走向更為安全的互聯網世界

陳慶春

劍心認識一個在杭州上大學的學生，兩個人沒有見過面，平時只通過QQ進行交流。此人在QQ上的網名叫“Z++”。Z++的獨特之處在于，他靠著給Google發現安全漏洞已是收獲不菲。我與Z++交流時，他正好在前一天收到了Google寄過來的1500美元。在我為此驚嘆時，Z++發給我一條信息：“Google和Facebook獎勵我發現漏洞的錢加起來，應該能把大學所有的花費都給報銷了。”

說起這個事情，劍心總是透露出一絲酸意，“我們給國內企業找漏洞，非但沒有獎勵，還經常被無端指責成‘炫耀、‘惡意，而烏云平臺自成立以來沒收過一分錢，完全是公益行為。”在安全成為眾矢之的的今天，Google獎勵漏洞的行為成為中國企業解決安全問題的一個榜樣。

獎勵漏洞計劃

Google從2010年10月開始啟動獎勵漏洞計劃。谷歌產品安全團隊在官方博客中說明了來意：“該計劃旨在尋找任何影響用戶數據保密性和完整性的嚴重漏洞。”“希望該計劃能夠吸引更多的開發人員，從而確保谷歌的產品更安全。”

根據漏洞的嚴重程度，Google規定開發人員所獲得的獎勵額度也不盡相同，分為500美元、1000美元、1337美元和3133美元不等。據悉到目前為止，谷歌已經累計發放了72.9萬美元獎金。所涵蓋的谷歌產品包括YouTube、Orkut、Blogger、Google Docs和Gmail等Web產品。日前Google宣布，該計劃范圍最新增加Chrome OS操作系統。

Facebook則是于去年6月開始向發現Facebook漏洞的研究人員派送獎金。根據漏洞的嚴重程度，Facebook向其獎勵500美元到5000美元不等的現金。至今為止，Facebook已經支付了19萬美元獎金。

無論是72.9萬美元還是19萬美元，對Google和Facebook來說都是九牛一毛。但這種獎勵機制，讓那些技術天才有了用武之地，而不用以黑色掩面。據悉，在推出該項目之前，Facebook每周可以發現2個高危漏洞，現在則升至8個到9個。一個與Z++一樣同是大三學生的尼爾·普爾，已經發現了15個Facebook漏洞。善意發現的漏洞越多，黑勢力乘虛而入的機會就越少。這是一個簡單的道理。

在安全隱患暴露之前，做各項防護準備，而當安全防線失守之后，國外企業又采取了怎樣的做法？在IT業界大凡都知道去年4月份索尼發生的一起重大泄露事件。索尼PlayStation游戲網絡遭黑客入侵事件中，索尼PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息被竊取，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達7700萬人，涉及57個國家和地區。之后一個月內，美國各級聯邦法院就收到至少40起集團訴訟，指控索尼未能充分保護玩家個人數據和信用卡信息。

這類案件通常遵循統一的模式：用戶隱私信息被泄露引發大規模訴訟，企業為了維護信譽支付巨額賠償金。最終索尼正式道歉并對用戶做出補償。追溯更早的一起安全事件，結果也同樣如此。2004年，日本雅虎約有460萬用戶的個人信息外露，日本雅虎向每位用戶“賠償”6美元購物券。

這些有責任的企業獎賠行為，必然帶來安全的良性循環。安全本身就是一個永無止境的事情，誰也不能保證有一天就絕對安全。做安全是需要日積月累的投入，才能夯實安全的堡壘。

騰訊安全GM楊勇也很羨慕發達國家對安全的重視，“國外有各種各樣的論壇，比如blackhat、bluehat論壇等，讓人感覺安全是一步一步做出來的。”楊勇甚至覺得，在國外，像Google和Facebook這樣的獎勵計劃還不是最好的模式，因為漏洞級別如何定，可能會在發現漏洞者和組織者之間產生間隙，比如發現者用心險惡不滿組織者所定級別，就會發生惡意攻擊的行為。所以，他更推崇idefense的模式，即：發現者向idefense平臺提供漏洞，由idefense定級，企業來認領并進入獎勵流程。

與國外企業所營造的安全機制相比，國內已被落下至少兩個身位的距離。但國內企業何時才能意識到解決問題的關鍵所在？楊勇覺得，國內企業大多先要商業后要安全，只有當消費者因為安全問題而放棄這個企業，也就是當安全成為產品體驗的一部分、安全問題大幅影響到企業的商業收入時，企業才會想到要改一改安全機制。

回過頭來再想想此次CSDN密碼泄露事件的整個過程，CSDN等網絡服務提供者，既是黑客入侵受害者，對用戶而言，也是密碼泄露責任者之一，用戶能否追責？奇虎360副總裁石曉虹笑著反問，“請問你的賬號被泄露，你因此損失了多少財產？你自己能算清楚嗎？如果算不清楚，連立案都不給你立案，你又怎么追責？”

