論網絡安全事件信息披露機制的建構

摘要：伴隨互聯網和信息化的迅猛發展，網絡安全對國家經濟、社會生活甚至國家安全的影響日益增強。與此同時，銀行、電信網絡、政府部門等關鍵基礎設施、大型商業網站、云服務、工業控制系統均日益成為網絡攻擊重點；基礎網絡、重要信息系統、通用軟硬件的漏洞攻擊風險、大型網站數據和個人信息泄露現象嚴重，網絡安全事件頻發，信息披露訴求應運而生。網絡安全事件信息披露機制可有效防控惡意軟件、漏洞風險、數據泄漏等網絡信息安全風險和威脅。為此，為進一步明確網絡空間各主體有效管理和規制網絡安全風險和威脅的責任，建構系統化的網絡安全事件信息披露機制具有現實必要性。

關鍵詞：網絡安全；風險與威脅；信息披露；體系化

中圖分類號：D9228 文獻標志碼：A 文章編號：

10085831（2017）01010906

一、網絡安全事件披露機制的提出與界定

（一）問題的提出

在互聯網全面發展之際，互聯網已深入國家政治、經濟、文化、醫療、教育等社會生產、生活的各個領域，“互聯網+”新時代模式開啟。然而網絡欺詐，政府網站等關鍵基礎設施被攻擊，重要信息被泄露，恐怖分子等不法分子利用互聯網策劃組織暴力恐怖事件等網絡安全事件頻發。當頻發的網絡事件關乎信息系統和信息內容安全，使公民、組織的信息安全以及公共安全和國家安全被威脅時，為了能夠實時控制網絡安全應用過程，提高網絡安全事件治理的透明度，適時的網絡安全事件信息披露就顯得非常必要。此外，網絡安全事件產生因素多樣，產生的風險具有不確定性、不可逆性，而且產生損害的時間非常短，若不能及時告知，則產生的損害將無法恢復和估計。在美國，已有45個州出臺要求公司或政府機構披露入侵有關個人信息事件的法案[1]。2015年6月19日《中國互聯網協會漏洞信息披露和處置自律公約》簽署，包括國家計算機網絡應急技術處理協調中心（CNCERT）、重要行業部門、基礎設施部門、軟硬件廠商以及網絡安全企業等在內的32家單位參與，該公約以行業自律方式規范網絡安全事件之漏洞信息的披露工作。但中國文獻鮮少研究不同部門、機構和人員的網絡安全事件信息披露機制建構問題，而是更多地從技術角度關注安全事件的發現、處置，或者從宏觀視角研究網絡安全保障問題。當網絡安全事件發現及預警通報的信息披露工作在應對網絡安全威脅方面的作用日益凸顯時，以網絡安全治理視角探索系統化的網絡安全事件信息披露機制建構問題就成為值得深思的問題。目前的立法并未對需披露的網絡安全事件進行等級分類，也未涉及多大范圍內披露和披露什么內容以及披露時間等具體規定。

（二）網絡安全事件信息披露機制界定

網絡安全事件主要涉及影響互聯網安全運行的事件、波及較大范圍互聯網用戶事件和涉及政府部門和重要信息系統的事件，事件類型主要包括漏洞、網頁仿冒、網頁篡改、惡意程序、網站后門、網頁掛馬、拒絕服務攻擊等方面。網絡安全事件信息披露機制作為廣義信息披露的一種，其披露的信息范圍即是與特定網絡安全事件相關的風險信息，主要包括信息系統功能性風險和信息安全內容風險。功能性風險主要指針對信息系統實體安全和信息系統運行安全兩個方面。前者指信息系統設備、設施免受破壞；后者指防止信息系統被非法侵入，信息系統因病毒等破壞性程序的感染或其他非法攻擊而遭受損害，網絡或通信服務被非正常中斷，使信息網絡或通信系統不能正常運行等危害。網絡安全內容風險則主要包括重要信息泄密、暴力恐怖音視頻內容的網絡傳播等。

