誰該為網絡安全負責

云賀

政府和其他參與主體應根據不同的網絡安全事件情境，決定各自該承擔的責任和義務。

隨著第四次工業革命向各產業的深入滲透，全球掀起數字化變革潮流。與此同時，網絡安全問題也變得愈加棘手：網絡病毒跨領域傳播、安全漏洞快速傳導、企業而非政府站在了消費者網絡安全的第一道防線上。

近年來一系列全球網絡攻擊事件表明，是時候構筑起一道社會全員參與建設的“網絡安全防線”了。然而，這背后的爭議也顯而易見：政府干預與個人隱私的邊界如何確定？防守過度會不會造成資源浪費？政府與企業誰該為網絡安全問題負責？哪些安全數據應為全社會共享？

今年1月，世界經濟論壇聯合波士頓咨詢公司發布了名為《構筑“彈性”網絡：探討公私合作模式》的報告，試圖通過剖析近年來各國政府與企業攜手預防和抗擊網絡安全問題的成功案例，為上述爭議尋求解決方案。報告認為，政府和其他參與主體應根據不同的網絡安全事件情境，決定各自該承擔的責任和義務。

參與主體眾多

自古以來，保護公民安全就是政府的重要職責之一。進入21世紀，人類社會的網絡化、電子化、互聯化趨勢愈發明朗，政府的上述職責也被網絡世界賦予了新的意義，“如何守衛網絡領土”已成為當前各國政府都在努力探求答案的重要議題。

與傳統意義上的安全問題不同，網絡安全事件往往更為復雜。突發性強、傳導速度快，是其首要特征。可以說，網絡世界中的每一項技術創新都伴隨著未知的漏洞和潛在風險。在幾乎沒有國界限制的網絡空間中，任何一道被惡意撕開的“口子”都可能會以迅雷不及掩耳的速度傳播到地球的另一端，并對實體經濟安全造成程度不一的威脅。

另外，網絡安全領域的參與主體眾多，政府、企業、個人等都可能是安全防線上的關鍵環節。如今，在很多時候，政府往往不能站在發現危險乃至對抗危險的第一線。特別是在一些歐美國家，那些活躍在虛擬世界、掌握著行業大把數據資源的大型互聯網企業，才是網絡安全的第一道防線。

可見，網絡安全防線的構建需要政府、企業、公民等多主體的協同參與和配合，僅靠政府資源已不足以抵御和解決這一新興領域的問題了。

多主體協同參與這一解決辦法的基本邏輯看似簡單，但真正操作起來卻面臨著諸多挑戰。其中，最主要的一個問題在于如何清晰地界定網絡空間中的國家主權概念。這將決定政府和各主體在保護網絡安全過程中扮演的角色以及需要承擔的責任和義務。畢竟，一旦涉及國家安全話題，任何一國政府都不可能也不應該把維護主權的責任推給企業和個人。

對此，《構筑“彈性”網絡：探討公私合作模式》這篇報告認為，盡管各國對網絡主權的理論認識不盡相同，但不可否認，在實踐層面，各國均需根據網絡安全事件的不同性質，明確各主體的職責和參與程度。

分類制定應對政策

為幫助各國政府理清頭緒、對癥下藥，《構筑“彈性”網絡：探討公私合作模式》這篇報告總結了常見的14類應對網絡安全事件的情境，主要包括抵御“零日攻擊”、打擊僵尸網絡、安全威脅情報共享、關鍵數據加密、跨國界信息傳播等。

報告提出，這14類情境對國家安全和實體經濟的威脅度、對公民個人隱私的侵害度、對公私合作的訴求都不盡相同，因此相應的政策模型也大相徑庭。同時，政府在推出解決方案之前，應主要從經濟效益、國家安全、公民隱私、公平公正和責任權限這五個維度入手，綜合考慮和權衡其對社會經濟的影響。

以應對“零日攻擊”為例，“零日攻擊”又名零時差攻擊，是指某個漏洞被發現后立即被惡意利用的攻擊行為，具有很大的突發性與破壞性。由于其可能造成的潛在經濟損失巨大，且處置不當極有可能威脅到國家安全，為此，政府在極端情境下應與企業達成數據共享的共識，其他主體不應以“企業機密”或“個人隱私”等理由封鎖關鍵信息。

同時，某些大型互聯網企業往往能率先發現和掌握該類網絡攻擊的相關信息，因此它們也應站在網絡安全的第一道防線上。

對此，各國政府和企業可以效仿谷歌的“零日項目”（Project Zero）。該項目的首要目標就是趕在黑客在暗網出售漏洞之前，發現并披露安全漏洞給軟件供應商，幫助其即時進行自我糾錯。谷歌能提供這項服務有其先天優勢，許多谷歌員工在工作和業余生活中會發現大量第三方軟件的漏洞，將這些程序漏洞集合起來便會形成一個巨大的數據庫。

再如，對于涉及較高級別情報的國家安全相關的網絡攻擊事件，可通過安全威脅情報共享的方式加以應對，報告指出，在此類情境中，政府應責無旁貸地站在網絡安全的第一道防線上。在權衡政策利弊時，要以國家利益為先，與企業、個人等主體達成“越分享、越安全”的共識。在必要時，企業機密和個人信息應適當讓步于社會整體利益，做到及時與政府安全部門合理共享。

對此，報告建議，各國可參考美國國土安全部的自動指標共享項目（Automated Indicator Sharing，簡稱AIS），由政府牽頭并統籌各方的安全威脅情報信息，用以切實保護本國經濟社會安全。

為了搭建公私部門之間快速、高效的安全威脅情報共享機制，美國國土安全部牽頭開發并推出了可供各方交換網絡安全威脅情報的生態系統，即AIS。聯邦及各州政府、本國企業、國外合作伙伴或企業，都可在與美國國土安全部簽署相關協議文件后直接接入AIS平臺，平臺各參與主體均可即時分享潛在的網絡安全威脅情報。

此外，為保障公民信息安全及隱私，AIS項目還在信息分享環節設立了PII（Personally identifiable information，即個人身份信息）保護措施，主要包括由機器自動識別與網絡安全威脅無關的PII，并在發布到共享平臺前刪除，利用人工審核方式確認無關PII不被共享和傳播等。endprint