陳慶春

劍心認(rèn)識(shí)一個(gè)在杭州上大學(xué)的學(xué)生，兩個(gè)人沒(méi)有見過(guò)面，平時(shí)只通過(guò)QQ進(jìn)行交流。此人在QQ上的網(wǎng)名叫“Z++”。Z++的獨(dú)特之處在于，他靠著給Google發(fā)現(xiàn)安全漏洞已是收獲不菲。我與Z++交流時(shí)，他正好在前一天收到了Google寄過(guò)來(lái)的1500美元。在我為此驚嘆時(shí)，Z++發(fā)給我一條信息：“Google和Facebook獎(jiǎng)勵(lì)我發(fā)現(xiàn)漏洞的錢加起來(lái)，應(yīng)該能把大學(xué)所有的花費(fèi)都給報(bào)銷了?！?/p>

說(shuō)起這個(gè)事情，劍心總是透露出一絲酸意，“我們給國(guó)內(nèi)企業(yè)找漏洞，非但沒(méi)有獎(jiǎng)勵(lì)，還經(jīng)常被無(wú)端指責(zé)成‘炫耀、‘惡意，而烏云平臺(tái)自成立以來(lái)沒(méi)收過(guò)一分錢，完全是公益行為?！痹诎踩蔀楸娛钢牡慕裉?，Google獎(jiǎng)勵(lì)漏洞的行為成為中國(guó)企業(yè)解決安全問(wèn)題的一個(gè)榜樣。

獎(jiǎng)勵(lì)漏洞計(jì)劃

Google從2010年10月開始啟動(dòng)獎(jiǎng)勵(lì)漏洞計(jì)劃。谷歌產(chǎn)品安全團(tuán)隊(duì)在官方博客中說(shuō)明了來(lái)意：“該計(jì)劃旨在尋找任何影響用戶數(shù)據(jù)保密性和完整性的嚴(yán)重漏洞。”“希望該計(jì)劃能夠吸引更多的開發(fā)人員，從而確保谷歌的產(chǎn)品更安全?！?/p>

根據(jù)漏洞的嚴(yán)重程度，Google規(guī)定開發(fā)人員所獲得的獎(jiǎng)勵(lì)額度也不盡相同，分為500美元、1000美元、1337美元和3133美元不等。據(jù)悉到目前為止，谷歌已經(jīng)累計(jì)發(fā)放了72.9萬(wàn)美元獎(jiǎng)金。所涵蓋的谷歌產(chǎn)品包括YouTube、Orkut、Blogger、Google Docs和Gmail等Web產(chǎn)品。日前Google宣布，該計(jì)劃范圍最新增加Chrome OS操作系統(tǒng)。

Facebook則是于去年6月開始向發(fā)現(xiàn)Facebook漏洞的研究人員派送獎(jiǎng)金。根據(jù)漏洞的嚴(yán)重程度，F(xiàn)acebook向其獎(jiǎng)勵(lì)500美元到5000美元不等的現(xiàn)金。至今為止，F(xiàn)acebook已經(jīng)支付了19萬(wàn)美元獎(jiǎng)金。

無(wú)論是72.9萬(wàn)美元還是19萬(wàn)美元，對(duì)Google和Facebook來(lái)說(shuō)都是九牛一毛。但這種獎(jiǎng)勵(lì)機(jī)制，讓那些技術(shù)天才有了用武之地，而不用以黑色掩面。據(jù)悉，在推出該項(xiàng)目之前，F(xiàn)acebook每周可以發(fā)現(xiàn)2個(gè)高危漏洞，現(xiàn)在則升至8個(gè)到9個(gè)。一個(gè)與Z++一樣同是大三學(xué)生的尼爾·普爾，已經(jīng)發(fā)現(xiàn)了15個(gè)Facebook漏洞。善意發(fā)現(xiàn)的漏洞越多，黑勢(shì)力乘虛而入的機(jī)會(huì)就越少。這是一個(gè)簡(jiǎn)單的道理。