從某種程度來說，國家立法的滯后也縱容了國內企業的不負責任行為。

國家應監管

知道英國汽車品牌勞斯萊斯的人很多，但是知道“紅旗法規”的人不多。1865年英國制定了“紅旗法規”，為了避免汽車的噪音、尾氣污染和行人的不安全因素，該法規規定汽車必須有兩人以上參加駕駛，車前方55米處必須有人高舉紅旗或紅燈開路，示意馬車、行人避讓。這條法規執行多年，有人說英國汽車產業的落后與此法規有關。

汽車所帶來的問題，需要的是汽車產業的技術創新和整個社會交通治理水平的不斷提高，而不是簡簡單單的將其拒絕。毫無疑問，對于信息安全，我們也不能制定所謂的“紅旗法規”，而是需要整個產業和社會共同努力，才能有一個安全放心的網絡環境。

中國網絡法律網首席法律顧問趙占領認為，《刑法》有明確規定，入侵計算機系統，獲取其中存儲的數據或者實施非法控制的都構成犯罪，一般處3年以下有期徒刑，情節特別嚴重的，處3年以上7年以下有期徒刑。

趙占領還提出了三個追責方向：一是向公關機關報案，通過刑事途徑追究黑客的責任；二是直接向黑客索賠，前提是查出黑客真實身份，目前僅靠個人力量很有難度；三是看看網站有沒有過錯，有沒有盡到基本的信息安全保障義務，有過錯的話可以向網站索賠。

但是，黑客是誰？另外，《刑法》的適用門檻比較高，需要“違反國家規定”和“情節嚴重”的條件，何況這兩個條件目前都缺乏相應的標準。

同樣的情況，2009年，全國人大常委會還出臺《侵權責任法》，規定網絡服務提供者和網絡用戶利用網絡侵害他人民事權益的，應當承擔侵權責任;網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。2010年，全國人大常委會又專門制定了《關于維護互聯網安全的決定》，重申各種互聯網違法的刑事責任和民事責任。但是，《侵權責任法》的適用，在網絡環境下，當事人舉證非常困難，而且存在成本投入和收益不對稱的情況。誰會為了一個賬號跑斷腿？

事實上，從當前立法來看，我國有多部法律法規都有涉及個人信息法律保護的內容。同時，在重要行業的信息保護方面，金融、醫療等重要行業也有部分個人數據保護的相關法律規定。

但是，整體上我國并沒有完整的統一的個人數據保護法，個人數據保護規則有待完善。《刑法》和《侵權責任法》都屬于事后救濟，在網絡時代，由于損害的發生是系統性的、不可復原的，所以對網絡安全以及個人信息進行全流程的監管才更為有效。目前對于這種全流程的監管，中國既缺乏專門的法律，也沒有專門的執法機關，搜集個人資料的企業所應承擔的相應的安全責任以及相應的信息流管理行為規范都缺失。

此時，法國在流程監管上就起到了表率的作用。法國于1978年通過了《數據處理、檔案與自由法案》，其中第一條明確規定立法原則：信息應該為每一個公民服務。其次，獨立專業的監管機構。國家信息與自由委員會（CNIL）為法國個人數據保護機構，其為獨立的行政機構，由1978年個人信息保護法案成立。該機構不接受任何其他機構指示，直接向議會負責，其主要職責在于保護個人隱私與自由。

CNIL會審查管理個人數據：個人信息的收集與處理通常需要向其申報或獲得許可。該委員會具有一系列強制措施。從2004年8月修改該法案后，CNIL對于違反相關法律者可以罰款最高至30萬歐元或5年監禁。CNIL還接受民眾個人信息與隱私被侵犯等相關投訴，向政府提出個人信息保護相關立法建議，接受政府在個人信息保護立法方面的咨詢。而且會向數據庫負責人提出履行個人信息保護義務的相關建議。

對于信息安全方面的事件，網絡服務提供商有義務向CNIL報告并接受其相關檢查。在數據安全方面，數據處理負責人必須采取與數據性質相適應的物理安全措施與信息系統安全措施。違反該規定可能被處于最高30萬歐元的罰款及5年的監禁。

在法國實例的對照下，我國即將推行的實名制，以及公安部對兩名發布安全漏洞者的處理方式，均有待商榷。其一，在不安全的情況下實名制會造成更大的不安全隱患，韓國曾于2007年實施實名制，在安全隱患的挑戰下，去年不得已又改了回來；其二，在公安部的處理決定中，首先發布消息的“臭小子”得到了訓誡，發布京東商城安全漏洞的“我心飛翔”以敲詐罪被刑事拘留，國外獎勵發現漏洞者，我們則懲罰，這是否是一種堵塞言路的做法？