網絡安全事件信息披露本身可以被視為將風險信息公知化的過程，但基于網絡安全事件信息的敏感性，這一公知過程可能產生潛在的負面影響。為此，網絡安全事件信息披露需要在有效機制的規范下予以實施。網絡安全事件信息披露機制即是網絡安全事件信息披露的約束性框架，是對可能造成特定信息系統和信息內容安全減損，影響用戶合法權益，造成人身或財產損失，或可能產生其他嚴重危害后果的事件信息進行公知活動的系統性規范，包括披露主體、披露內容、披露程序、披露時間、披露對象、相關責任和例外規定等，進而有效規范網絡安全事件信息披露活動。

全保護工作的重要組成部分，其價值基礎可以歸納為兩個方面：（1）有助于防控網絡安全威脅，可使用戶清晰認知網絡安全事件風險，并充分利用披露的信息及時采取預防和控制措施，有效預防網絡安全事件風險的產生，降低或阻止威脅的擴大化；（2）可強化國家安全基礎數據保障的綜合能力，有效協調創新發展與用戶安全保障矛盾。

（一）防控網絡安全威脅

隨著信息網絡滲透于人類生產和生活的方方面面，人類政治、經濟、軍事、科技、文化生活、環境等各個方面對信息網絡的依賴性越來越強，個人、企業、民族、國家乃至人類的安全也建立于互聯網中，網絡安全已成為關乎個人乃至整個國家的重要問題。CNCERT報告顯示，僅 2015 年 8 月即收到網絡安全事件達9 655 件

國家互聯網應急中心《CNCERT互聯網安全威脅報告》（2015年08月）。，[3]。諸如針對信息系統的安全威脅：2014年“全國DNS大劫難”事故中超過85%的用戶遭遇了網速變慢和網站打不開的DNS故障，國內2/3網站因此受影響；OpenSSL公布的重大安全漏洞顯示，該安全漏洞正被網絡威脅和網絡攻擊所利用而成為新的威脅，該漏洞可使任何人讀取系統運行的內存，安全行業人士實踐利用此漏洞可實時獲取網站、電商、網上支付等網站用戶賬號和密碼，并實現成功登陸[3]。該漏洞已使網站、即時聊天、服務器系統、網絡設備、防火墻等系統遭受安全風險和威脅。美國《福布斯》網站報道一款漏洞“可被黑客利用在不被檢測情況下實現對全球八成個人電腦、網絡應用或者云端虛擬機實現監控”[4]。國家計算機網絡應急技術處理協調中心2015年度《中國互聯網網絡安全報告》顯示，諸多網絡安全威脅伴隨信息化的不斷發展而產生，包括重要信息系統、基礎網絡、智能終端領域軟硬件漏洞攻擊；重要網站域名解析篡改攻擊；工業控制系統、移動應用程序惡意軟件攻擊；分布式反射性的拒絕服務攻擊；網站數據和個人信息泄漏等方面[5]。2016年該工具被爆出的DROWN安全漏洞又使國內10萬余家網站受影響。另據國家互聯網應急中心（CNERT/CC）2016年第39期發布的互聯網安全威脅報告顯示，僅2016年9月19日至25日一周內“境內感染網絡病毒主機數591萬；網站被篡改數量為2 477個，包括政府網站53個；新增信息系統安全漏洞257個，其中，高危漏洞146個；處理各類網絡安全事件622起，包括跨境案件158起”[6]。