在安全隱患暴露之前，做各項(xiàng)防護(hù)準(zhǔn)備，而當(dāng)安全防線失守之后，國(guó)外企業(yè)又采取了怎樣的做法？在IT業(yè)界大凡都知道去年4月份索尼發(fā)生的一起重大泄露事件。索尼PlayStation游戲網(wǎng)絡(luò)遭黑客入侵事件中，索尼PS3和音樂(lè)、動(dòng)畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個(gè)人信息被竊取，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達(dá)7700萬(wàn)人，涉及57個(gè)國(guó)家和地區(qū)。之后一個(gè)月內(nèi)，美國(guó)各級(jí)聯(lián)邦法院就收到至少40起集團(tuán)訴訟，指控索尼未能充分保護(hù)玩家個(gè)人數(shù)據(jù)和信用卡信息。

這類案件通常遵循統(tǒng)一的模式：用戶隱私信息被泄露引發(fā)大規(guī)模訴訟，企業(yè)為了維護(hù)信譽(yù)支付巨額賠償金。最終索尼正式道歉并對(duì)用戶做出補(bǔ)償。追溯更早的一起安全事件，結(jié)果也同樣如此。2004年，日本雅虎約有460萬(wàn)用戶的個(gè)人信息外露，日本雅虎向每位用戶“賠償”6美元購(gòu)物券。

這些有責(zé)任的企業(yè)獎(jiǎng)賠行為，必然帶來(lái)安全的良性循環(huán)。安全本身就是一個(gè)永無(wú)止境的事情，誰(shuí)也不能保證有一天就絕對(duì)安全。做安全是需要日積月累的投入，才能夯實(shí)安全的堡壘。

騰訊安全GM楊勇也很羨慕發(fā)達(dá)國(guó)家對(duì)安全的重視，“國(guó)外有各種各樣的論壇，比如blackhat、bluehat論壇等，讓人感覺(jué)安全是一步一步做出來(lái)的。”楊勇甚至覺(jué)得，在國(guó)外，像Google和Facebook這樣的獎(jiǎng)勵(lì)計(jì)劃還不是最好的模式，因?yàn)槁┒醇?jí)別如何定，可能會(huì)在發(fā)現(xiàn)漏洞者和組織者之間產(chǎn)生間隙，比如發(fā)現(xiàn)者用心險(xiǎn)惡不滿組織者所定級(jí)別，就會(huì)發(fā)生惡意攻擊的行為。所以，他更推崇idefense的模式，即：發(fā)現(xiàn)者向idefense平臺(tái)提供漏洞，由idefense定級(jí)，企業(yè)來(lái)認(rèn)領(lǐng)并進(jìn)入獎(jiǎng)勵(lì)流程。

與國(guó)外企業(yè)所營(yíng)造的安全機(jī)制相比，國(guó)內(nèi)已被落下至少兩個(gè)身位的距離。但國(guó)內(nèi)企業(yè)何時(shí)才能意識(shí)到解決問(wèn)題的關(guān)鍵所在？楊勇覺(jué)得，國(guó)內(nèi)企業(yè)大多先要商業(yè)后要安全，只有當(dāng)消費(fèi)者因?yàn)榘踩珕?wèn)題而放棄這個(gè)企業(yè)，也就是當(dāng)安全成為產(chǎn)品體驗(yàn)的一部分、安全問(wèn)題大幅影響到企業(yè)的商業(yè)收入時(shí)，企業(yè)才會(huì)想到要改一改安全機(jī)制。

回過(guò)頭來(lái)再想想此次CSDN密碼泄露事件的整個(gè)過(guò)程，CSDN等網(wǎng)絡(luò)服務(wù)提供者，既是黑客入侵受害者，對(duì)用戶而言，也是密碼泄露責(zé)任者之一，用戶能否追責(zé)？奇虎360副總裁石曉虹笑著反問(wèn)，“請(qǐng)問(wèn)你的賬號(hào)被泄露，你因此損失了多少財(cái)產(chǎn)？你自己能算清楚嗎？如果算不清楚，連立案都不給你立案，你又怎么追責(zé)？”

