以“乌云网关闭”为视角 解读《网络安全漏洞管理规定（征求意见稿）》

本文首发于微信公众号“云端数据IP法律观察”（ID：YDdatalaw）

1.前言

6月18日，工信部公布《网络安全漏洞管理规定（征求意见稿）》（下称《征求意见稿》），并向社会公开征求意见至7月18日。

《征求意见稿》作为《网络安全法》的配套法规，其目的在于对《网络安全法》第二十二条、二十五条、二十六条中关于网络安全漏洞（以下简称漏洞）报告和信息发布等行为进行细化规定，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平。

在《网络安全法》发布之前，我国对于漏洞的报告与发布一直都未作出明确的规定，作为第三方漏洞发布平台的“乌云网”也一直游走于法律的灰色地带。而本次《征求意见稿》的发布意在对第三方漏洞发布组织的漏洞发布与报告行为作出更为明确的规定。

所以本文将以“乌云网”的关闭为视角，对《征求意见稿》作出解读。

2.“乌云网”介绍

“乌云网”是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以在线提交发现的网站安全漏洞，企业用户也可通过该平台获知自己网站的漏洞报告。

在7月20日凌晨，随着“乌云网”的创始人之一“方小顿”被逮捕，“乌云网”暂时关闭，直至截稿之日仍未重新开放。

3.“乌云网”如何发现漏洞？

“乌云网”发现漏洞的方式主要是通过其平台的“白帽子”黑客（注：在IT界，“白帽子”指的是正面黑客，他们发现系统安全漏洞，不会恶意去利用，而是公布漏洞，让网络运营者提前修补漏洞。）对某网站或服务器的渗透测试从而发现网络产品、服务或系统中存在的漏洞。

但是大部分的“白帽子”黑客是在未得到网络运营者授权情况下对某网站或服务器的渗透测试。

此时“白帽子”黑客可能会触犯《刑法》第二百八十五条的规定，涉嫌非法获取计算机信息系统数据罪。

4.如果《网络安全漏洞管理规定》正式实施，会造成什么样的影响？

工信部在《征求意见稿》的第六条中明确，第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息，不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。

从本条规定来看，第三方组织在发现网络运营者的网络产品、服务或系统漏洞时，不能立即向公众发布漏洞信息，而应该等到网络运营者在发布漏洞修补或防范措施之后才能向社会公众公布漏洞信息。

而在《征求意见稿》发布之前，第三方组织或个人是依靠“白帽子”黑客及时发现漏洞并在网站向社会公布漏洞信息的方式，倒逼网络经营者及时的修复漏洞。往往通过这种方式发现漏洞的时间要远远早于网络运营者依靠自身的力量发现漏洞的时间。

但是按照《征求意见稿》的规定，第三方组织或个人不能在网络运营者公布漏洞修补或防范措施之前公布漏洞信息。

所以依照规定即使第三方组织或个人提前发现了网络运营者网络产品、服务或系统的漏洞，也不能够提前向社会公众公布。这就直接导致了第三方组织或个人以及公众对于网络运营者监督作用的减损。

按照《征求意见稿》的规定，第三方组织或个人在发现漏洞之后只能选择向网络运营者报告或向国家相关平台汇报漏洞情况。

那么如果第三方组织或个人向网络运营者报告漏洞情况，在失去社会公众监督的情况下，网络运营者会修复或者会及时修复漏洞吗？

《征求意见稿》第十条规定，鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后，及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。也即第三方组织或个人在获取漏洞信息后，可以向国家相关平台报告漏洞情况。如果第三方组织或个人向国家相关平台报告漏洞情况，其可能会受到国家的直接监管。

在上文提到大部分第三方组织或个人发现网络运营者的网络产品、服务或系统漏洞的方式是通过“白帽子”黑客在未授权的情况下，进入网络运营者的数据系统中，对网站或服务器进行渗透测试。这一行为可能涉嫌非法获取计算机信息系统数据罪。

在此种情况下第三方组织或个人向国家相关平台报告漏洞的行为与 “投案”无异，那么第三方组织或个人还会在发现漏洞之后向国家相关平台报告吗？

5.本文观点

笔者认为工信部希望通过《征求意见稿》构建这样一种第三方组织或个人发布或报告漏洞的方式：

第三方组织或个人在得到网络运营者授权的情况下，对网络产品、服务或系统进行渗透测试，从而帮助网络运营者发现网络产品、服务或系统中存在的漏洞。同时第三方组织也应当对“白帽子”黑客进行内部管理，防止黑客利用获取到的网络运营者的数据信息从事违法犯罪活动。

在网络运营者怠于履行漏洞发布、修复等义务时，第三方组织可以选择向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。由国家相关平台报告监管部门，从而对网络运营者履行义务的情况进行监管。

对于以上笔者提出的两个问题，《征求意见稿》希望通过规范第三方组织或个人发布漏洞信息的方式，来促使第三方组织与网络运营者积极的进行合作。同时由于第三方组织或个人是在取得了授权的情况下进行渗透测试，所以在网络运营者怠于行使义务时，第三方组织或个人也会积极的向国家相关平台报告漏洞信息。

可以期待日后《网络安全漏洞管理规定》正式稿的发布，会将之前游走于灰色地带的第三方组织或个人纳入法律的监管之下，确保第三方组织或个人的漏洞发现与报告行为合规。第三方组织或个人与网络运营者在法律规定范围内的相互配合，将有助于网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平。

但是如何确保“白帽子”黑客在经过授权进入网络运营者计算机信息系统后没有复制数据信息等违规行为？对于这个问题，期待后续工信部在技术以及监管体系方面作出更为完善的规定。