此外，近年來針對網絡信息內容的安全威脅事件亦處于頻發狀態，且影響后果越來越大：諸如2014年4月黑客利用快遞公司官網漏洞入侵網站，1 400萬條用戶個人信息被非法竊取，2014年12月25日中國大型交通購票網站12306網站中約10萬多條用戶數據被泄漏，包括用戶賬號、密碼、身份證號、手機號碼以及電子郵箱等重要信息[7]。據國家計算機網絡應急技術處理協調中心報告顯示，2015 年，該中心抽樣監測發現的惡意軟件程序轉發用戶信息郵件超過66萬封，大量個人隱私信息可通過郵件被發送到指定郵箱[8]； 2015年發生約10萬條應屆高考生信息泄漏事件，而2016年更發生多名學生更因個人信息泄漏而引發學費被騙事件。2016年信誠人壽保險公司被曝其平臺面臨客戶銀行卡號、密碼、身份證等重要敏感信息被泄漏的風險。目前，由于教育、金融、醫療、物流行業、政府等都與互聯網密切相關，這一方面網絡安全威脅已對各領域重要信息系統安全、公共網絡環境安全造成威脅，產生重大突發網絡安全事件風險。此外，“暴恐音視頻”的網絡傳播威脅則可在“意識形態領域、文化領域”沖擊國家安全和社會穩定，這已成為一些特定區域網絡安全威脅的主要內容。在國內破獲的各種暴力恐怖犯罪，其涉案人員幾乎均觀看收聽了包括宣揚暴力恐怖、宗教極端、民族分裂等暴力恐怖音像視頻，其中，互聯網成為獲得、傳播、觀看和組織實施恐怖活動的重要渠道。

有鑒于此，頻發的網絡安全事件無論是針對網絡運行系統安全，還是網絡信息內容安全都已成為關乎互聯網健康發展乃至國家安全和社會穩定的重大問題，而有效的網絡安全治理機制尤顯必要和緊迫。鑒于網絡安全風險和威脅的動態性，目前的網絡安全事件治理缺乏一種動態的機制以實現對網絡信息安全事件的前期控制，于是“確立以預防與控制為核心的治理理念和機制極為必要”[9]。而網絡安全事件信息披露機制的建構即可體現這種預防與控制的理念，而且“管理和披露信息安全風險也被認為是網絡時代一些主體的責任”[10]。面對不斷增長的網絡安全事件威脅，有效的信息披露機制確立可使用戶及時預判，并因此而防范和控制風險和威脅的產生，從而確保網絡安全。

（二） 協調創新發展與安全保障之間的矛盾

隨著新一代網絡技術的發展，人們的日常社會生活方式正在發生巨大的變化。新一代網絡技術已延伸到國家政治、經濟、軍事、科技和文化等各個方面，滲入到人們的日常生活、社會活動、經濟行為和國家安全的各個領域，極大地改變了社會生產生活方式。誠然，互聯網的不斷發展創新著各領域產業的發展，推動了社會進步。然而，互聯網應用云化以及計算機等終端通信設備的普及化也使影響國家安全、社會穩定和個人隱私安全的網絡安全事件和行為陡增。因此，在網絡時代，在廣泛關注創新發展的同時，當面臨網絡安全事件以及因此而影響到用戶合法權益、社會秩序以及公共利益時，我們不得不正視創新與安全間的沖突[11]。這就需要加強對網絡安全的防控，而確立有效的信息披露機制則成為能夠協調創新發展和安全保障的重要防控舉措。例如，Microsoft Windows 任務管理權限提升等漏洞可引發漏洞相關的網絡安全事件，導致用戶計算機被控制。由于包括政府部門、重要信息系統部門以及大量用戶都使用Windows系統，一旦該漏洞被利用而引發網絡安全事件，那么網絡運行系統，甚至工業控制網絡、關鍵基礎設施部門以及大量公共、私人用戶網絡均可遭受攻擊，導致運行系統和信息內容遭受安全威脅。而一些公司的惡意軟件或者漏洞已經造成了實際的和潛在的損害，這種損害不僅僅使用戶暴露于攻擊之下，也使公司名譽受損，更嚴重的是技術保護措施所造成的損害不是單一的。因為信息技術設施分布式的本質，整個網絡安全部分涉及成千上萬的私人電腦，對個人電腦的攻擊，通過延伸必然涉及網絡本身，而受攻擊的系統可包含公司、大學、政府或軍事網絡。然而，在具體實施中，必然會面臨創新發展與安全的矛盾性。在損害尚未發生前，一些主體擔心一旦及時告知用戶可能造成用戶的恐慌，這不僅危及權利主體自身利益，影響產業的發展，而且也使安全問題的解決陷于困境。于是一些企業基于信譽和名聲以及影響發展的考慮會選擇隱瞞相關信息，其結果可能導致損失的無限擴大。而事實上，很多私營部門網絡攻擊入侵的防御體系不完備[12]。盡管安全披露義務可增加企業防御網絡安全風險的成本，一定時期內需要犧牲其發展利益，但是不能以犧牲網絡安全為代價而換取行業或產業創新發展，再者信息安全披露義務也加強了相關行業和產業防控網絡安全風險的能力。為此，有必要在發現漏洞時及時披露信息以及明確相應漏洞修補程序強制性義務。

