摘 要：利用網(wǎng)絡(luò)安全漏洞實施攻擊的安全事件頻發(fā)，使網(wǎng)絡(luò)安全漏洞治理成為保障國家網(wǎng)絡(luò)安全的重要議程。當前，囿于在漏洞評級指標、漏洞披露政策以及“白帽子”法律責(zé)任層面缺乏整體性考量，我國網(wǎng)絡(luò)安全漏洞治理框架亟待面向“合作主義”轉(zhuǎn)型。為此，需通過行政與司法的合作明晰“白帽子”法律責(zé)任的邊界，通過行政部門之間的合作搭建網(wǎng)絡(luò)安全漏洞協(xié)同機制，通過行政與公眾的合作拓寬社會公眾參與漏洞治理的渠道，協(xié)力共筑網(wǎng)絡(luò)安全漏洞治理的“合作主義”范式。

　　0 引言

　　近年來，網(wǎng)絡(luò)安全治理議題已成為全球各主權(quán)國家制定戰(zhàn)略政策的焦點與學(xué)術(shù)理論研究的高頻點，而伴隨全球網(wǎng)絡(luò)黑客攻擊的不斷增多，網(wǎng)絡(luò)安全漏洞亦開始進入全球治理和國家治理的視線內(nèi)。從全球治理視角，網(wǎng)絡(luò)安全漏洞事關(guān)各國之間的協(xié)調(diào)與合作，以之建構(gòu)對等互助的國際網(wǎng)絡(luò)秩序；從國家治理視角，其不單關(guān)涉網(wǎng)絡(luò)安全部門，同時漏洞的全流程治理也涉及各政府部門及其與社會民眾之間的相互配合。目前，我國雖已初步建立起以《中華人民共和國刑法》《中華人民共和國網(wǎng)絡(luò)安全法》為主要法律規(guī)范，以《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》等為配套規(guī)定的整體制度框架，但縱觀各制度規(guī)范，其對網(wǎng)絡(luò)安全漏洞的規(guī)制條款卻缺乏對漏洞治理環(huán)境、漏洞整體流程與社會主體責(zé)任等因素的細致考量，導(dǎo)致在治理實踐中尚存諸多困境亟需解決。本文即以此為主題，分析上述“命令控制型”治理模式的弊端，并引入合作主義范式，以期對我國網(wǎng)絡(luò)安全漏洞治理提出完善建議。

　　1 傳統(tǒng)網(wǎng)絡(luò)安全漏洞治理的“漏洞相關(guān)工作

　　當前，傳統(tǒng)由政府掌握主導(dǎo)權(quán)的治理機制在網(wǎng)絡(luò)安全漏洞肆意擴張的背景下日漸式微。由此需反思，網(wǎng)絡(luò)安全漏洞治理自身的”漏洞“ 何在？

　　1.1  標準漏洞：評級指標缺乏參與性

　　漏洞評級串聯(lián)漏洞的發(fā)現(xiàn)與披露周期，其關(guān)鍵性不言而喻。2021 年 6 月最新實施的 GB/  T 30279—2020《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南》將漏洞評級指標劃分為”被利用性“”影響程度“以及”環(huán)境因素“，主要關(guān)注網(wǎng)絡(luò)安全漏洞對目標對象所造成損害的嚴重程度。在上述指標的考量因素中，諸多數(shù)據(jù)需采集于網(wǎng)絡(luò)公眾用戶以及其他網(wǎng)絡(luò)主體，例如 ”被利用性“指標下的”交互條件“”環(huán)境因素“ 指標下的”影響范圍“等。然而，在既有網(wǎng)絡(luò) 安全漏洞治理規(guī)范中，卻未見網(wǎng)絡(luò)公眾用戶或 其他網(wǎng)絡(luò)主體參與前述信息采集的具體配套細 則，故上述二者應(yīng)如何提供與網(wǎng)絡(luò)安全漏洞有關(guān)的信息，并確保信息的真實、有效、客觀， 尚處空白地帶。同時，在當前網(wǎng)絡(luò)安全環(huán)境復(fù)雜， 各層級網(wǎng)絡(luò)主體擁有不同網(wǎng)絡(luò)安全需求的背景 下，上述評級指標在缺乏網(wǎng)絡(luò)公眾用戶以及其 他網(wǎng)絡(luò)系統(tǒng)主體有序參與的情況下，是否能夠?qū)W(wǎng)絡(luò)安全漏洞作出準確、實時的評級，也值得深思。

