chǎn)業(yè)創(chuàng)新發(fā)展，再者信息安全披露義務(wù)也加強(qiáng)了相關(guān)行業(yè)和產(chǎn)業(yè)防控網(wǎng)絡(luò)安全風(fēng)險的能力。為此，有必要在發(fā)現(xiàn)漏洞時及時披露信息以及明確相應(yīng)漏洞修補(bǔ)程序強(qiáng)制性義務(wù)。

三、網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)

網(wǎng)絡(luò)安全事件信息披露機(jī)制的確立具有現(xiàn)實必要性，而披露義務(wù)的行使單純依靠行業(yè)協(xié)會的自律并不足以應(yīng)對，“法的功能在于調(diào)節(jié)、調(diào)和與調(diào)解各種錯雜和沖突的利益，以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲”[13]。因此，建構(gòu)系統(tǒng)化的信息披露機(jī)制制度是形成網(wǎng)絡(luò)安全保障體系的重要組成部分，也應(yīng)是互聯(lián)網(wǎng)立法中的應(yīng)有內(nèi)容。

(一)信息披露的主體

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)站顯示，包括通信管理局、基礎(chǔ)電信運營企業(yè)、非經(jīng)營性互聯(lián)單位、安全企業(yè)及其他一些地方和行業(yè)互聯(lián)網(wǎng)協(xié)會承擔(dān)向國家互聯(lián)網(wǎng)應(yīng)急中心通報網(wǎng)絡(luò)信息的工作，但是這并非強(qiáng)制義務(wù)，并非所有主體應(yīng)承擔(dān)強(qiáng)制性信息披露義務(wù)。具體而言，在網(wǎng)絡(luò)安全事件中，具體的披露主體至少應(yīng)包括以下幾類：(1)軟硬件廠商，包括發(fā)布網(wǎng)絡(luò)安全方面軟硬件的企業(yè)。作為軟硬件的直接權(quán)利主體以及直接掌握這些技術(shù)措施信息的主體，理應(yīng)在發(fā)現(xiàn)安全風(fēng)險時及時披露，他們有義務(wù)在向用戶提供服務(wù)時標(biāo)識采取的技術(shù)特征信息，包括使用范圍、使用限制、運行環(huán)境的要求以及運行后可能存在的風(fēng)險，并在征得用戶完全同意的情況下方能下載或安裝。當(dāng)發(fā)布的產(chǎn)品是眾所周知的能夠引起或可能對用戶系統(tǒng)造成功能性傷害時，應(yīng)發(fā)布安全通知，告知通過檢測所合理預(yù)測的信息安全問題或別的風(fēng)險的存在；(2)政府相關(guān)網(wǎng)絡(luò)安全管理部門。作為專門的網(wǎng)絡(luò)安全管理部門，承擔(dān)安全保障的重要職能，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時及時向社會發(fā)布其評估監(jiān)測的內(nèi)容是其職責(zé)范圍之事；(3)涉及重要信息泄露的重要行業(yè)部門，諸如基礎(chǔ)電信部門、醫(yī)療、金融、教育等關(guān)乎大量個人重要信息和重要產(chǎn)業(yè)信息的部門。由于網(wǎng)絡(luò)安全事件可能波及大量重要信息系統(tǒng)和信息內(nèi)容的泄漏，因此一旦發(fā)現(xiàn)入侵、攻擊、泄漏等風(fēng)險應(yīng)及時披露相關(guān)信息。

(二)信息披露的對象

網(wǎng)絡(luò)安全事件信息披露應(yīng)當(dāng)有具體的披露對象，具體而言：一是各類產(chǎn)品的直接用戶。由于用戶是這些產(chǎn)品的直接使用者，也是風(fēng)險發(fā)生后的直接受害者，依據(jù)《消費者權(quán)益保護(hù)法》《合法同》等相關(guān)法律，他們具有對商品或提供服務(wù)的知情權(quán)，因此應(yīng)當(dāng)作為直接披露對象。與此同時，接受信息的用戶可及時采取措施針對類似網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全事件作出反應(yīng)，諸如下載補(bǔ)丁程序，或者控制或破壞攻擊病毒，這被認(rèn)為“應(yīng)對網(wǎng)絡(luò)攻擊的重要反應(yīng)，也是規(guī)制網(wǎng)絡(luò)安全的重要環(huán)節(jié)”[12]。

