近年来,随着网络信息化技术应用深入到社会生活的各个领域,网络安全挑战日益严峻复杂,不仅网络攻击事件层出不穷、网络攻击手段不断升级,甚至出现了针对交通、电力、电信、金融等领域关键信息基础设施和特定目标的“高级持续攻击”(APT攻击)。从早期的摧毁伊朗核电站离心机的Stuxnet病毒、乌克兰电网被攻击事件,到前几年针对我国政府、能源、军事和科研领域实施APT攻击的“海莲花”组织、“白象行动”、“蔓灵花攻击行动”等,再到近期的WannaCry勒索病毒、美国对ISIS发动网络战、委内瑞拉等国大规模停电事件、俄罗斯电网被植入后门、美国伊朗网络交战等,可以发现网络安全不仅关乎国计民生,也日益成为国家间对抗的新战场,网络安全威胁开始在政治、经济、文化、国防等各个领域全面显现。
面对已经渗透到社会各个领域的网络安全威胁,单一的、静态的、局部的防护思路显然已经不合时宜,必须树立综合的、动态的、系统的网络安全防护理念,必须动员全社会力量共同维护网络安全。习近平总书记2016年4月在网络安全和信息化工作座谈会上的讲话明确指出,要“全天候全方位感知网络安全态势”,“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。
网络安全靠人民、共筑网络安全防线,不仅需要发挥政府“国家队”的力量,也需要重视和支持企业、社会组织和广大网民等民间力量发挥作用,打赢维护网络安全的人民战争。从域外经验来看,以美国代表的西方国家除了增强政府网络安全能力、制定并严格执行相关法律和技术标准外,还尤其注重培育网络安全企业和社会组织、广泛开展公众教育。这些企业和社会组织,不仅提供民用网络安全维护服务和网络安全评估,有时还在政府支持和雇佣下参与国家级的网络安全攻防和竞争。近年来,以美国“赛门铁克”、“火眼”、“曼迪昂特”,俄罗斯“卡巴斯基”为代表的网络安全公司快速兴起,成为国家间网络攻防的重要力量。有分析就认为,名义上独立的网络安全公司,已经成为大国博弈的重要工具。
我国近年来开始不断重视发挥企业、社会组织和民众在维护网络安全方面的重要作用。2014年开始每年举办国家网络安全宣传周,突出“网络安全为人民、网络安全靠人民”的主题,在全国范围内形成了学安全、懂安全、重安全的良好氛围。2019年国家网络安全宣传周开幕前夕,习近平总书记对国家网络安全宣传周作出重要指示强调,举办网络安全宣传周、提升全民网络安全意识和技能,是国家网络安全工作的重要内容。近些年我国在G20峰会、金砖会议等重大活动期间的网络安全保障工作,不仅有公安部、网信办、工信部、总参、科研院所等体制内队伍坐阵,也有360公司、安恒公司等本土企业深度参与,取得了较好的安防效果。仅在G20峰会期间,“国家队”与“民间高手”就联手击退了几千万次的网络攻击。
不过与网络安全威胁全领域全方位渗透显现的现实相比,在共筑网络安全防线方面,我们还有很大的提升空间。其中很重要的一个方面,就是为了实现“全天候全方位感知网络安全态势”而需要建立有效的网络安全威胁情报共享机制,这是共筑网络安全防线的重要抓手。我国政府和企业在这方面已经进行了一系列探索。比如,国家互联网应急中心(CNCERT/CC)建立了国家信息安全漏洞共享平台(CNVD),截止2019年10月累计收录了针对软硬件产品漏洞17.2万条以及具体信息系统漏洞31.3万条,通报处置了重要信息系统单位漏洞事件13.8万余起;该中心还牵头组建了中国互联网网络安全威胁治理联盟(CCTGA)、中国反网络病毒联盟(ANVA),截止2019年10月,前者成员单位已达138家,累计共享网络安全威胁情报数据133.2万条,后者成员单位已达61家,在阻断恶意程序传播方面发挥了积极作用。