從某種程度來(lái)說(shuō)，國(guó)家立法的滯后也縱容了國(guó)內(nèi)企業(yè)的不負(fù)責(zé)任行為。

國(guó)家應(yīng)監(jiān)管

知道英國(guó)汽車品牌勞斯萊斯的人很多，但是知道“紅旗法規(guī)”的人不多。1865年英國(guó)制定了“紅旗法規(guī)”，為了避免汽車的噪音、尾氣污染和行人的不安全因素，該法規(guī)規(guī)定汽車必須有兩人以上參加駕駛，車前方55米處必須有人高舉紅旗或紅燈開路，示意馬車、行人避讓。這條法規(guī)執(zhí)行多年，有人說(shuō)英國(guó)汽車產(chǎn)業(yè)的落后與此法規(guī)有關(guān)。

汽車所帶來(lái)的問(wèn)題，需要的是汽車產(chǎn)業(yè)的技術(shù)創(chuàng)新和整個(gè)社會(huì)交通治理水平的不斷提高，而不是簡(jiǎn)簡(jiǎn)單單的將其拒絕。毫無(wú)疑問(wèn)，對(duì)于信息安全，我們也不能制定所謂的“紅旗法規(guī)”，而是需要整個(gè)產(chǎn)業(yè)和社會(huì)共同努力，才能有一個(gè)安全放心的網(wǎng)絡(luò)環(huán)境。

中國(guó)網(wǎng)絡(luò)法律網(wǎng)首席法律顧問(wèn)趙占領(lǐng)認(rèn)為，《刑法》有明確規(guī)定，入侵計(jì)算機(jī)系統(tǒng)，獲取其中存儲(chǔ)的數(shù)據(jù)或者實(shí)施非法控制的都構(gòu)成犯罪，一般處3年以下有期徒刑，情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑。

趙占領(lǐng)還提出了三個(gè)追責(zé)方向：一是向公關(guān)機(jī)關(guān)報(bào)案，通過(guò)刑事途徑追究黑客的責(zé)任；二是直接向黑客索賠，前提是查出黑客真實(shí)身份，目前僅靠個(gè)人力量很有難度；三是看看網(wǎng)站有沒(méi)有過(guò)錯(cuò)，有沒(méi)有盡到基本的信息安全保障義務(wù)，有過(guò)錯(cuò)的話可以向網(wǎng)站索賠。

但是，黑客是誰(shuí)？另外，《刑法》的適用門檻比較高，需要“違反國(guó)家規(guī)定”和“情節(jié)嚴(yán)重”的條件，何況這兩個(gè)條件目前都缺乏相應(yīng)的標(biāo)準(zhǔn)。

同樣的情況，2009年，全國(guó)人大常委會(huì)還出臺(tái)《侵權(quán)責(zé)任法》，規(guī)定網(wǎng)絡(luò)服務(wù)提供者和網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任;網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。2010年，全國(guó)人大常委會(huì)又專門制定了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，重申各種互聯(lián)網(wǎng)違法的刑事責(zé)任和民事責(zé)任。但是，《侵權(quán)責(zé)任法》的適用，在網(wǎng)絡(luò)環(huán)境下，當(dāng)事人舉證非常困難，而且存在成本投入和收益不對(duì)稱的情況。誰(shuí)會(huì)為了一個(gè)賬號(hào)跑斷腿？

事實(shí)上，從當(dāng)前立法來(lái)看，我國(guó)有多部法律法規(guī)都有涉及個(gè)人信息法律保護(hù)的內(nèi)容。同時(shí)，在重要行業(yè)的信息保護(hù)方面，金融、醫(yī)療等重要行業(yè)也有部分個(gè)人數(shù)據(jù)保護(hù)的相關(guān)法律規(guī)定。