二是網(wǎng)絡(luò)安全的主管機(jī)構(gòu)。由于各部門在各自領(lǐng)域內(nèi)開展相應(yīng)工作，而網(wǎng)絡(luò)安全領(lǐng)域問題涉及面寬且復(fù)雜，可能同時涉及不同的工作部分。信息網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)安全復(fù)雜性較強(qiáng)，公民、法人和其他組織的合法權(quán)益與社會利益、公共安全以及國家安全威脅可能同時存在，當(dāng)涉及由行政機(jī)關(guān)依法執(zhí)行維護(hù)國家安全所保護(hù)的網(wǎng)絡(luò)安全及其他相關(guān)事項產(chǎn)生安全風(fēng)險時，相關(guān)主體應(yīng)及時對各相關(guān)主管機(jī)關(guān)披露。中國對網(wǎng)絡(luò)安全監(jiān)管采取的是分業(yè)縱向監(jiān)管模式，主管機(jī)關(guān)有：國務(wù)院信息化工作領(lǐng)導(dǎo)小組及其辦公室、公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門、信息產(chǎn)業(yè)部、國務(wù)院信息產(chǎn)業(yè)主管部分、國家密碼管理機(jī)構(gòu)和國務(wù)院其他有關(guān)部門，它們在各自領(lǐng)域承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全監(jiān)管職責(zé)。為此，網(wǎng)絡(luò)安全事件可及時向網(wǎng)絡(luò)安全的主管機(jī)構(gòu)披露，而各網(wǎng)絡(luò)安全主管機(jī)構(gòu)之間應(yīng)實現(xiàn)信息共享并及時協(xié)調(diào)，向社會發(fā)布相關(guān)信息和防控措施。

(三)信息披露主要內(nèi)容及時間

信息披露內(nèi)容和時間是信息披露機(jī)制中的重要內(nèi)容。網(wǎng)絡(luò)環(huán)境使網(wǎng)絡(luò)安全事件造成的損害具有不可逆性，損害后果嚴(yán)重，這要求披露義務(wù)主體首先在網(wǎng)絡(luò)安全事件風(fēng)險產(chǎn)生之前，為防范安全風(fēng)險以及降低損害程度，對于已監(jiān)測的網(wǎng)絡(luò)安全風(fēng)險和威脅信息，有關(guān)部門、機(jī)構(gòu)和人員應(yīng)及時發(fā)布預(yù)警，告知相關(guān)用戶隱藏的安全風(fēng)險，包括發(fā)生的可能性、潛在影響范圍和危害程度。諸如近年來，大量基于網(wǎng)絡(luò)應(yīng)用、安全產(chǎn)品、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全漏洞事件曝光，危害影響可涉及電信、移動互聯(lián)網(wǎng)、工控體系等不同行業(yè)以及其他公私用戶網(wǎng)絡(luò)與信息安全，于是對漏洞信息適時的、負(fù)責(zé)任的信息披露就顯得很有必要。

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生后，諸如發(fā)生危害社會公共秩序，突發(fā)重大社會安全事件時，相關(guān)主體應(yīng)及時(可理解為合理時間范圍內(nèi)，需要依據(jù)實際情況判斷)披露網(wǎng)絡(luò)安全事件發(fā)生、發(fā)展情況；實際產(chǎn)生的安全損害是什么；產(chǎn)生安全風(fēng)險和威脅的影響范圍是什么以及相應(yīng)事件信息的分析評估與結(jié)果等方面的內(nèi)容。此外，在披露安全風(fēng)險和威脅信息時應(yīng)發(fā)布避免和減輕危害的必要解決措施，以使用戶和相關(guān)主體能進(jìn)一步評估其所面臨的風(fēng)險，進(jìn)而采取相應(yīng)措施應(yīng)對產(chǎn)生的風(fēng)險和威脅，控制損失的擴(kuò)大化。而對于部分不可提前預(yù)測的安全風(fēng)險和威脅，也應(yīng)在實際發(fā)現(xiàn)或威脅實際產(chǎn)生時及時予以披露，以阻止損失發(fā)生。當(dāng)然，當(dāng)及時披露妨害執(zhí)法機(jī)關(guān)執(zhí)法取證，涉及到危及公眾利益、影響相關(guān)產(chǎn)業(yè)發(fā)展時，披露應(yīng)暫緩公告。

