黃道麗

引 言

近年來，利用網(wǎng)絡(luò)安全漏洞實施攻擊的安全事件在全球范圍內(nèi)頻發(fā)，給網(wǎng)絡(luò)空間安全帶來了不可逆的危害。網(wǎng)絡(luò)安全漏洞披露已成為網(wǎng)絡(luò)安全風(fēng)險控制的中心環(huán)節(jié)，對于降低風(fēng)險和分化風(fēng)險起著至關(guān)重要的作用。強(qiáng)化網(wǎng)絡(luò)安全漏洞收集、分析、報告、通報等在內(nèi)的風(fēng)險預(yù)警和信息通報工作已成為國家網(wǎng)絡(luò)安全保障的重要組成部分。*2011年《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)規(guī)定“建立信息安全漏洞信息發(fā)布制度。開展工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作，及時發(fā)布有關(guān)漏洞、風(fēng)險和預(yù)警信息”，2012年《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號)強(qiáng)調(diào)“保障工業(yè)控制系統(tǒng)安全。實行安全風(fēng)險和漏洞通報制度”，2016年我國《國家信息化發(fā)展戰(zhàn)略綱要》明確提出“提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢能力，做好等級保護(hù)、風(fēng)險評估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作”，2016年《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》也明確要求“做好漏洞發(fā)現(xiàn)等基礎(chǔ)性工作”。

國內(nèi)外不同主體基于不同動機(jī)和利益驅(qū)動開展了廣泛的網(wǎng)絡(luò)安全漏洞披露實踐并引發(fā)各方對不利法律后果的反思。2016年我國某“白帽子”*“白帽子”是互聯(lián)網(wǎng)中的俚語，是指有道德的電腦黑客或計算機(jī)安全專家。他們擅長用滲透測試和其他測試方法來確保一個組織的信息系統(tǒng)的安全性。“黑帽子”指惡意黑客。白帽黑客也可能會在團(tuán)隊中工作，這些團(tuán)隊被稱為紅隊，或老虎隊。披露世紀(jì)佳緣網(wǎng)站漏洞引發(fā)刑事立案，2017年相繼發(fā)生的WannaCry勒索病毒全球攻擊事件引發(fā)微軟等廠商對美國政府機(jī)構(gòu)未披露漏洞行為的嚴(yán)厲批評*2017年5月勒索軟件攻擊事件波及全球150多個國家，事件緣于美國國家安全局(NSA)利用漏洞“囤積”入侵軟件，攻擊者利用或借鑒了NSA的網(wǎng)絡(luò)武器進(jìn)行攻擊。包括微軟等系統(tǒng)廠商在內(nèi)的產(chǎn)品和服務(wù)提供者對美國相關(guān)政府機(jī)構(gòu)未披露安全漏洞的行為提出了嚴(yán)厲批評，微軟主張網(wǎng)絡(luò)空間也應(yīng)該受到類似對武器的約束，并再次敦促各國盡快達(dá)成“日內(nèi)瓦數(shù)字公約”，保護(hù)平民免受政府力量支持的網(wǎng)絡(luò)黑客攻擊。、網(wǎng)易向未經(jīng)授權(quán)擅自公開披露漏洞細(xì)節(jié)的某“白帽子”發(fā)公開聲明*網(wǎng)易依據(jù)《網(wǎng)絡(luò)安全法》向違法“白帽子”發(fā)聲明。、國家信息安全漏洞共享平臺CNVD公告稱因漏洞的不當(dāng)披露引發(fā)黨政機(jī)關(guān)和重要行業(yè)網(wǎng)站受到大規(guī)模攻擊威脅等事件*2017年7月，國家信息安全漏洞共享平臺CNVD公告稱：2016年4月下旬，在官方發(fā)布S2-032漏洞不到一周時間內(nèi)，發(fā)現(xiàn)漏洞的國內(nèi)安全廠商就公開了漏洞詳細(xì)分析情況，致使利用代碼開始出現(xiàn)并大范圍傳播，導(dǎo)致大規(guī)模攻擊威脅，漏洞詳情的不當(dāng)披露成為了黑客發(fā)起攻擊的“幫手”。2017年3月“兩會”期間，官方發(fā)布S2-045漏洞，利用方法可通過補(bǔ)丁逆向分析獲得且在互聯(lián)網(wǎng)快速傳播。由于漏洞風(fēng)險信息未提前向國內(nèi)網(wǎng)絡(luò)安全主管部門和應(yīng)急組織報告，致使黨政機(jī)關(guān)、重要行業(yè)單位網(wǎng)站在未獲得有效應(yīng)急時間窗口的情況下受到大規(guī)模攻擊威脅。則進(jìn)一步彰顯了網(wǎng)絡(luò)安全漏洞不規(guī)范或非法披露的現(xiàn)實沖擊，安全漏洞合法披露主體、合法披露程序、不當(dāng)披露法律后果等問題成為法律和行業(yè)界共同關(guān)注的焦點。

向不特定的社會公眾披露網(wǎng)絡(luò)安全漏洞可以提升網(wǎng)絡(luò)安全防護(hù)的實時性和有效性，但惡意或非法的網(wǎng)絡(luò)安全漏洞披露同樣為攻擊者提供了可利用的攻擊武器。漏洞發(fā)現(xiàn)之后應(yīng)該由誰披露，怎樣披露，何時披露等問題變得日益復(fù)雜且重要，漏洞披露制度不同，不僅對用戶、提供商、協(xié)調(diào)者等利益相關(guān)方造成的影響有很大差異，更會對國家安全、企業(yè)利益及個人隱私產(chǎn)生深遠(yuǎn)影響。出于國家安全和公共利益的現(xiàn)實考慮，網(wǎng)絡(luò)安全漏洞披露應(yīng)當(dāng)遵循特定規(guī)則，至少在“由誰披露”和“如何披露”這兩個核心問題上滿足國家立法的強(qiáng)制性規(guī)定。我國《網(wǎng)絡(luò)安全法》第二十二條*《網(wǎng)絡(luò)安全法》第二十二條規(guī)定：“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。”、二十六條*《網(wǎng)絡(luò)安全法》第二十六條規(guī)定：“開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定?！?、五十一條*《網(wǎng)絡(luò)安全法》第五十一條規(guī)定：“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?！焙蛧一ヂ?lián)網(wǎng)信息辦公室2017年7月10日發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》第三十五條*《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》第三十五條規(guī)定：“面向關(guān)鍵信息基礎(chǔ)設(shè)施開展安全檢測評估，發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊等安全威脅信息，提供云計算、信息技術(shù)外包等服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)符合有關(guān)要求。具體要求由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?！币烟岢鼍W(wǎng)絡(luò)安全漏洞合法披露的規(guī)則框架和基本要求，但仍然缺乏對于規(guī)則實現(xiàn)的具體設(shè)計，無法為安全漏洞披露行為提供明確指引。