再比如,360公司去年推出360安全大脑服务体系。在这一体系中,“威胁情报云”是构建其“看见”高级别网络攻击的要素之一。这与360在威胁情报云方面的积累密不可分:360已累计报告主流厂商漏洞2000+,独立捕获7次野外APT 0Day漏洞攻击,发现针对中国的境外APT组织40+。这些威胁情报未来还会不断增加,360安全大脑在其落地场景中会对接企业的态势感知系统,为客户建立威胁情报中心等,这将极大地丰富威胁情报源,强化“看见”威胁的能力。
但是所有这些建立网络安全威胁情报共享机制的尝试,都可能面临较大的法律风险。主要体现在以下两个方面:
一是共享网络威胁情报可能让信息共享主体承担更多责任或陷入不利地位。例如,不论是对政府部门还是私营机构,共享网络安全信息往往就要承认自身已遭受网络攻击或发生数据泄露,这可能引发消费者提起侵权之诉,或者可能追究因违反信息保护义务而构成的法律责任。例如,企业共享网络安全威胁情报,可能泄露类似商业秘密等商业信息,企业可能会丧失竞争优势或在市场竞争中陷入被动。再如,企业为了应对网络安全威胁而共享给政府的信息,可能会被政府作为执法证据,追究企业的某些法律责任。正因为此,企业一般不愿与政府或其他企业共享涉及商业利益的信息。
二是共享网络威胁情况还可能违反隐私和个人信息保护的规定。例如各国对消费者个人的信用信息、金融数据、教育信息和健康信息等一般有专门性规定,如果共享的安全信息涉及可识别的个人信息,就可能违反这些个人信息保护的专门性规定。
因此,共筑网络安全防线,建立网络安全威胁情报共享机制,亟需立法予以保障。近年通过的美国《网络安全信息共享法》和欧盟《网络和信息系统安全指令》都对此有针对性规定。我国《网络安全法》虽然规定了“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”,网络运营者应“按照规定向有关主管部门报告”网络安全事件,“国家建立网络安全监测预警和信息通报制度”等,但这些规定相对比较原则和简单,需要进一步细化完善。针对前述问题,笔者对于网络安全威胁情报立法提出如下完善建议:
一是规定企业的责任豁免以激励其参与共享。即规定企业在遵循法定强制标准和按照法定要求共享网络安全信息的情况下,减轻或免除因此而产生的法律责任。例如,对于遵守监管标准的关键信息基础设施运营者,可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时,可只向消费者承担补偿性赔偿责任,而非承担惩罚性赔偿责任。再就是为了提升企业发现网络安全漏洞的能力和打消其因分享信息而承担责任的顾虑,建议我国立法应授权企业有权监视其负责运营的网络信息系统以及系统内存储、处理和传输的数据,并规定不承担因此而产生的法律责任。对于并未纳入强制监管范围的企业,可自愿加入网络安全信息共享机制,只要其按法定要求共享相关信息,可以规定豁免其相应的法律责任。除此之外,还可以考虑政府采购倾斜、税收减免等激励措施。
二是规定维护网络安全与保护私人权益的平衡机制。在网络安全威胁情报共享中,应尤其重视对私人权益的保护。建议规定政府或其他主体保存、使用或者传播网络安全威胁情报时,必须保护这些信息里任何可识别的个人信息不被未经授权的披露、处理或者使用。所共享的网络安全威胁情报,应该移除或匿名化其中与网络安全威胁没有直接关系的个人信息;对于无法移除或匿名化的个人信息,应最大程度地确保其用于法定目的而不被泄露滥用,规定留存这些个人信息的合理期限。在含有个人信息的网络安全威胁情报发生意外泄露事件时,应及时通知这些个人信息所涉及的权利主体。建议规定使用共享的威胁情报不能侵害个人隐私、商业秘密、知识产权等合法权益,而且这些共享的威胁情报不属于政府信息公开的范围。