(四)信息披露要求和責(zé)任

按照信息披露機(jī)制的要求，對于網(wǎng)絡(luò)安全事件的披露應(yīng)是足夠的和有效的，而且“風(fēng)險披露內(nèi)容應(yīng)該是特殊的和具體的”[9]，即體現(xiàn)披露的充分性。這里的足夠和有效的通知必須使普通用戶能夠充分認(rèn)識到網(wǎng)絡(luò)安全事件的風(fēng)險和威脅，因此上述通知應(yīng)以能夠幫助用戶更容易觀察和閱讀的方式發(fā)布，描述的信息能使使用者在使用產(chǎn)品時合理地保護(hù)自身信息系統(tǒng)功能和信息內(nèi)容安全，避免眾所周知的和可能的傷害產(chǎn)生。這一要求顯示對于具體的信息披露表達(dá)應(yīng)在顯而易見的地方，并且是令人信服的。對于司法實踐而言，如果不是輕易地被看見，通常應(yīng)視為經(jīng)營者沒有向用戶提供他們的明確通知，因此不是可執(zhí)行的[14]。比如通過不清楚的鏈接、不顯眼的字體(如腳注字體)、在灰色背景上的灰色類型、不清楚的鏈接標(biāo)簽意圖去警惕用戶關(guān)于披露的存在。對于法庭而言，它判斷的標(biāo)準(zhǔn)不是雙方通常對信息披露內(nèi)容的理解，也不是用戶的實際理解，而是這一披露是否被以明顯的方式顯示。比如，對于安裝的各類軟硬件產(chǎn)品，或者網(wǎng)站的漏洞風(fēng)險應(yīng)在其產(chǎn)品或者平臺顯眼位置發(fā)布明確而詳細(xì)的說明，并獲得用戶的明確同意后予以安裝。與此同時，對于發(fā)生的網(wǎng)絡(luò)安全事件解決方案的披露除及時外，也應(yīng)當(dāng)具體和具可操作，如此方可實現(xiàn)防控風(fēng)險和威脅的目的。

當(dāng)承擔(dān)披露義務(wù)的主體不履行披露義務(wù)致使公私財產(chǎn)和信息安全受到影響或者不及時、不充分實施披露行為致使損害擴(kuò)大時，立法應(yīng)規(guī)定罰則，要求相應(yīng)主體承擔(dān)相應(yīng)的法律責(zé)任，包括民事、行政和刑事法律責(zé)任。諸如美國加州2012年通過的S.B.1386法案即明確了保存公民信息的機(jī)構(gòu)有義務(wù)向受害者披露信息泄漏事件，否則可因民事訴訟而承擔(dān)賠償責(zé)任。

(五)信息披露的例外

雖然網(wǎng)絡(luò)安全事件相關(guān)主體應(yīng)當(dāng)承擔(dān)一定的信息披露義務(wù)，但是這一披露義務(wù)并非是絕對的，具體在披露內(nèi)容上需要掌握可披露的度，既保障公眾的知情權(quán)，又兼顧網(wǎng)絡(luò)安全、社會秩序穩(wěn)定以及國家安全。信息披露例外機(jī)制的確立非常必要，它是披露機(jī)制體系的重要組成部分，這也是現(xiàn)行網(wǎng)絡(luò)安全立法所缺乏的。具體而言：披露的信息內(nèi)容應(yīng)該是被分類的，一些未授權(quán)的敏感信不在披露范圍之內(nèi)[15]。當(dāng)披露的內(nèi)容將涉及違反其他法律規(guī)定、機(jī)密信息、妨害執(zhí)法或損害國家利益以及公共利益、損害其他特定的公有或私營企業(yè)的合法商業(yè)利益時，可不承擔(dān)信息披露義務(wù)?？傊?，立法應(yīng)明確規(guī)定網(wǎng)絡(luò)安全事件信息披露的相應(yīng)例外條款，保障信息披露機(jī)制建構(gòu)的完整性。

[1]馬民虎.網(wǎng)絡(luò)信息安全保障的法律監(jiān)管研究[M].西安:陜西科學(xué)技術(shù)出版社,2007.

[2]張樂,郝文江,武捷.美國網(wǎng)絡(luò)入侵信息披露制度簡介[C]//全國計算機(jī)安全學(xué)術(shù)交流會論文集(第二十五卷).合肥:中國科學(xué)技術(shù)大學(xué)出版社,2010:121.

[3]李國敏.2014年重大網(wǎng)絡(luò)安全事件回顧[N].科技日報,2014-12-24(11).