一、網(wǎng)絡(luò)安全漏洞披露的概念與類型

(一)網(wǎng)絡(luò)安全漏洞及其披露的相關(guān)概念

漏洞(Vulnerability)，又稱脆弱性，這一概念的出現(xiàn)已有30多年歷史，技術(shù)、學(xué)術(shù)和產(chǎn)業(yè)界從不同角度給出了不同的定義。目前普遍接受的定義是：漏洞是一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點，是違反某些環(huán)境中安全功能要求的評估對象中的弱點，是在信息系統(tǒng)(包括其安全控制)或其環(huán)境的設(shè)計及實施中的缺陷、弱點或特性。*ISO/IEC SC27.SD6：Glossary of Information Security Terms, International Organization for Standardization (ISO),2009.這些缺陷或弱點可被外部安全威脅*國際標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理系統(tǒng) 綜述和詞匯》(ISO/IEC 27000:2016)延續(xù)了對脆弱性(漏洞)、威脅等概念的定義，將漏洞(Vulnerability)定義為“可為威脅利用的資產(chǎn)或控制的脆弱性”，將威脅定義為“指可能導(dǎo)致系統(tǒng)或組織損害的潛在事件因素(對系統(tǒng)、組織自身而言，這些事件、因素具有外部性)”。利用。漏洞是“非故意”產(chǎn)生的缺陷，具備能被利用而導(dǎo)致安全損害的特性。網(wǎng)絡(luò)安全漏洞具備可利用性*網(wǎng)絡(luò)安全漏洞的存在并不能導(dǎo)致?lián)p害，但是可以被攻擊者利用，從而造成對系統(tǒng)安全的威脅、破壞。網(wǎng)絡(luò)安全漏洞會成為攻擊者進(jìn)入計算機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)篡改或竊取的途徑，也會成為傳播病毒、蠕蟲的通道，往往造成災(zāi)難性后果。、難以避免性*軟硬件自身不斷增加的復(fù)雜性已經(jīng)超越了現(xiàn)有技術(shù)的驗證能力，檢測技術(shù)的發(fā)展不足以在產(chǎn)品上市之前發(fā)現(xiàn)所有漏洞，加上補(bǔ)丁信息發(fā)布的滯后性，當(dāng)前的技術(shù)局限性使得網(wǎng)絡(luò)安全漏洞在很大程度上難以避免。、普遍性*編程過程中出現(xiàn)邏輯錯誤是很普遍的現(xiàn)象，這些錯誤絕大多數(shù)都是由于疏忽造成的。在所有的漏洞類型中，邏輯錯誤所占的比例是最高的，而絕大多數(shù)漏洞是由于疏忽造成的。數(shù)據(jù)處理(例如對變量賦值)比數(shù)值計算更容易出現(xiàn)邏輯錯誤，過小和過大的程序模塊都比中等程序模塊更容易出現(xiàn)錯誤。和長存性等*漏洞問題與時間緊密相關(guān)。隨著時間的推移，舊的漏洞會不斷得到修補(bǔ)或糾正，新的漏洞會不斷出現(xiàn)，因而漏洞問題會長期存在。技術(shù)特征。為強(qiáng)調(diào)漏洞可能導(dǎo)致的網(wǎng)絡(luò)安全風(fēng)險，各界基本將漏洞和網(wǎng)絡(luò)安全漏洞的概念混用不加區(qū)分，漏洞稱之為內(nèi)在的脆弱性，與之相對的是外部安全威脅，內(nèi)部脆弱性和外部安全威脅結(jié)合起來共同構(gòu)成安全風(fēng)險。

針對網(wǎng)絡(luò)安全漏洞本身，盡管國內(nèi)外立法缺少明確的概念界定，但均延續(xù)了傳統(tǒng)信息安全的內(nèi)外兩分法，將網(wǎng)絡(luò)安全漏洞納入安全風(fēng)險和網(wǎng)絡(luò)安全信息范疇予以規(guī)制。在安全風(fēng)險層面，《網(wǎng)絡(luò)安全法》第二十五條*《網(wǎng)絡(luò)安全法》第二十五條規(guī)定：“網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報告?！币?guī)定將系統(tǒng)漏洞(內(nèi)部脆弱性)和計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等外部安全威脅作為整體安全風(fēng)險，強(qiáng)調(diào)了網(wǎng)絡(luò)運營者的風(fēng)險控制和應(yīng)急處置責(zé)任。美國《網(wǎng)絡(luò)安全信息共享法》(CISA)強(qiáng)調(diào)網(wǎng)絡(luò)安全的目的是“保護(hù)信息系統(tǒng)或者使在信息系統(tǒng)存儲、處理、傳輸?shù)男畔⒚庥诰W(wǎng)絡(luò)安全威脅或網(wǎng)絡(luò)安全漏洞的侵害”，也將網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全漏洞并列，作為安全風(fēng)險予以共同防范和控制。其中，更是指明了安全漏洞包括顯示存在安全漏洞的異?；顒?。相比之下，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》第三十五條*《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》第三十五條規(guī)定：“面向關(guān)鍵信息基礎(chǔ)設(shè)施開展安全檢測評估，發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊等安全威脅信息，提供云計算、信息技術(shù)外包等服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)符合有關(guān)要求?！币?guī)定將漏洞納入“安全威脅信息”范疇，則存在定義使用上縮小化的誤區(qū)。在網(wǎng)絡(luò)安全信息層面，《網(wǎng)絡(luò)安全法》第二十六條通過列舉方式界定了網(wǎng)絡(luò)安全信息的一般范圍，包括系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等，將漏洞作為第一位的網(wǎng)絡(luò)安全信息，也體現(xiàn)了網(wǎng)絡(luò)安全信息承載網(wǎng)絡(luò)安全風(fēng)險的基本功能。

一般來說，漏洞生命周期包括生成、發(fā)現(xiàn)、發(fā)布、流行、修復(fù)、衰敗、消亡利用腳本等7個階段。其中，漏洞發(fā)布即為本文所探討的漏洞披露，一旦漏洞發(fā)現(xiàn)者*安全漏洞處理流程開始于漏洞發(fā)現(xiàn)者，國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全漏洞管理規(guī)范》(GB/T 30276-2013)將“漏洞發(fā)現(xiàn)者”定義為“發(fā)現(xiàn)信息系統(tǒng)中潛在漏洞的個人或組織”。任何使用信息系統(tǒng)及軟件的個人或組織都可能成為漏洞的發(fā)現(xiàn)者。揭示了廠商(或者其他主體)的漏洞，則漏洞披露階段隨即產(chǎn)生，漏洞信息可通過將其發(fā)布到第三方平臺或黑客之間進(jìn)行的秘密交易而完全公開。一般認(rèn)為，漏洞披露是指漏洞信息通過公開渠道告知公眾。國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全漏洞管理規(guī)范》(GB/T 30276-2013)將其定義為“在遵循一定的發(fā)布策略的前提下，對漏洞及其修復(fù)信息進(jìn)行發(fā)布”。《網(wǎng)絡(luò)安全法》即采用“發(fā)布”一詞直接規(guī)定了漏洞披露，其第二十六條規(guī)定：“開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定?！?/p>

(二)網(wǎng)絡(luò)安全漏洞披露的類型

國內(nèi)外網(wǎng)絡(luò)安全漏洞披露實踐已開展多年，網(wǎng)絡(luò)安全漏洞的披露類型一直是安全漏洞披露政策爭議的焦點。在學(xué)者研究及行業(yè)發(fā)展中，網(wǎng)絡(luò)安全漏洞披露被概括為不披露、完全披露和負(fù)責(zé)任披露三種類型。不披露是指漏洞發(fā)現(xiàn)者將安全漏洞保密并不進(jìn)行報告，既不向廠商報告，又不披露給公眾。不披露類型不考慮用戶權(quán)益，漏洞極有可能在黑灰市交易*全球范圍內(nèi)安全漏洞黑色交易已經(jīng)常態(tài)化，美國蘭德公司2014年黑客市場報告《信息犯罪工具與被竊數(shù)據(jù)的市場》指出，“2005年以來黑客社會一直在穩(wěn)定發(fā)展日益成熟，可以預(yù)見，地下市場將繼續(xù)發(fā)展，將更有針對性，并將繼續(xù)創(chuàng)新、適變，繼續(xù)成熟”。，引發(fā)漏洞利用的網(wǎng)絡(luò)安全危險還有可能引發(fā)漏洞利用攻擊。完全披露與不披露正好相反，是指漏洞發(fā)現(xiàn)者將安全漏洞披露給不特定的公眾。完全披露不給廠商充分的時間和警告來解決漏洞，將安全漏洞信息直接暴露于潛在的惡意攻擊者，是爭議較大的披露類型。支持方認(rèn)為它可以迅速及時將缺陷告知用戶，使其在漏洞被利用進(jìn)行攻擊之前禁用受影響的軟硬件以降低損害，并可以敦促廠商及時承認(rèn)并修補(bǔ)漏洞。反對方則認(rèn)為在未與廠商協(xié)商的情況下暴露缺陷無疑會增加用戶系統(tǒng)被廣泛開發(fā)的風(fēng)險，因為即使沒有代碼黑客，也能夠輕松地開發(fā)和編寫漏洞。負(fù)責(zé)任披露，也被稱為有限披露，是指漏洞發(fā)現(xiàn)者以幫助廠商解決安全漏洞問題為出發(fā)點，將安全漏洞報告給廠商。當(dāng)解決方案完備后，廠商公布漏洞同時將補(bǔ)丁發(fā)布給用戶。該類型的漏洞披露更具中立性，細(xì)節(jié)較為復(fù)雜，是前兩種類型的折中和衍生，雖然存在諸多不合理之處，例如在沒有補(bǔ)丁的情況下發(fā)布漏洞，仍然會引來類似完全披露導(dǎo)致的安全問題，但這種披露類型兼顧了用戶和廠商的利益，被更多安全研究人員贊同。負(fù)責(zé)任披露中往往包括了協(xié)調(diào)者參與的協(xié)調(diào)程序。協(xié)調(diào)者是一個中立且獨立的機(jī)構(gòu)，其能夠接收一個或多個廠商的響應(yīng)，具有解決沖突協(xié)調(diào)各方利益的能力，是漏洞發(fā)現(xiàn)者、公眾、用戶及廠商之間的紐帶。國際上比較有代表性的國家級協(xié)調(diào)者包括美國應(yīng)急響應(yīng)小組(US-CERT)、日本國家計算機(jī)應(yīng)急響應(yīng)協(xié)調(diào)中心(JPCERT/CC)、韓國國家網(wǎng)絡(luò)安全中心等，我國中國國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平臺(CNVD)、國家計算機(jī)網(wǎng)絡(luò)入侵防范中心漏洞庫(NCNIPC)等。