三、網絡安全事件信息披露機制的建構

網絡安全事件信息披露機制的確立具有現實必要性，而披露義務的行使單純依靠行業協會的自律并不足以應對，“法的功能在于調節、調和與調解各種錯雜和沖突的利益，以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲”[13]。因此，建構系統化的信息披露機制制度是形成網絡安全保障體系的重要組成部分，也應是互聯網立法中的應有內容。

（一）信息披露的主體

國家互聯網應急中心網站顯示，包括通信管理局、基礎電信運營企業、非經營性互聯單位、安全企業及其他一些地方和行業互聯網協會承擔向國家互聯網應急中心通報網絡信息的工作，但是這并非強制義務，并非所有主體應承擔強制性信息披露義務。具體而言，在網絡安全事件中，具體的披露主體至少應包括以下幾類：（1）軟硬件廠商，包括發布網絡安全方面軟硬件的企業。作為軟硬件的直接權利主體以及直接掌握這些技術措施信息的主體，理應在發現安全風險時及時披露，他們有義務在向用戶提供服務時標識采取的技術特征信息，包括使用范圍、使用限制、運行環境的要求以及運行后可能存在的風險，并在征得用戶完全同意的情況下方能下載或安裝。當發布的產品是眾所周知的能夠引起或可能對用戶系統造成功能性傷害時，應發布安全通知，告知通過檢測所合理預測的信息安全問題或別的風險的存在；（2）政府相關網絡安全管理部門。作為專門的網絡安全管理部門，承擔安全保障的重要職能，在發現網絡安全事件時及時向社會發布其評估監測的內容是其職責范圍之事；（3）涉及重要信息泄露的重要行業部門，諸如基礎電信部門、醫療、金融、教育等關乎大量個人重要信息和重要產業信息的部門。由于網絡安全事件可能波及大量重要信息系統和信息內容的泄漏，因此一旦發現入侵、攻擊、泄漏等風險應及時披露相關信息。

（二）信息披露的對象

網絡安全事件信息披露應當有具體的披露對象，具體而言：一是各類產品的直接用戶。由于用戶是這些產品的直接使用者，也是風險發生后的直接受害者，依據《消費者權益保護法》《合法同》等相關法律，他們具有對商品或提供服務的知情權，因此應當作為直接披露對象。與此同時，接受信息的用戶可及時采取措施針對類似網絡攻擊的網絡安全事件作出反應，諸如下載補丁程序，或者控制或破壞攻擊病毒，這被認為“應對網絡攻擊的重要反應，也是規制網絡安全的重要環節”[12]。

