近期,關於阿里雲因為安全漏洞上報問題被工信部網路安全管理局暫停安全威脅資訊共享平臺合作單位6個月的新聞成為熱點。該新聞裡提到的《網路產品安全漏洞管理規定》(以下簡稱《管理規定》)由工業和資訊化部、國家網際網路資訊辦公室和公安部於2021年7月12日聯合釋出,2021年9月1日正式實施。
阿里雲成為該《管理規定》實施以來影響最大的新聞主角,本文藉此探討一下對《管理規定》的理解與適用。
一、 上位法依據是《網路安全法》
《管理規定》第一條開宗明義“為了規範網路產品安全漏洞發現、報告、修補和釋出等行為,防範網路安全風險,根據《中華人民共和國網路安全法》,制定本規定。”;所以《管理規定》的上位法依據其實是從2017年6月1日起施行的《網路安全法》第二十二條第一款關於“網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設定惡意程式;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知使用者並向有關主管部門報告。”的規定。
《管理規定》由工信部、國家網信辦和公安部聯合釋出,從制定機關的構成上看,符合《網路安全法》第八條關於“國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責範圍內負責網路安全保護和監督管理工作。”的規定。
《管理規定》第三條對三部門的職責分工加以明確,分別是網信辦負責“統籌協調”網路產品安全漏洞管理工作、工信部負責“綜合管理”並承擔“電信和網際網路行業”網路產品安全漏銅監督管理、公安部負責網路產品安全漏銅“監督管理”依法打擊利用安全漏洞實施的犯罪活動。根據上述分工,《管理規定》也明確了報送安全漏洞資訊的主管部門是“工業和資訊化部網路安全威脅和漏洞資訊共享平臺”。
從法律層級上看,《管理規定》應該屬於“部門規章”一類。
二、 受規制的主體物件有三類
《管理規定》第二條規定“中華人民共和國境內的網路產品(含硬體、軟體)提供者和網路運營者,以及從事網路產品安全漏洞發現、收集、釋出等活動的組織或者個人,應當遵守本規定。”,這條就列明瞭應當遵守《管理規定》的主體有以下三類:
- 一是境內的網路產品提供者
- 二是境內的網路運營者
- 三是境內網路產品安全漏洞收集平臺(即從事網路產品安全漏洞發現、收集、釋出等活動的組織或個人)
對於上述三類主體範圍應該如何劃分,《管理規定》並沒有給出明確指引。
而如果檢視《網路安全法》全文,會發現《網路安全法》在規制主體方面,使用最多的是“網路運營者”這個概念,分別在第九條(原則條款)、第三章(網路執行安全)、第四章(網路資訊保安)和第五章(監測預警與應急處置)以及第六章(法律責任)裡被大量提及,並在第七十六條第三項中給出了“是指網路的所有者、管理者和網路服務提供者”的明確定義。
除此之外,《網路安全法》還在第二十二條裡使用了“網路產品、服務的提供者”的表述,更細緻地說,這一表述應該是包含了“網路產品提供者”和“網路服務提供者”這兩類主體概念,而其中的“網路服務提供者”可視為屬於“網路運營者”的子概念,故“網路運營者”並不包括“網路產品提供者”。所以在《管理規定》中,網路產品提供者是與網路運營者相平行的概念。
三、 負有報送義務的僅有“網路產品提供者”
那麼是不是上述三類主體都對產品安全漏洞負有報告義務呢?答案是否定的。
根據《管理規定》第七條關於“網路產品提供者應當履行下列網路產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理髮布,並指導支援產品使用者採取防範措施:(一)發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響範圍;對屬於其上游產品或者元件存在的安全漏洞,應當立即通知相關產品提供者。(二)應當在2日內向工業和資訊化部網路安全威脅和漏洞資訊共享平臺報送相關漏洞資訊。報送內容應當包括存在網路產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響範圍等……”的規定可知,只有“網路產品提供者”才負有在2日內向工信部網路安全威脅和漏洞資訊共享平臺報送漏洞資訊的義務,網路運營者和網路產品安全漏洞收集平臺並不在應當報送的主體之列。