近年來，隨著信息共享理念應(yīng)對風(fēng)險的有效性逐漸顯現(xiàn)，網(wǎng)絡(luò)安全漏洞披露的方式以更易于降低威脅的方式演化，網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)與修復(fù)之間所需的時間差和平衡各方需求成為網(wǎng)絡(luò)安全漏洞披露的基本考量，廠商、政府、安全研究人員等主體之間的漏洞安全信息共享成為漏洞披露的重要內(nèi)容。業(yè)界普遍開始用“協(xié)同披露”代替“負(fù)責(zé)任披露”的說法。協(xié)同披露強(qiáng)調(diào)漏洞發(fā)現(xiàn)者、廠商、協(xié)調(diào)者和政府機(jī)構(gòu)等利益相關(guān)方應(yīng)共享安全漏洞信息、協(xié)同工作，積極協(xié)作處置風(fēng)險，共同保障用戶安全、社會公共利益和國家安全。2015年《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》*2015年6月19日，我國32家單位簽署了《漏洞信息披露和處置自律公約》，這是我國在互聯(lián)網(wǎng)領(lǐng)域首個以行業(yè)自律的方式共同規(guī)范安全漏洞信息的接收、處置和發(fā)布的公約。也體現(xiàn)了協(xié)同披露這一理念，其第七條規(guī)定：“漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方和國家應(yīng)急處置協(xié)調(diào)機(jī)構(gòu)應(yīng)協(xié)同一致做好漏洞信息的接收、處置和發(fā)布等環(huán)節(jié)工作，做好漏洞信息披露和處置風(fēng)險管理，避免因漏洞信息披露不當(dāng)和處置不及時而危害到國家安全、社會安全、企業(yè)安全和用戶安全。”

安全漏洞協(xié)同披露強(qiáng)調(diào)用戶安全至上，要求面臨同一風(fēng)險的利益相關(guān)方分享安全信息、協(xié)同共治，實現(xiàn)降低整個群體所面臨的網(wǎng)絡(luò)安全風(fēng)險。在高危安全漏洞日益增多，補(bǔ)丁修復(fù)耗費時間更長的后信息化時代，以信息共享和維護(hù)用戶利益為導(dǎo)向的協(xié)同披露成為一些大型跨國廠商推行的解決方案，例如微軟安全研究中心高級研究總監(jiān)克里斯—貝斯就極力號召協(xié)同披露，*《谷歌公布微軟漏洞 遭微軟炮轟不顧用戶安全》，參見http:∥www.sxdaily.com.cn/n/2015/0114/c408-5601807.html,最后訪問時間：2017年5月30日。類似觀點也在2017年5月WannaCry勒索病毒攻擊事件爆發(fā)后多次重提。在微軟等跨國廠商的推動下，ISO等國際組織發(fā)展了ISO/IEC 29147：Vulnerability disclosure、ISO/IEC 30111：Vulnerability handling processes等若干標(biāo)準(zhǔn)體系，*ISO/IEC 29147為廠商提供了準(zhǔn)備接受外部漏洞報告的指導(dǎo)方針，在列舉漏洞披露的主要利益相關(guān)者和披露具體流程的基礎(chǔ)上，重點討論了漏洞披露政策應(yīng)該考慮的事項，ISO/IEC 30111提供了廠商內(nèi)部調(diào)查和修補(bǔ)漏洞的指導(dǎo)方針和建議。以“最佳實踐”的形式指導(dǎo)廠商構(gòu)建并實施安全漏洞披露制度。

可以看出，從不披露、完全披露、負(fù)責(zé)任披露到協(xié)同披露，安全漏洞披露類型涉及的利益相關(guān)方側(cè)重點各有不同，顯示了漏洞披露過程的復(fù)雜性，也表明調(diào)動各利益相關(guān)方共同治理安全漏洞觀念的逐漸成熟和體系化。總體來說，以上披露類型在國內(nèi)外目前的披露實踐中均有出現(xiàn)，且往往交織在一起。近年來，雖然在一定程度上更多的協(xié)同披露動向正在顯現(xiàn)，但漏洞披露環(huán)境在很多方面仍然是割裂的，相關(guān)問題依然有待解決。鑒于利益相關(guān)方的側(cè)重點有所差異，漏洞披露目前仍然沒有統(tǒng)一的標(biāo)準(zhǔn)，但都應(yīng)以最大限度減少損害的方式進(jìn)行。

二、網(wǎng)絡(luò)安全漏洞披露規(guī)則的域外考察：以美國為例

只要存在不完美的安全軟件，漏洞信息的優(yōu)化配置對于網(wǎng)絡(luò)社會的穩(wěn)定性仍是重要要素。在網(wǎng)絡(luò)安全立法和實踐始終處于領(lǐng)先地位的美國，網(wǎng)絡(luò)安全漏洞披露作為整個網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的關(guān)鍵一環(huán)，早已引起法律和政策上的廣泛關(guān)注。美國涉及安全漏洞信息的直接規(guī)定體現(xiàn)在《計算機(jī)欺詐與濫用法》、《數(shù)字千年版權(quán)法》(DMCA)、《愛國者法》、《2002年關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》和《網(wǎng)絡(luò)安全信息共享法》(CISA)等法律和《關(guān)于提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政命令》等行政文件中，這些法律文件在未經(jīng)授權(quán)披露的法律責(zé)任、強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施漏洞安全保護(hù)、信息共享和例外情況下披露的責(zé)任豁免等方面做了統(tǒng)一規(guī)定。對法律框架下的網(wǎng)絡(luò)安全漏洞披露規(guī)則，美國采取了以政策先行為導(dǎo)向的規(guī)范措施，早期政策主要體現(xiàn)在“以負(fù)責(zé)任披露為核心”的CERT/CC 漏洞披露機(jī)制、國家基礎(chǔ)設(shè)施委員會(NIAC)披露政策和OIS漏洞披露指引中；隨著網(wǎng)絡(luò)安全漏洞的資源性和武器化趨勢成為國際組織和國家政府層面的普遍共識，美國的網(wǎng)絡(luò)安全漏洞披露規(guī)則正在經(jīng)歷以協(xié)同披露為趨勢的現(xiàn)代變革，主要體現(xiàn)在《網(wǎng)絡(luò)安全信息共享法》(CISA)、《商業(yè)與政府信息技術(shù)和工業(yè)控制產(chǎn)品或系統(tǒng)的漏洞裁決政策和程序》(Commercial and Government Information Technology and Industrial Control Product or System Vulnerabilities Equities Policy and Process，簡稱“VEP”)、《2017補(bǔ)丁法案》和落實《瓦森納協(xié)定》的漏洞出口管控等相關(guān)規(guī)定中。

(一)以負(fù)責(zé)任披露為核心的傳統(tǒng)漏洞披露政策及實踐

漏洞披露政策與漏洞披露類型密切相關(guān)，后者是前者的基礎(chǔ)和鋪墊，實踐中適用最廣的漏洞披露類型是制定漏洞披露政策考慮的主要因素。2015年前，美國行業(yè)界廣泛承認(rèn)和支持的是負(fù)責(zé)任披露，當(dāng)時的披露政策也偏重該種類型。美國“以負(fù)責(zé)任披露為核心”的政策包括美國計算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心(CERT/CC)、國家基礎(chǔ)設(shè)施委員會(NIAC)等政府機(jī)構(gòu)制定的框架，以及由大型互聯(lián)網(wǎng)企業(yè)組成的網(wǎng)絡(luò)安全組織(OIS)主導(dǎo)的指引政策等。

CERT/CC 2000年發(fā)布的披露機(jī)制屬于負(fù)責(zé)任披露中較為開放的，偏重于保護(hù)用戶的知情權(quán)。CERT/CC起到的作用類似于第三方政府機(jī)構(gòu)，負(fù)責(zé)將漏洞發(fā)現(xiàn)者報告的漏洞反饋給廠商，督促其測試、研發(fā)補(bǔ)丁，披露期限為收到該漏洞后的45天之后。這里包括一個例外情況，即有證據(jù)表明廠商具有積極的補(bǔ)救漏洞的作為，例如改變其系統(tǒng)組件以降低漏洞被利用的風(fēng)險等，為鼓勵廠商的積極行為可將45天期限延長至90天。該例外情況將廠商的技術(shù)限制、社會責(zé)任心、安全義務(wù)納入考慮范圍，表明了政府機(jī)構(gòu)的中間立場和協(xié)調(diào)的監(jiān)管職責(zé)，較為科學(xué)合理。