二是網絡安全的主管機構。由于各部門在各自領域內開展相應工作，而網絡安全領域問題涉及面寬且復雜，可能同時涉及不同的工作部分。信息網絡環境下，網絡安全復雜性較強，公民、法人和其他組織的合法權益與社會利益、公共安全以及國家安全威脅可能同時存在，當涉及由行政機關依法執行維護國家安全所保護的網絡安全及其他相關事項產生安全風險時，相關主體應及時對各相關主管機關披露。中國對網絡安全監管采取的是分業縱向監管模式，主管機關有：國務院信息化工作領導小組及其辦公室、公安部公共信息網絡安全監察部門、信息產業部、國務院信息產業主管部分、國家密碼管理機構和國務院其他有關部門，它們

在各自領域承擔相應的網絡安全監管職責。為此，網絡安全事件可及時向網絡安全的主管機構披露，而各網絡安全主管機構之間應實現信息共享并及時協調，向社會發布相關信息和防控措施。

（三）信息披露主要內容及時間

信息披露內容和時間是信息披露機制中的重要內容。網絡環境使網絡安全事件造成的損害具有不可逆性，損害后果嚴重，這要求披露義務主體首先在網絡安全事件風險產生之前，為防范安全風險以及降低損害程度，對于已監測的網絡安全風險和威脅信息，有關部門、機構和人員應及時發布預警，告知相關用戶隱藏的安全風險，包括發生的可能性、潛在影響范圍和危害程度。諸如近年來，大量基于網絡應用、安全產品、應用程序、操作系統、數據庫、網絡設備的網絡安全漏洞事件曝光，危害影響可涉及電信、移動互聯網、工控體系等不同行業以及其他公私用戶網絡與信息安全，于是對漏洞信息適時的、負責任的信息披露就顯得很有必要。

當網絡安全事件發生后，諸如發生危害社會公共秩序，突發重大社會安全事件時，相關主體應及時（可理解為合理時間范圍內，需要依據實際情況判斷）披露網絡安全事件發生、發展情況；實際產生的安全損害是什么；產生安全風險和威脅的影響范圍是什么以及相應事件信息的分析評估與結果等方面的內容。此外，在披露安全風險和威脅信息時應發布避免和減輕危害的必要解決措施，以使用戶和相關主體能進一步評估其所面臨的風險，進而采取相應措施應對產生的風險和威脅，控制損失的擴大化。而對于部分不可提前預測的安全風險和威脅，也應在實際發現或威脅實際產生時及時予以披露，以阻止損失發生。當然，當及時披露妨害執法機關執法取證，涉及到危及公眾利益、影響相關產業發展時，披露應暫緩公告。

（四）信息披露要求和責任

按照信息披露機制的要求，對于網絡安全事件的披露應是足夠的和有效的，而且“風險披露內容應該是特殊的和具體的”[9]，即體現披露的充分性。這里的足夠和有效的通知必須使普通用戶能夠充分認識到網絡安全事件的風險和威脅，因此上述通知應以能夠幫助用戶更容易觀察和閱讀的方式發布，描述的信息能使使用者在使用產品時合理地保護自身信息系統功能和信息內容安全，避免眾所周知的和可能的傷害產生。這一要求顯示對于具體的信息披露表達應在顯而易見的地方，并且是令人信服的。對于司法實踐而言，如果不是輕易地被看見，通常應視為經營者沒有向用戶提供他們的明確通知，因此不是可執行的[14]。比如通過不清楚的鏈接、不顯眼的字體（如腳注字體）、在灰色背景上的灰色類型、不清楚的鏈接標簽意圖去警惕用戶關于披露的存在。對于法庭而言，它判斷的標準不是雙方通常對信息披露內容的理解，也不是用戶的實際理解，而是這一披露是否被以明顯的方式顯示。比如，對于安裝的各類軟硬件產品，或者網站的漏洞風險應在其產品或者平臺顯眼位置發布明確而詳細的說明，并獲得用戶的明確同意后予以安裝。與此同時，對于發生的網絡安全事件解決方案的披露除及時外，也應當具體和具可操作，如此方可實現防控風險和威脅的目的。