[4]佚名.美發(fā)現(xiàn)新瀏覽器攻擊模式：可監(jiān)控全球八成PC[EB/OL].[2015-04-24].http://www.cnnic.net.cn/gjymaqzx/aqgg/aqggaqsj/201504/t20150424_52123.htm.

[5]國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[M].北京:人民郵電出版社,2015:15.

[6]國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動態(tài)周報(2016年第39期)[EB/OL].[2016-09-30].http://www.cert.org.cn/publish/main/upload/File/2016CNCERT39.pdf.

[7]肖前忠.年終盤點：2014年國內(nèi)和國際網(wǎng)絡(luò)信息安全大事件[EB/OL].[2015-03-10].http://www.d1net.com/security/news/326109.html.

[8]國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].[2016-05-01].http://www.cert.org.cn/publish/main/upload/File/2015%20Situation.pdf.

[9]趙麗莉.基于過程控制理念的網(wǎng)絡(luò)安全法律治理研究——以“風(fēng)險預(yù)防與控制”為核心[J].情報雜志,2015(8):177-181.

[10]TROPE R L,HUGHES S J.The SEC staff’s “Cybersecurity Disclosure” guidance: Will it help investors or cyber-thieves more?[J].Business Law Today,2011:1-4.

[11]趙麗莉.論版權(quán)技術(shù)保護(hù)措施信息安全遵從義務(wù)——以法國《信息社會版權(quán)與鄰接權(quán)法》第15條為視角[J].情報理論與實踐,2012(12):32-36.

[12]SALES N A.Regulating cyber-security[J].Northwestern University Law Review,2013,107(4):1508-1564.

[13]羅斯科·龐德.通過法律的社會控制——法律的任務(wù)[M].沈宗靈,董世忠,譯.北京:商務(wù)印書館,1984:42.

[14]MATWYSHYN A M.Hidden engines of destruction:the reasonable expection of code safety and the duty to warn in digital products[J].Florida Law Review,2010(62):109-157.

[15]DYCUS S.Congress’s role in cyber warfare[J].Journal of National Security Law & Policy,2010,4(1):155-171.

(責(zé)任編輯 胡志平)

Research on the construction of information disclosure mechanism of cyber security event

ZHAO Lili1，ZHONG Han2

(1.SchoolofLaw,XinjiangFinanceandEconomicUniversity,Wulumuqi830012,P.R.China;2.DepartmentofComputerScience&Technology,NanjingUniversity,Nanjing210064,P.R.China)

With the rapid development of Internet and information technology,cyber security has more and more influence on national economy,social life and even national security. At the same time,banking,telecommunications networks,government departments and other key infrastructure,large-scale commercial websites,cloud services,industrial Internet are increasingly becoming the focus of cyber attacks; and cyber security and security incidents of basic network,important information systems,common software and hardware vulnerabilities,large web sites and personal information leakage are serious,which has threatened data and personal information security,social stability and national security. Cyber security event information disclosure mechanism can effectively prevent and control the risk and threat of cyber information security,such as malicious software,vulnerability risk,data leakage and so on. “Cyber Security Act” (Draft) established the corresponding information disclosure provisions. Therefore,to further clarify the responsibility of the main body of the cyber space and effectively manage and regulate the risk of cyber security incidents,it is practical necessity to construct the effective information disclosure mechanism of cyber security event .

cyber security; risks and threats; information disclosure;system

10.11835/j.issn.1008-5831.2017.01.013

Format: ZHAO Lili,ZHONG Han .Research on the construction of information disclosure mechanism of cyber security event[J].Journal of Chongqing University( Social Science Edition),2017(1):109-114.

2016-11-23

2016年度國家社會科學(xué)基金西部項目“網(wǎng)絡(luò)時代暴恐信息傳播法律治理創(chuàng)新研究”(2016XFX014)

趙麗莉(1978-)，女，山西榆社人，新疆財經(jīng)大學(xué)法學(xué)院副教授，法學(xué)博士，碩士研究生導(dǎo)師，西安交通大學(xué)信息安全法律研究中心兼職研究員，主要從事信息安全法、知識產(chǎn)權(quán)法研究，E-Mail：lilihellozl@sina.cn。

D922.8

A

1008-5831(2017)01-0109-06

歡迎按以下格式引用：趙麗莉,鐘晗.論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)[J].重慶大學(xué)學(xué)報(社會科學(xué)版)，2017(1):109-114.