NIAC 2004年向總統(tǒng)提交的漏洞披露政策是在調(diào)查、研究實踐基礎(chǔ)上，提出的更全面的漏洞披露政策，包括根據(jù)危害性進(jìn)行漏洞評分、鼓勵公私部門信息共享、漏洞修復(fù)具有優(yōu)先級等。該政策將漏洞信息規(guī)定為敏感機(jī)密的信息，要求對漏洞溝通的所有電子郵件都必須進(jìn)行加密。若漏洞發(fā)現(xiàn)者提交的漏洞信息準(zhǔn)確，則廠商應(yīng)該在7天內(nèi)響應(yīng)并禁止其威脅發(fā)現(xiàn)者，以切實保護(hù)漏洞研究工作者的合法權(quán)益和積極性。

OIS 2004年發(fā)布的漏洞披露指引政策更側(cè)重漏洞報告的響應(yīng)機(jī)制，規(guī)定發(fā)現(xiàn)者向廠商發(fā)送漏洞報告之后，廠商應(yīng)在7個工作日內(nèi)進(jìn)行回復(fù)。研究出補(bǔ)丁之后方可向社會發(fā)布漏洞，為加快研究速度以維護(hù)安全，相關(guān)部門30天內(nèi)可向利益相關(guān)方分享漏洞的詳細(xì)信息。在整個漏洞修補(bǔ)過程中，若發(fā)現(xiàn)者未得到廠商的回復(fù)，則可向廠商發(fā)送一個收到漏洞的確認(rèn)請求，廠商若在3天內(nèi)仍然不予回應(yīng)，發(fā)現(xiàn)者可以尋求第三方協(xié)調(diào)機(jī)構(gòu)的幫助，協(xié)調(diào)過程出現(xiàn)沖突還可進(jìn)一步尋求仲裁，先決條件之一是發(fā)現(xiàn)者和廠商均同意且授權(quán)范圍統(tǒng)一。

從以上典型的漏洞披露政策分析可知，“以負(fù)責(zé)任披露為核心”的美國傳統(tǒng)漏洞披露政策以保護(hù)用戶知情權(quán)為出發(fā)點，在明確漏洞披露周期管理的基礎(chǔ)上重視利益相關(guān)方的協(xié)調(diào)，開始鼓勵公私部門信息共享，同時也注重保護(hù)漏洞發(fā)現(xiàn)者的合法利益和積極性。實踐中廠商也會對善意的漏洞發(fā)現(xiàn)者做出一定程度的讓步，即使以犧牲自身經(jīng)濟(jì)利益為代價，也不愿意引起整個安全研究人員群體的排斥，以防止打壓發(fā)現(xiàn)者尋求其漏洞、改善其軟硬件安全性的主動性。“惠普起訴SnoSoft 公司研究者”一案即體現(xiàn)了這個思路。2002年，惠普公司起訴一家名為SnoSoft的安全研究機(jī)構(gòu)(現(xiàn)更名為Netragard)，認(rèn)為其涉嫌發(fā)現(xiàn)和披露惠普Tru64(惠普的 Unix 操作系統(tǒng))中的22項漏洞，依據(jù)《數(shù)字千年版權(quán)法》(DMCA)，安全研究機(jī)構(gòu)和相關(guān)人員可能面臨高達(dá)50萬美元的罰款和5年監(jiān)禁。但惠普員工和其他相關(guān)人士都警告惠普公司時任CEO Carly Fiorina，公司如果采取強(qiáng)硬立場可能會打壓漏洞研究，對未來惠普軟件造成安全不利的影響，最終惠普公司選擇了撤訴。

此外，“Tornado起訴員工Bret McDanel”一案也反映出對善意漏洞安全研究人員的承認(rèn)。Tornado是美國一家提供網(wǎng)頁郵件和語音郵件服務(wù)的公司，其員工Bret McDanel發(fā)現(xiàn)公司電子郵件系統(tǒng)存在嚴(yán)重網(wǎng)絡(luò)安全漏洞，可導(dǎo)致客戶隱私泄露，McDanel隨即向上級反映，但該漏洞并未得到修復(fù)。McDanel離開Tornado公司6個月后得知該漏洞仍未被修復(fù)，其便向約5 600個客戶發(fā)送匿名郵件披露了該漏洞詳情。2002年，美國法院根據(jù)解釋《計算機(jī)欺詐與濫用法》的相關(guān)條款對McDanel定罪，判處16個月監(jiān)禁。McDanel服刑結(jié)束后，美國法院判定此前對他的起訴存在錯誤并撤銷了定罪，原因在于McDanel是在公司拒絕修復(fù)漏洞之后選擇告知用戶，其目的是為了確保用戶采取安全措施。

(二)以協(xié)同披露為趨勢的現(xiàn)代漏洞披露政策及演化

隨著安全漏洞協(xié)同披露為更多的組織所支持和倡導(dǎo)，政府機(jī)構(gòu)在制定安全漏洞披露規(guī)則時也對其加以吸收，以協(xié)同披露為核心的規(guī)則成為現(xiàn)行美國政策和立法的新趨勢，2015年美國通過的《網(wǎng)絡(luò)安全信息共享法》(CISA)、2016年公開的VEP政策、2017年《補(bǔ)丁法案》體現(xiàn)了這一趨勢。

1. 《網(wǎng)絡(luò)安全信息共享法》(CISA)

《網(wǎng)絡(luò)安全信息共享法》(CISA)是美國關(guān)于網(wǎng)絡(luò)安全信息共享的第一部綜合性立法，也是奧巴馬政府最重要的網(wǎng)絡(luò)安全綜合性立法成果。該法授權(quán)政府機(jī)構(gòu)、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡(luò)安全信息。CISA將共享的網(wǎng)絡(luò)安全信息分為“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”兩大類。*網(wǎng)絡(luò)威脅指標(biāo)信息包括：(1)惡意偵查，包括為收集與網(wǎng)絡(luò)安全威脅或網(wǎng)絡(luò)安全漏洞相關(guān)技術(shù)信息的通信流量異常；(2)突破安全措施或者挖掘網(wǎng)絡(luò)安全漏洞的方法；(3)網(wǎng)絡(luò)安全漏洞，包括顯示網(wǎng)絡(luò)安全漏洞存在的異?；顒?；(4)造成合法訪問信息系統(tǒng)或該系統(tǒng)所存儲、處理或傳輸信息的用戶不經(jīng)意導(dǎo)致安全措施失效或網(wǎng)絡(luò)安全漏洞挖掘的方法；(5)惡意的網(wǎng)絡(luò)命令或控制；(6)安全事件所造成的實際或潛在損害，包括特定安全威脅所造成的信息泄露；(7)其他并非法律禁止披露的網(wǎng)絡(luò)安全威脅；(8)上述情形的任意組合?！胺烙胧笔侵笝z測、防止或減輕信息系統(tǒng)或其所存儲、處理或傳輸信息的已知或者潛在網(wǎng)絡(luò)安全威脅或安全漏洞的行為、設(shè)備、程序、簽名、技術(shù)或其他措施。參見CISA.Sec.102(6)和CISA.Sec.102(6)。網(wǎng)絡(luò)威脅指標(biāo)實質(zhì)即為直接的漏洞威脅和與漏洞相關(guān)的其他威脅，防御措施則是針對網(wǎng)絡(luò)威脅指標(biāo)做出的技術(shù)和其他措施的回應(yīng)。總體來說，CISA圍繞“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”建立了美國網(wǎng)絡(luò)安全信息共享的基本框架。CISA鼓勵私企與美國政府實時共享網(wǎng)絡(luò)安全威脅信息，特別規(guī)定了私主體共享信息的責(zé)任豁免；對于通過合法共享而獲得的網(wǎng)絡(luò)威脅指標(biāo)和防御措施，聯(lián)邦政府基于識別網(wǎng)絡(luò)安全威脅或者安全漏洞的需要可以披露。

