建议降低第三方组织或个人禁止性义务要求

——《网络安全漏洞管理规定（征求意见稿）》的完善

□特约撰稿 杨尚东

日前，工业和信息化部公布《网络安全漏洞管理规定（征求意见稿）》（下称《规定》）公开征求意见。意见反馈截止时间为2019年7月18日。

《规定》第6条至10条明确了第三方组织或个人处理发现的网络漏洞的方式以及应当承担的法律责任。依据此规定，禁止个人或组织提前发布漏洞或者利用漏洞从事危害网络安全的行为，若有违反，将视其情节轻重承担相应的行政责任、民事责任或刑事责任。《规定》明确了第三方组织或个人的禁止性义务，但仍需完善。

第一，应明确第三方组织或个人发布网络安全漏洞的方式、对象以及发布的原则。比如发布时间，第6条第一款规定，“不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。”该要求与本规定第3条第二项相关联，参照了《中国互联网协会漏洞信息披露和处置自律公约》第11条适时披露原则的精神，对具体时间节点进行了明确规定。但需注意的是，若漏洞信息无需用户或相关技术方采取漏洞修补或防范措施，网络产品、服务提供者和网络运营者可以不向社会或用户发布，那么第三方组织或个人是否有权向社会发布网络安全漏洞信息呢？又如《规定》第6条第2款规定，“不得刻意夸大漏洞的危害和风险”。到底采取什么样的标准去认定是否是故意夸大，还是由于认知能力有限不能对漏洞本身的危害和风险作出准确判断？再如《规定》第6条第4款规定，“应当同步发布漏洞修补或防范措施”。这意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外，漏洞发布者也需要发布漏洞修补或防范措施。但问题在于漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致？还是需要提出同等保护效果或者更有效的修补或防范措施？

第二，应明确监管部门对第三方组织或个人及时报送漏洞有关情况的处理程序。《规定》第10条规定，“鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后，及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况”。但是这条规定过于笼统、原则，应当予以细化，明确规定监管部门的处理程序，特别应将处理的时限予以确定。

第三，应明确对于报送漏洞有关情况的第三方组织或个人权益的保护。《规定》第11条明确规定，“任何组织或个人发现涉嫌违反本规定的情形，有权向工业和信息化部、公安部举报”。但本条并未对举报人的信息保护进行说明。根据《中华人民共和国网络安全法》第14条的规定，“有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益”，建议本规定项下亦应按照网络安全法的规定，对举报人的信息予以保密、保护。

该规定的初衷是为了规范网络安全漏洞报告和信息发布的行为，同时督促相关厂商、第三方及运营方及时应对漏洞问题，这也是在网络安全法的基础上进一步完善法制体系。从这个出发点来说，本规定应该可以得到大多数人的支持和反馈。但对于第三方组织或个人主动发现、披露网络漏洞的行为，笔者建议，还是不要用传统实体安全的管理思维去指导信息安全管理，应给予相对宽松一点的环境。

（作者系法学博士，西南政法大学行政法学院程序法治研究中心研究员）