根據《管理規定》第八條的規定,網路運營者在發現安全漏洞後的義務是對漏洞進行驗證並完成修補;根據《管理規定》第十條第二款的規定,鼓勵網路產品安全漏洞收集平臺向官方平臺報送產品安全漏洞資訊。所以這兩類主體都沒有報送安全漏洞的義務。
有鑑於此,是否能被確定為屬於“網路產品提供者”是確定是否負有報送產品安全漏洞義務的關鍵前提,如果僅僅是“網路運營者”或是“網路產品安全漏洞收集平臺”的主體身份是沒有報送義務的。
但需要強調的是,在現實世界中,同一主體很可能兼具多重身份,也就是說作為“網路運營者”的身份與“網路產品提供者”的身份並不矛盾,“網路運營者”或“網路產品安全漏洞收集平臺” 同時也可能是“網路產品提供者”,而具備前兩者的身份並不必然導致安全漏洞報送義務就可以不必履行了。所以對主體身份的識別就顯得十分關鍵,目前這一權力應當是由行政主管部門來行使。
四、 未履行報送義務的法律責任
根據《管理規定》第十二條的規定“網路產品提供者未按本規定採取網路產品安全漏洞補救或者報告措施的,由工業和資訊化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十條規定情形的,依照該規定予以處罰。”
而《網路安全法》第六十條規定的是“違反本法第二十二條第一款、第二款和第四十八條第一款規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款:(一)設定惡意程式的; (二)對其產品、服務存在的安全缺陷、漏洞等風險未立即採取補救措施,或者未按照規定及時告知使用者並向有關主管部門報告的;(三)擅自終止為其產品、服務提供安全維護的”。
所以“責令改正,給予警告”是首要處罰措施,只有在拒不改正或是導致危害網路安全等後果時,才能處以罰款的處罰措施。
五、 關於向境外提供安全漏洞資訊的規定
《管理規定》第九條規定“從事網路產品安全漏洞發現、收集的組織或者個人透過網路平臺、媒體、會議、競賽等方式向社會發佈網絡產品安全漏洞資訊的,應當遵循必要、真實、客觀以及有利於防範網路安全風險的原則,並遵守以下規定:……(七)不得將未公開的網路產品安全漏洞資訊向網路產品提供者之外的境外組織或者個人提供”。
這條規定有三個特徵需要注意:
- 一是主體方面指向的是“網路產品安全漏洞收集平臺”,那如果不是漏洞收集平臺是不是就不受這條的規制了?也不盡然,我國《網路安全法》還規定了“關鍵資訊基礎設施的運營者”如果需要向境外提供個人資訊和重要資料的,是需要提前進行安全評估的,而網路產品安全漏洞資訊很可能屬於《資訊保安技術 資料出境安全評估指南》(徵求意見稿)裡重要資料識別指南里涉及的“通訊領域”裡的“A.5.2 執行維護類資料”或是“A.5.3 安全保障類資料”的範疇,所以針對安全漏洞資訊的出境行為應該更為審慎,需要多維度評估;
- 二是禁止提供的是“未公開的網路產品漏洞資訊”,已合法公開的不在此列;
- 三是禁止提供的例外物件是“網路產品提供者”,也就是說出現安全漏洞的網路產品“提供者”是被排除在禁止提供的範圍以外的,但對這條的理解也同時應當考慮上述“關鍵資訊基礎設施的運營者”的“重要資料”出境安全評估的影響,才能儘量做到合法合規。
另外需要補充的一點是,根據《網路安全法》第二十二條的規定,需要“及時告知使用者並向有關主管部門報告”的主體是“網路產品、服務的提供者”,也就是“網路產品提供者”和“網路服務提供者”都負有報告義務。
那為何《管理規定》中沒有規定“網路服務提供者”負有報送義務?是遺漏了嗎?仔細檢視可發現,《管理規定》的全稱是《網路產品安全漏洞管理規定》,也就是從規制範圍上已經限定了物件只是“網路產品”的安全漏洞,而針對“網路服務”的安全漏洞報送問題,不排除後續可能會以另行制定部門規章的方式來加以明確。
作者:鄧勇
編輯:Sharon