具體而言，如果將披露視為共享的一種特殊方式，那么CISA建立的網(wǎng)絡(luò)安全威脅信息共享框架事實上可以延及漏洞披露的規(guī)范體系，目標(biāo)在于確保相關(guān)機(jī)構(gòu)具備并保持與信息安全相協(xié)調(diào)的實時共享網(wǎng)絡(luò)安全威脅指標(biāo)的能力。CISA規(guī)定私人實體享有監(jiān)控和獲取網(wǎng)絡(luò)安全威脅信息，當(dāng)然也包括安全漏洞信息的權(quán)利，但除其自身信息系統(tǒng)外，對其他信息系統(tǒng)中網(wǎng)絡(luò)安全威脅信息的監(jiān)控、獲取、使用和共享均以事先授權(quán)為基礎(chǔ)，并且該授權(quán)需要獲得書面同意?？梢哉J(rèn)為，CISA建立一套“授權(quán)——發(fā)現(xiàn)——共享”的網(wǎng)絡(luò)安全威脅信息共享的合規(guī)路徑，在賦予私人主體發(fā)現(xiàn)和共享網(wǎng)絡(luò)安全威脅信息權(quán)利的同時，將其行為的合法性邊界限制在法律規(guī)定和授權(quán)基礎(chǔ)的范圍內(nèi)。根據(jù)CISA的規(guī)定，向聯(lián)邦政府提供網(wǎng)絡(luò)安全威脅指標(biāo)和防御措施必須基于特定的目的，包括維護(hù)網(wǎng)絡(luò)安全，識別網(wǎng)絡(luò)安全威脅或安全漏洞來源，識別外國敵對人員或恐怖分子使用信息系統(tǒng)造成的網(wǎng)絡(luò)安全威脅，應(yīng)對、制止或緩解由恐怖行為或使用大規(guī)模殺傷性武器產(chǎn)生的威脅，預(yù)防、調(diào)查和起訴犯罪等等。

盡管CISA并非專門針對安全漏洞信息披露而設(shè)計共享框架，但其相關(guān)舉措仍然衍生出一條重要的安全漏洞信息披露原則，即合法披露原則。雖然私人實體被賦予了廣泛的網(wǎng)絡(luò)安全威脅信息的發(fā)現(xiàn)和共享權(quán)利，但這一權(quán)利的實現(xiàn)需要滿足兩個必要的前提，即合法目的和行為授權(quán)，這對于建立我國安全漏洞信息披露的相關(guān)制度具有重要的指導(dǎo)意義。

2. VEP政策

奧巴馬政府時期，美國聯(lián)邦調(diào)查局、國家安全局等政府機(jī)構(gòu)一方面通過采購、收集等方式進(jìn)行網(wǎng)絡(luò)安全漏洞的攻擊性研究和儲備，另一方面制定和施行VEP政策，評判收集到的漏洞對網(wǎng)絡(luò)安全、信息保障、情報、執(zhí)法、國防和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的影響，裁決是披露已經(jīng)獲得或發(fā)現(xiàn)的安全漏洞，還是保留安全漏洞用于情報、執(zhí)法或者其他目的。VEP整體內(nèi)容在美國現(xiàn)行制度下仍屬于“國家秘密”信息，直至2016年才向公眾公布其中一部分。

依據(jù)VEP公開的規(guī)定，美國政府實體對于任何來源的網(wǎng)絡(luò)安全漏洞信息裁決程序如下：第一，基于漏洞分級，在觸發(fā)特定閾值時向國家安全局指定擔(dān)任的執(zhí)行秘書長通報；第二，執(zhí)行秘書長通知政府相關(guān)的利益相關(guān)方，指定特定聯(lián)絡(luò)人，由各方反饋是否啟動裁決程序；第三，提出裁決要求的所有利益相關(guān)方指派特定專家參與討論，并向裁決審查委員會(Equities Review Board)提供決策建議；第四，裁決審查委員會做出如何響應(yīng)漏洞的傾向性決定，如有利益相關(guān)方異議，則該機(jī)構(gòu)可向某特定內(nèi)設(shè)機(jī)構(gòu)提出申訴。

VEP規(guī)定體現(xiàn)出這一階段美國網(wǎng)絡(luò)安全漏洞披露政策的三大特點：第一，網(wǎng)絡(luò)安全漏洞的來源十分廣泛。VEP政策下的漏洞來自政府軟硬件、商用軟硬件、工控系統(tǒng)、國家安全系統(tǒng)等任何可能存在網(wǎng)絡(luò)安全漏洞的場景，包括開源軟件等。第二，網(wǎng)絡(luò)安全信息呈單向線性流動。由于政府在政策制定和執(zhí)行中的主導(dǎo)作用，任何來源的網(wǎng)絡(luò)安全漏洞信息只限于在政府及相關(guān)實體中共享和決策，在VEP裁決之前，限制向政府之外的實體披露網(wǎng)絡(luò)安全漏洞，政府(包括關(guān)鍵基礎(chǔ)設(shè)施)的利益保障具有絕對的優(yōu)先性。第三，國家安全局具有多重身份和相當(dāng)?shù)淖杂刹昧繖?quán)。VEP規(guī)定，“國家安全局對其認(rèn)證或批準(zhǔn)的或具有密碼功能的設(shè)備、系統(tǒng)等中漏洞附有前置性安全審查義務(wù)，因此亦應(yīng)當(dāng)盡快向其報告，并由其履行適當(dāng)?shù)腣EP程序”，由于密碼應(yīng)用的普遍性、政府軟硬件認(rèn)證或批準(zhǔn)的強(qiáng)制性、接受報告的優(yōu)先性，此規(guī)定實際上賦予了國家安全局決斷和裁量網(wǎng)絡(luò)安全漏洞的絕對壟斷權(quán)力。

綜合CISA和VEP政策可以發(fā)現(xiàn)，VEP政策賦予了美國國家安全局裁決網(wǎng)絡(luò)安全漏洞的絕對權(quán)力，供其決斷的安全漏洞來源廣泛且信息共享更多限于政府實體范圍，與CISA所倡導(dǎo)的公私實時共享威脅信息理念存在一定的沖突。2017年5月全球勒索軟件攻擊事件發(fā)生后，美國國家安全局因其披露或保留漏洞用于情報收集目的的行為飽受爭議，也引發(fā)美國政府對國家安全局主導(dǎo)的VEP政策的審查與反思。

3. 2017年補(bǔ)丁法案

為將VEP政策正式納入立法范疇，進(jìn)一步規(guī)范政府、廠商等披露主體的行為，同時解決CISA法案和VEP政策在安全漏洞信息共享和披露實施方面的銜接問題，2017年5月17日，美國國會提出了一項新法案——《2017反黑客保護(hù)能力法案》(ProtectingOurAbilitytoCounterHackingActof2017)，該法案也被稱為《2017補(bǔ)丁法案》(Patch Act of 2017)。

總體來說，2017年補(bǔ)丁法案在“是否披露”和“如何披露”兩個核心問題上體現(xiàn)出美國政府對VEP政策的改進(jìn)。首先，補(bǔ)丁法案改變了漏洞披露裁決的頂層決策機(jī)制，實現(xiàn)了從國家安全局到國土安全部主導(dǎo)的過渡。補(bǔ)丁法案規(guī)定，由國土安全部長(或其指定人員)擔(dān)任的“漏洞裁決審查委員會”主席代替VEP政策中國家安全局指定的執(zhí)行秘書長，“漏洞裁決審查委員會”主席與聯(lián)邦調(diào)查局、國家情報總監(jiān)、中央情報局、國家安全局，以及商務(wù)部、國務(wù)院、財政部、能源部和聯(lián)邦貿(mào)易委員會的指定人員等共同組成漏洞裁決審查委員會。這一決策主體的變化用意在于增加透明度，規(guī)避公眾對國家安全局的敏感性。其次，補(bǔ)丁法案增加了推定披露程序。法案規(guī)定將通過制定標(biāo)準(zhǔn)，指引對推定披露程序的適用，以此彌合常規(guī)披露與“黑市披露”之間的時間差。但由于最終由國土安全部長代表聯(lián)邦政府實施披露，因此其有效性仍有待觀察和評估。再次，補(bǔ)丁法案加大了向廠商的安全漏洞披露傾向。法案規(guī)定，如果漏洞裁決審查委員會決定向特定廠商披露，則應(yīng)當(dāng)向國土安全部長實施披露。此種情形屬于向特定人的有限披露。最后，補(bǔ)丁法案規(guī)定，對于裁決禁止披露，但因任何原因進(jìn)入公眾領(lǐng)域的網(wǎng)絡(luò)安全漏洞，應(yīng)按照CISA制定的程序?qū)嵤?/p>