當承擔披露義務的主體不履行披露義務致使公私財產和信息安全受到影響或者不及時、不充分實施披露行為致使損害擴大時，立法應規定罰則，要求相應主體承擔相應的法律責任，包括民事、行政和刑事法律責任。諸如美國加州2012年通過的SB1386法案即明確了保存公民信息的機構有義務向受害者披露信息泄漏事件，否則可因民事訴訟而承擔賠償責任。

（五）信息披露的例外

雖然網絡安全事件相關主體應當承擔一定的信息披露義務，但是這一披露義務并非是絕對的，具體在披露內容上需要掌握可披露的度，既保障公眾的知情權，又兼顧網絡安全、社會秩序穩定以及國家安全。信息披露例外機制的確立非常必要，它是披露機制體系的重要組成部分，這也是現行網絡安全立法所缺乏的。具體而言：披露的信息內容應該是被分類的，一些未授權的敏感信不在披露范圍之內[15]。當披露的內容將涉及違反其他法律規定、機密信息、妨害執法或損害國家利益以及公共利益、損害其他特定的公有或私營企業的合法商業利益時，可不承擔信息披露義務。總之，立法應明確規定網絡安全事件信息披露的相應例外條款，保障信息披露機制建構的完整性。參考文獻：

[1]馬民虎.網絡信息安全保障的法律監管研究[M].西安：陜西科學技術出版社，2007.

[2]張樂，郝文江，武捷.美國網絡入侵信息披露制度簡介[C]//全國計算機安全學術交流會論文集（第二十五卷）.合肥：中國科學技術大學出版社，2010：121.

[3]李國敏.2014年重大網絡安全事件回顧[N].科技日報，2014-12-24（11）.

[4]佚名.美發現新瀏覽器攻擊模式：可監控全球八成PC[EB/OL].[2015-04-24].http：//www.cnnic.net.cn/gjymaqzx/aqgg/aqggaqsj/201504/t20150424_52123.htm.

[5]國家計算機網絡應急技術處理協調中心.2014年中國互聯網網絡安全報告[M].北京：人民郵電出版社，2015：15.

[6]國家互聯網應急中心.網絡安全信息與動態周報（2016年第39期）[EB/OL].[2016-09-30].http：//www.cert.org.cn/publish/main/upload/File/2016CNCERT39.pdf.

[7]肖前忠.年終盤點：2014年國內和國際網絡信息安全大事件[EB/OL].[2015-03-10].http：//www.d1net.com/security/news/326109.html.

[8]國家計算機網絡應急技術處理協調中心. 2015年我國互聯網網絡安全態勢綜述[EB/OL].[2016-05-01].http：//www.cert.org.cn/publish/main/upload/File/2015%20Situation.pdf.

[9]趙麗莉.基于過程控制理念的網絡安全法律治理研究——以“風險預防與控制”為核心[J].情報雜志，2015（8）：177-181.

[10]TROPE R L，HUGHES S J.The SEC staff’s “Cybersecurity Disclosure” guidance： Will it help investors or cyber-thieves more？[J].Business Law Today，2011：1-4.

[11]趙麗莉.論版權技術保護措施信息安全遵從義務——以法國《信息社會版權與鄰接權法》第15條為視角[J].情報理論與實踐，2012（12）：32-36.

[12]SALES N A.Regulating cybersecurity[J].Northwestern University Law Review，2013，107（4）：1508-1564.

[13]羅斯科·龐德.通過法律的社會控制——法律的任務[M].沈宗靈，董世忠，譯.北京：商務印書館，1984：42.

[14]MATWYSHYN A M.Hidden engines of destruction：the reasonable expection of code safety and the duty to warn in digital products[J].Florida Law Review，2010（62）：109-157.

[15]DYCUS S.Congress’s role in cyber warfare[J].Journal of National Security Law Policy，2010，4（1）：155-171.