但是，整體上我國(guó)并沒(méi)有完整的統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法，個(gè)人數(shù)據(jù)保護(hù)規(guī)則有待完善。《刑法》和《侵權(quán)責(zé)任法》都屬于事后救濟(jì)，在網(wǎng)絡(luò)時(shí)代，由于損害的發(fā)生是系統(tǒng)性的、不可復(fù)原的，所以對(duì)網(wǎng)絡(luò)安全以及個(gè)人信息進(jìn)行全流程的監(jiān)管才更為有效。目前對(duì)于這種全流程的監(jiān)管，中國(guó)既缺乏專門的法律，也沒(méi)有專門的執(zhí)法機(jī)關(guān)，搜集個(gè)人資料的企業(yè)所應(yīng)承擔(dān)的相應(yīng)的安全責(zé)任以及相應(yīng)的信息流管理行為規(guī)范都缺失。

此時(shí)，法國(guó)在流程監(jiān)管上就起到了表率的作用。法國(guó)于1978年通過(guò)了《數(shù)據(jù)處理、檔案與自由法案》，其中第一條明確規(guī)定立法原則：信息應(yīng)該為每一個(gè)公民服務(wù)。其次，獨(dú)立專業(yè)的監(jiān)管機(jī)構(gòu)。國(guó)家信息與自由委員會(huì)（CNIL）為法國(guó)個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)，其為獨(dú)立的行政機(jī)構(gòu)，由1978年個(gè)人信息保護(hù)法案成立。該機(jī)構(gòu)不接受任何其他機(jī)構(gòu)指示，直接向議會(huì)負(fù)責(zé)，其主要職責(zé)在于保護(hù)個(gè)人隱私與自由。

CNIL會(huì)審查管理個(gè)人數(shù)據(jù)：個(gè)人信息的收集與處理通常需要向其申報(bào)或獲得許可。該委員會(huì)具有一系列強(qiáng)制措施。從2004年8月修改該法案后，CNIL對(duì)于違反相關(guān)法律者可以罰款最高至30萬(wàn)歐元或5年監(jiān)禁。CNIL還接受民眾個(gè)人信息與隱私被侵犯等相關(guān)投訴，向政府提出個(gè)人信息保護(hù)相關(guān)立法建議，接受政府在個(gè)人信息保護(hù)立法方面的咨詢。而且會(huì)向數(shù)據(jù)庫(kù)負(fù)責(zé)人提出履行個(gè)人信息保護(hù)義務(wù)的相關(guān)建議。

對(duì)于信息安全方面的事件，網(wǎng)絡(luò)服務(wù)提供商有義務(wù)向CNIL報(bào)告并接受其相關(guān)檢查。在數(shù)據(jù)安全方面，數(shù)據(jù)處理負(fù)責(zé)人必須采取與數(shù)據(jù)性質(zhì)相適應(yīng)的物理安全措施與信息系統(tǒng)安全措施。違反該規(guī)定可能被處于最高30萬(wàn)歐元的罰款及5年的監(jiān)禁。

在法國(guó)實(shí)例的對(duì)照下，我國(guó)即將推行的實(shí)名制，以及公安部對(duì)兩名發(fā)布安全漏洞者的處理方式，均有待商榷。其一，在不安全的情況下實(shí)名制會(huì)造成更大的不安全隱患，韓國(guó)曾于2007年實(shí)施實(shí)名制，在安全隱患的挑戰(zhàn)下，去年不得已又改了回來(lái)；其二，在公安部的處理決定中，首先發(fā)布消息的“臭小子”得到了訓(xùn)誡，發(fā)布京東商城安全漏洞的“我心飛翔”以敲詐罪被刑事拘留，國(guó)外獎(jiǎng)勵(lì)發(fā)現(xiàn)漏洞者，我們則懲罰，這是否是一種堵塞言路的做法？