4.《瓦森納協(xié)定》

在美國VEP政策制定和實施的同一時期，國際層面正式開始將網(wǎng)絡(luò)安全漏洞納入網(wǎng)絡(luò)武器范疇管理。2013年12月，41個成員國參與的多邊出口管控體制《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納安排》(簡稱《瓦森納協(xié)定》)*《瓦森納協(xié)定》是美國主導(dǎo)的一項多邊出口管控體制，對于兩用貨物和技術(shù)的出口要求許可證，包括軍用設(shè)備、特殊物質(zhì)等。修訂附加條款，將一些特殊的入侵軟件列入其兩用物項清單中。為落實《瓦森納協(xié)定》的附加條款，2015年5月20日，美國商務(wù)部下屬的工業(yè)與安全局(BIS)提出實施規(guī)則草案《2013年〈瓦森納協(xié)議〉全會決議的執(zhí)行：入侵和檢測物項》，草案界定入侵軟件包括“計算機(jī)和具有網(wǎng)絡(luò)功能的設(shè)備使用入侵軟件而識別漏洞的網(wǎng)絡(luò)滲透測試產(chǎn)品在內(nèi)”，擬將入侵軟件納入美國《出口管理條例(EAR)》的管控范圍。*值得繼續(xù)關(guān)注的是，美國產(chǎn)業(yè)界和研究人員認(rèn)為入侵軟件的定義過于寬泛和模糊，將會導(dǎo)致難以快速共享防御性工具并修復(fù)漏洞，影響美國網(wǎng)絡(luò)安全，一直致力于推動美國政府提議放寬入侵軟件的出口限制，此項努力得到了美國政府的認(rèn)可。2016年12月的《瓦森納協(xié)定》會議上，美國政府提議做放寬修訂，但其他39個國家沒有達(dá)成一致意見。如果草案施行，美國企業(yè)或個人向境外廠商披露安全漏洞是一種出口行為，需預(yù)先申請政府許可，否則將被視為非法，美國廠商舉辦的安全漏洞懸賞計劃也不例外。*漏洞懸賞計劃已經(jīng)成為企業(yè)和政府尋找漏洞的重要舉措，如谷歌的“安卓系統(tǒng)漏洞安全漏洞獎勵計劃”、惠普的“零日計劃”、VeriSign的“安全漏洞貢獻(xiàn)者計劃”。事實上，該實施規(guī)則草案的負(fù)面影響已經(jīng)有所體現(xiàn)，2015年9月，惠普一名發(fā)言人在郵件中表示，由惠普零日計劃(ZDI)組織的Pwn2Own 安全競賽“由于獲得實時進(jìn)出口許可的復(fù)雜性，ZDI已經(jīng)通知承辦方，今年11月份的PacSecWest將不再舉行”。

《瓦森納協(xié)定》和美國BIS的新規(guī)說明，網(wǎng)絡(luò)安全漏洞的資源性和武器化趨勢已成為國際和國家層面的普遍共識，網(wǎng)絡(luò)安全漏洞披露規(guī)制的制定上升到與國家安全和政治利益密切相關(guān)的高度，VEP政策的秘密施行、2017年補(bǔ)丁法案的提出和改進(jìn)進(jìn)一步印證了這一點。

(三)美國網(wǎng)絡(luò)安全漏洞披露規(guī)則的主要特點

考察美國網(wǎng)絡(luò)安全漏洞披露規(guī)則的具體設(shè)計、實踐情況和演變趨勢，本文認(rèn)為，可概括出以下特點：

第一，高度重視網(wǎng)絡(luò)安全漏洞披露問題，很早在法律和政策中分別對網(wǎng)絡(luò)安全漏洞披露問題進(jìn)行規(guī)定，并根據(jù)形勢變化不斷做出調(diào)整，總體呈現(xiàn)從負(fù)責(zé)任披露到協(xié)同披露變革的趨勢；第二，網(wǎng)絡(luò)安全漏洞披露過程中注重充分保護(hù)用戶知情權(quán)，強(qiáng)調(diào)政府機(jī)構(gòu)主導(dǎo)下廠商、安全研究人員、用戶等利益相關(guān)方的利益協(xié)調(diào)；第三，基于刑法和知識產(chǎn)權(quán)法對未經(jīng)授權(quán)的漏洞發(fā)現(xiàn)和披露行為予以規(guī)制，實踐中也注重保護(hù)善意漏洞發(fā)現(xiàn)和披露者的合法利益和積極性；第四，鼓勵政府機(jī)構(gòu)、企業(yè)和公眾在法定條件和程序下實時共享網(wǎng)絡(luò)安全信息，授權(quán)聯(lián)邦政府披露合法共享的安全漏洞信息；第五，將安全漏洞作為網(wǎng)絡(luò)空間戰(zhàn)的戰(zhàn)略資源和博弈資本，網(wǎng)絡(luò)安全漏洞披露規(guī)則的制定上升到與國家安全和政治利益密切相關(guān)的高度；第六，構(gòu)建國家層面統(tǒng)一的網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)和決策機(jī)制，并積極推動從政策到立法的轉(zhuǎn)變。

三、我國網(wǎng)絡(luò)安全漏洞披露規(guī)則體系設(shè)計

(一)我國網(wǎng)絡(luò)安全漏洞披露立法現(xiàn)狀

截至目前，我國現(xiàn)有立法對網(wǎng)絡(luò)安全漏洞披露的規(guī)定還不完善，相關(guān)規(guī)定散見在《刑法》《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》等法律法規(guī)中。《刑法》第二百八十五條和第二百八十六條規(guī)定了未經(jīng)授權(quán)訪問計算機(jī)信息系統(tǒng)的刑事責(zé)任，2016年某“白帽子” 披露世紀(jì)佳緣網(wǎng)站漏洞事件更多體現(xiàn)了《刑法》對“白帽子”未經(jīng)授權(quán)的漏洞發(fā)現(xiàn)行為而非披露行為的否定評價，*對于安全漏洞發(fā)現(xiàn)而言，是否經(jīng)由授權(quán)在刑事歸責(zé)上具有決定性意義，甚至超越了對主觀故意要件的考慮。且引起了對行為人善惡意動機(jī)的學(xué)界爭議。對惡意披露網(wǎng)絡(luò)安全漏洞的行為，學(xué)界普遍認(rèn)為，惡意公布、售賣安全漏洞行為因為無限放大了黑客攻擊行為而使其本身具有巨大的社會危害性，此種危害性必將隨著計算機(jī)和網(wǎng)絡(luò)在社會各個方面使用的更加普遍化和深入化而得到凸顯，在這種形勢下，應(yīng)當(dāng)將此類行為加以入罪化處置。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》第十六條在延續(xù)《刑法》第二百八十五條和第二百八十六條規(guī)定的基礎(chǔ)上進(jìn)一步提出，“任何個人和組織未經(jīng)授權(quán)不得對關(guān)鍵信息基礎(chǔ)設(shè)施開展?jié)B透性、攻擊性掃描探測”，第三十五條在《網(wǎng)絡(luò)安全法》第二十六條基礎(chǔ)上細(xì)化，規(guī)定“面向關(guān)鍵信息基礎(chǔ)設(shè)施開展安全檢測評估，發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊等安全威脅信息，提供云計算、信息技術(shù)外包等服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)符合有關(guān)要求”，同時授權(quán)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定相關(guān)規(guī)定。雖然該條例目前還處于征求意見稿階段，但這兩條規(guī)定從關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)層面強(qiáng)化了安全漏洞發(fā)現(xiàn)和披露行為的規(guī)制，意義十分重大。

2017年6月1日開始施行的《網(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)空間安全基本保障法高度認(rèn)識到了網(wǎng)絡(luò)安全漏洞披露的重要性，第二十二條規(guī)定了產(chǎn)品和服務(wù)提供者對自身漏洞的告知和報告義務(wù)，第二十六條對第三方未經(jīng)授權(quán)發(fā)布他人系統(tǒng)漏洞行為進(jìn)行了初步規(guī)定，第五十一條強(qiáng)調(diào)由國家統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息，從產(chǎn)品和服務(wù)提供者、第三方和國家三個主體層面規(guī)定了我國網(wǎng)絡(luò)安全漏洞披露的基本要求，但其具體規(guī)則設(shè)計有待條文中“國家有關(guān)規(guī)定”和“規(guī)定”等方面的進(jìn)一步細(xì)化和完善。

(二)網(wǎng)絡(luò)安全披露規(guī)則的體系設(shè)計構(gòu)想

網(wǎng)絡(luò)安全漏洞披露作為網(wǎng)絡(luò)空間治理的關(guān)鍵一環(huán)，其重要性在于：一方面，網(wǎng)絡(luò)安全漏洞的危害性由互聯(lián)網(wǎng)的迅速傳播而被放大，不規(guī)范或非法披露會損害用戶、企業(yè)和公共利益，甚至威脅包括關(guān)鍵信息基礎(chǔ)設(shè)施安全等在內(nèi)的國家安全；另一方面，通過對網(wǎng)絡(luò)安全漏洞資源的合法披露、報告和利用，能夠及時預(yù)警和有效管控網(wǎng)絡(luò)安全風(fēng)險，推動網(wǎng)絡(luò)安全相關(guān)產(chǎn)業(yè)的創(chuàng)新，同時也能為執(zhí)法活動和提升國家安全反制能力提供重要的技術(shù)保障。本文建議，借鑒美國網(wǎng)絡(luò)安全漏洞披露規(guī)則在內(nèi)的設(shè)計和論證經(jīng)驗，結(jié)合我國執(zhí)法的實踐和特點，以協(xié)同披露為導(dǎo)向，完善我國《網(wǎng)絡(luò)安全法》框架下的廠商、第三方漏洞披露平臺和政府機(jī)構(gòu)的職責(zé)設(shè)置，圍繞安全漏洞披露主體、披露對象、披露程序和披露的責(zé)任豁免進(jìn)行網(wǎng)絡(luò)安全漏洞披露規(guī)則體系的設(shè)計。

1.網(wǎng)絡(luò)安全漏洞披露的主體

除了不披露，完全披露、負(fù)責(zé)任披露和協(xié)同披露類型都涉及披露主體。安全漏洞披露主體和漏洞發(fā)現(xiàn)者直接相關(guān)，漏洞發(fā)現(xiàn)者已從早期的廠商擴(kuò)大到安全研究人員、安全公司、政府、黑客、恐怖組織和“白帽子”等，以上人員均可能在發(fā)現(xiàn)安全漏洞后基于不同的動機(jī)予以披露。由于網(wǎng)絡(luò)安全漏洞披露實踐中主體的廣泛參與和多重角色，因此在構(gòu)建網(wǎng)絡(luò)安全漏洞披露規(guī)則時應(yīng)首先明確合法披露主體。本文認(rèn)為，安全漏洞合法披露主體包括以下幾類：

(1)廠商。即《網(wǎng)絡(luò)安全法》中的產(chǎn)品和服務(wù)提供者。廠商對自身的軟硬件負(fù)有產(chǎn)品責(zé)任和安全保障義務(wù)，因此是最初始意義上的安全漏洞發(fā)現(xiàn)者和最無爭議的安全漏洞披露主體。《網(wǎng)絡(luò)安全法》第二十二條明確了廠商向用戶和有關(guān)主管部門披露安全漏洞的安全義務(wù)。

(2)政府機(jī)構(gòu)。政府機(jī)構(gòu)作為合法漏洞披露主體，可包括兩個層次：第一，國家級安全漏洞披露平臺。中國國家信息安全漏洞庫(CNNVD)和國家信息安全漏洞共享平臺(CNVD)承擔(dān)國家統(tǒng)一的安全漏洞收集、發(fā)布、驗證、分析、通報、修補(bǔ)等工作，是我國國家級漏洞披露主體代表。第二，安全漏洞披露協(xié)調(diào)和決策機(jī)構(gòu)。《網(wǎng)絡(luò)安全法》第五十一條明確了我國網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報的工作機(jī)制，網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?？煽紤]依據(jù)此條建立我國國家層面統(tǒng)一的跨部門、多機(jī)構(gòu)網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)與共同決策機(jī)制，賦予網(wǎng)信部門類似VEP政策中國家安全局和2017年補(bǔ)丁法案中國土安全部的職責(zé)，充分發(fā)揮“國家網(wǎng)絡(luò)與信息安全信息通報中心”*國家網(wǎng)絡(luò)與信息安全信息通報中心2004年8月經(jīng)中編辦正式批準(zhǔn)成立，負(fù)責(zé)重要敏感期、重大政治活動和重大網(wǎng)絡(luò)安全事件的信息通報工作。，主導(dǎo)我國網(wǎng)絡(luò)安全漏洞披露協(xié)調(diào)與決策工作。

(3)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。我國網(wǎng)絡(luò)安全專業(yè)服務(wù)快速發(fā)展，專業(yè)機(jī)構(gòu)開展網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)、網(wǎng)絡(luò)運行管理等方面的安全認(rèn)證、檢測和風(fēng)險評估業(yè)務(wù)，在提升網(wǎng)絡(luò)安全保障能力方面發(fā)揮了重大作用。為進(jìn)一步發(fā)揮網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的作用，《網(wǎng)絡(luò)安全法》將“網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)”納入責(zé)任主體范疇，鼓勵企業(yè)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險評估工作；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》賦予網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中更多的工作內(nèi)容，并鼓勵其參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享。網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在網(wǎng)絡(luò)安全漏洞披露中可以協(xié)調(diào)廠商、漏洞發(fā)現(xiàn)者和政府機(jī)構(gòu)的關(guān)系，構(gòu)建漏洞發(fā)現(xiàn)與披露的協(xié)議范式，可以依法與政府機(jī)構(gòu)、廠商、研究機(jī)構(gòu)共享網(wǎng)絡(luò)安全信息，同時能夠為政府機(jī)構(gòu)的漏洞披露與裁決提供專業(yè)的技術(shù)支持。近年來補(bǔ)天漏洞響應(yīng)平臺、漏洞盒子、烏云等第三方漏洞披露平臺在國內(nèi)興起，但因商業(yè)運作模式、安全漏洞披露機(jī)制和透明度等問題的存在，第三方漏洞披露平臺目前仍處于法律的灰色地帶。本文認(rèn)為，第三方漏洞披露平臺應(yīng)以成為專業(yè)的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)為發(fā)展方向，成為符合法律要求的責(zé)任主體。

2.網(wǎng)絡(luò)安全漏洞披露的對象

網(wǎng)絡(luò)安全漏洞披露應(yīng)當(dāng)有具體的披露對象，具體包括兩類：第一，網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的用戶。用戶是產(chǎn)品和服務(wù)的直接使用者，也是安全風(fēng)險發(fā)生后的直接受害者。依據(jù)《合同法》、《消費者權(quán)益保護(hù)法》等法律規(guī)定，用戶擁有對網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的知情權(quán)。美國網(wǎng)絡(luò)安全披露政策中一直強(qiáng)調(diào)保護(hù)用戶的合法知情權(quán)，協(xié)同披露類型中更是強(qiáng)調(diào)用戶利益和安全至上?！毒W(wǎng)絡(luò)安全法》也再次明確了用戶是安全漏洞披露的對象，其第二十二條要求產(chǎn)品和服務(wù)提供者按照規(guī)定及時披露用戶漏洞風(fēng)險，并規(guī)定了產(chǎn)品和服務(wù)提供者違反告知義務(wù)的法律責(zé)任。第二，政府機(jī)構(gòu)。《網(wǎng)絡(luò)安全法》第二十二條同時要求產(chǎn)品和服務(wù)提供者向有關(guān)主管部門報告漏洞。在現(xiàn)行立法框架下，國家網(wǎng)信部門、國務(wù)院公安、國家安全、國家保密行政管理、國家密碼管理和國家行業(yè)主管或監(jiān)管部門等均有可能是此條規(guī)定的“有關(guān)主管部門”。本文認(rèn)為，政府機(jī)構(gòu)基于第二十二條獲得的網(wǎng)絡(luò)安全漏洞信息，不僅構(gòu)成《網(wǎng)絡(luò)安全法》第五十一條中監(jiān)測預(yù)警信息的重要組成部分，也可成為我國安全漏洞披露協(xié)調(diào)和決策機(jī)制工作的重要信息來源。

值得一提的是，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的平臺模式，既可能是安全漏洞披露的主體，同時也可能成為安全漏洞披露的對象，其在漏洞協(xié)同披露的具體設(shè)計中起到極其重要的承接功能，一方面通過接收安全漏洞發(fā)現(xiàn)者的漏洞信息(自身也兼具漏洞發(fā)現(xiàn)功能)，另一方面則需要按照《網(wǎng)絡(luò)安全法》等規(guī)定履行披露的相關(guān)義務(wù)；圍繞網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)構(gòu)建漏洞協(xié)調(diào)披露機(jī)制，將成為我國網(wǎng)絡(luò)安全漏洞治理的關(guān)鍵一環(huán)。

3.網(wǎng)絡(luò)安全漏洞披露的方式

《網(wǎng)絡(luò)安全法》第二十二條、二十六條和五十一條提出了我國安全漏洞規(guī)制的四項基本要求，即告知、報告、發(fā)布和通報。本文認(rèn)為，告知、報告、發(fā)布和通報構(gòu)成了我國安全漏洞披露的四種基本方式，可對其規(guī)定內(nèi)涵和具體實施進(jìn)一步細(xì)化。第一，《網(wǎng)絡(luò)安全法》第二十二條規(guī)定的“告知”行為對象是用戶，指網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者基于產(chǎn)品、服務(wù)的漏洞“缺陷”向用戶承擔(dān)的初始義務(wù)和追責(zé)依據(jù)?！案嬷毙袨閮?nèi)容包括說明某個產(chǎn)品或服務(wù)存在安全漏洞這一事實、漏洞缺陷可能造成的后果及用戶可以采取的降低風(fēng)險的措施、補(bǔ)丁修復(fù)或者找到其他解決辦法之后的事后信息等。值得注意的是，這里的用戶對象應(yīng)基于不同利益進(jìn)行優(yōu)先性劃分，考量涉及國家秘密、關(guān)鍵信息基礎(chǔ)設(shè)施等不同對象確定告知的范圍與次序。第二，《網(wǎng)絡(luò)安全法》第二十二條規(guī)定的“報告”，明確和完整表述為“向有關(guān)主管部門報告”，根據(jù)網(wǎng)安法第八條的規(guī)定，目前我國形成了網(wǎng)信、工信、公安等部門各司其職并在網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下開展網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作的職責(zé)布局，此處的“有關(guān)主管部門”也包括網(wǎng)信部門、工信部門和公安部門等。“報告”具有向主管部門提交的自下而上性質(zhì)，報告的形式和內(nèi)容上應(yīng)包括對漏洞發(fā)現(xiàn)(含檢測驗證)的報告、漏洞網(wǎng)絡(luò)安全風(fēng)險的監(jiān)測評估報告、漏洞引發(fā)的網(wǎng)絡(luò)安全事件的處置/應(yīng)急報告等。同樣，應(yīng)充分考慮與平衡向主管部門報告、向用戶告知以及向社會發(fā)布三者的范圍與次序。第三，《網(wǎng)絡(luò)安全法》第二十六條規(guī)定的“發(fā)布”，具有向社會不特定人公開的特性。此概念對應(yīng)于傳統(tǒng)漏洞披露的“完全披露”類型，向社會發(fā)布會引發(fā)不可逆的各種可能，一旦發(fā)布，將對“告知”與“報告”產(chǎn)生直接影響。因此，《網(wǎng)絡(luò)安全法》要求無論網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者，或網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)“向社會發(fā)布”，均“應(yīng)當(dāng)遵守國家有關(guān)規(guī)定”，強(qiáng)調(diào)對前置程序的規(guī)范審核。第四，《網(wǎng)絡(luò)安全法》第五十一條規(guī)定的“通報”，具有網(wǎng)絡(luò)安全信息共享的特性。其啟動主體、指向?qū)ο蠖紩蚬蚕硪乜紤]的充分性、完備性與否而具有不同體現(xiàn)。

4.網(wǎng)絡(luò)安全漏洞披露的責(zé)任豁免規(guī)定

網(wǎng)絡(luò)安全漏洞披露規(guī)則的設(shè)計應(yīng)充分考慮漏洞發(fā)現(xiàn)者、用戶、廠商、政府機(jī)構(gòu)等相關(guān)主體的利益平衡，并以保障用戶合法權(quán)益、社會公共安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全乃至國家安全為最終目的?？偨Y(jié)美國CISA的規(guī)定可以看出，合法披露是安全漏洞披露的首要原則，其必要前提是目的合法和行為授權(quán)。我國安全漏洞披露同樣應(yīng)該限定在目的合法和行為授權(quán)的框架內(nèi)。安全漏洞披露的責(zé)任豁免是指在形式上符合漏洞披露禁止規(guī)定的行為，由于符合免除責(zé)任的規(guī)定而從安全漏洞披露規(guī)定的適用中排除，以豁免的形式授予相關(guān)主體和行為的合法性。安全漏洞責(zé)任豁免規(guī)定具有維護(hù)網(wǎng)絡(luò)安全、推動網(wǎng)絡(luò)安全產(chǎn)業(yè)的創(chuàng)新、實現(xiàn)多方利益平衡的重要價值。安全漏洞披露的責(zé)任豁免主要包括兩種情形：一是對披露主體的安全研究人員(如“白帽子”等)善意披露安全漏洞行為給予的責(zé)任免除規(guī)定。美國“惠普起訴SnoSoft 公司研究者”和“Tornado起訴員工Bret McDanel”案均表明，無論是廠商還是法院都開始注重安全研究人員的善意動機(jī)，即使廠商出于自身發(fā)展利益考慮，也無法否認(rèn)安全研究人員對網(wǎng)絡(luò)安全的正面影響。二是針對特定行為，視為授權(quán)或授權(quán)追認(rèn)的責(zé)任免除規(guī)定。如美國國防部2016年11月發(fā)布的《安全漏洞披露政策》明確規(guī)定：“安全研究以及漏洞發(fā)現(xiàn)行為充分符合政策中的限制與指導(dǎo)規(guī)定，國防部不會發(fā)起或者支持任何指向的執(zhí)法及民事訴訟活動，且如果除國防部之外的某方進(jìn)行執(zhí)法或者民事訴訟，國防部方面將采取措施以證明行為擁有依據(jù)且并不與政策相違背?！?/p>

以第一種豁免情形為例，《網(wǎng)絡(luò)安全法》中未直接明確安全漏洞善意披露行為的責(zé)任豁免規(guī)定。本文認(rèn)為，我國現(xiàn)階段的安全漏洞披露立法仍處于探索階段，如安全漏洞披露豁免缺乏針對性，將導(dǎo)致法律適用時的不明確，造成豁免規(guī)定濫用，產(chǎn)生與不規(guī)范披露或非法披露同樣的安全風(fēng)險，因此安全漏洞披露豁免規(guī)定應(yīng)該審慎論證和制定，在立法和技術(shù)時機(jī)成熟時，可以考慮通過《網(wǎng)絡(luò)安全法》配套制度設(shè)定安全研究人員(如“白帽子”等)安全漏洞善意披露的責(zé)任豁免規(guī)定。在具體確定豁免條件時，必須基于技術(shù)可控的整體判斷，合理限制善意披露的界限，避免矯枉過正擴(kuò)大適用范圍，如至少應(yīng)綜合考慮安全研究人員的背景、所披露漏洞的危害級別、給廠商和用戶帶來的實際負(fù)面影響等因素。

四、結(jié) 語

“網(wǎng)絡(luò)的絕對安全不具有技術(shù)上的可能性，網(wǎng)絡(luò)安全的破壞者與維護(hù)者之間注定是一個長期博弈的過程”。網(wǎng)絡(luò)安全漏洞披露之上集結(jié)了政府部門、產(chǎn)品和服務(wù)提供者、第三方研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、用戶、黑客或“白帽子”等多方利益相關(guān)者及其協(xié)調(diào)關(guān)系，所有利益相關(guān)者均應(yīng)肩負(fù)起應(yīng)有的法律責(zé)任，共同推動網(wǎng)絡(luò)社會的有序運行。

我國現(xiàn)行立法已提出網(wǎng)絡(luò)安全漏洞合法披露的基本要求，但仍然缺乏對于規(guī)則實現(xiàn)的具體設(shè)計，無法為安全漏洞披露行為提供明確指引。美國很早開始從法律和政策層面構(gòu)建網(wǎng)絡(luò)安全漏洞披露規(guī)制，并根據(jù)情形不斷調(diào)整，呈現(xiàn)從負(fù)責(zé)任披露到協(xié)同披露變革的趨勢，現(xiàn)階段網(wǎng)絡(luò)安全漏洞披露規(guī)則的制定更是上升到與國家安全和政治利益密切相關(guān)的高度。本文建議，借鑒美國網(wǎng)絡(luò)安全漏洞披露規(guī)則設(shè)計及其實踐經(jīng)驗，以協(xié)同披露為導(dǎo)向，完善我國《網(wǎng)絡(luò)安全法》框架下的產(chǎn)品和服務(wù)提供者、第三方漏洞披露平臺和政府機(jī)構(gòu)的職責(zé)設(shè)置，圍繞安全漏洞披露主體、披露對象、披露方式和披露的責(zé)任豁免規(guī)定進(jìn)行網(wǎng)絡(luò)安全漏洞披露規(guī)則體系的論證與設(shè)計。