　　1.2  激勵漏洞：管理規(guī)范削弱積極性

　　2019 年發(fā)布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》旨在規(guī)范網(wǎng)絡(luò)安全漏洞的檢測、評估等行為。其雖明確中央各部委及行業(yè)主管部門在漏洞管理中的主導(dǎo)地位，但卻限制了第三方組織或個人對網(wǎng)絡(luò)安全漏洞的挖掘與披露。例如，該規(guī)定第 6 條指出”第三方組織或個人通過網(wǎng)站、媒體、會議等方式向社會發(fā)布漏洞信息，應(yīng)當……遵守以下規(guī)定：……（三）不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動的方法、程序和工具；……“此規(guī)定不僅使網(wǎng)絡(luò)安全愛好者的專業(yè)技術(shù)討論陷入”人人自?！暗木车兀魅跗涔蚕硇畔⒌姆e極性，并極有可能鏈接《中華人民共和國網(wǎng)絡(luò)安全法》第 62 條，使信息披露主體遭受行政處罰。正如某網(wǎng)絡(luò)安全人士表示，限制漏洞利用代碼及相關(guān)技術(shù)文章的分享， 將限制漏洞研究和安全社區(qū)的發(fā)展，并可能將網(wǎng)絡(luò)安全漏洞信息轉(zhuǎn)向地下黑產(chǎn)圈，使黑產(chǎn)圈的信息交換更為活躍。此外，上述規(guī)定第 7 條明確指出第三方組織應(yīng)當加強內(nèi)部管理，但其語句的概括性使之缺乏可操作的規(guī)程，而其中的”必要措施“表述則更令第三方組織者惘然無措。

　　1.3  責(zé)任漏洞：”白帽子責(zé)任“存在模糊性

　　”白帽子“特指通過技術(shù)手段侵入系統(tǒng)獲取數(shù)據(jù)的方式檢測查找安全漏洞并加以合法披露的善意第三人[1]。在我國法律體系下，”白帽子“的法律責(zé)任卻存在高度模糊性，其所實施的漏洞挖掘及披露行為長期處于罪與非罪的夾縫之中。首先，在主體身份層面，”白帽子“往往是未經(jīng)專業(yè)認證的網(wǎng)絡(luò)安全人員，其在身份上并未與網(wǎng)絡(luò)黑客有所區(qū)別，并且其多為社會主體， 帶有極強的非官方性質(zhì)，故其在主體身份上即無法獲得法律責(zé)任上的豁免。其次，在行為層面， 由于”白帽子“檢測或挖掘漏洞需采用特定的網(wǎng)絡(luò)檢測手段。雖然該手段對于”白帽子“自身而言，系以獲取網(wǎng)絡(luò)安全漏洞為目標，但從網(wǎng)絡(luò)安全管理者或司法機關(guān)的視角，在未檢測出網(wǎng)絡(luò)安全漏洞之前，前述準備工作在實質(zhì)上與《中華人民共和國刑法》第 285、286 條的破壞計算機信息系統(tǒng)行為并無差異。更何況在某些情況下，”白帽子“所使用的軟件內(nèi)含自動緩存功能，雖然其無意在檢測過程中獲取數(shù)據(jù)， 但該軟件卻可能自動緩存數(shù)據(jù)，造成信息泄露[2]。故實踐中”白帽子“的行為確實存在觸犯破壞計算機信息系統(tǒng)罪的可能。最后，在規(guī)范層面， 依據(jù)上述刑法條文，其難以在客觀層面區(qū)分”白帽子“和不法黑客，僅能從主觀層面進行考量 [3]。但司法實踐中對技術(shù)的”惡意利用“判斷又存在較為寬泛的自由裁量權(quán)，其需遵守《中華人民共和國刑法》第 285 條第 1 款的”嚴格保護“立場或是第 2 款的”非法控制“立場至今未有準確答案，導(dǎo)致司法實踐再次轉(zhuǎn)向?qū)陀^行為的認定，單純依賴情節(jié)與后果定罪。2016 年的袁煒案即為上述判定標準缺失的典型判例。

　　2 合作主義治理與網(wǎng)絡(luò)安全漏洞規(guī)制

　　如上所述，網(wǎng)絡(luò)安全漏洞治理規(guī)范帶有傳統(tǒng)的管制型色彩，未能充分考量網(wǎng)絡(luò)社會的積極因素，致使其忽略社會公眾的治理力量。對此， 引入合作主義模式以發(fā)揮治理合力，應(yīng)有助于完善網(wǎng)絡(luò)安全漏洞的防治體系。

　　2.1 以合作主義為核心的新治理范式

　　理論上，”合作主義“強調(diào)多元主體的合作與參與，以包容性更強的合作方式，促進各主體之間的資源分享與利益協(xié)調(diào)，以完成行政任務(wù) [4]。不同于以往由政府主導(dǎo)的”命令控制型“治理模式，合作主義治理旨在形成由政府、市場（社會組織）、企業(yè)協(xié)同的三方制衡關(guān)系， 在保持宏觀治理環(huán)境整體穩(wěn)定的背景下解決變動性強、復(fù)雜性高的治理難題。同時合作主義治理的定位是政府治理的有益補充，通過擴充行政治理資源以適配聯(lián)系日趨緊密的公私關(guān)系網(wǎng)絡(luò)，進而提高政府治理能力。

　　實踐中，行政治理視閾下的”合作主義“ 擁有廣泛的應(yīng)用范圍，其自身既是一種柔性的治理理念，也可外化為體現(xiàn)價值理念取向的硬性制度規(guī)范，故其有能力為網(wǎng)絡(luò)安全漏洞規(guī)制提供一種全新的轉(zhuǎn)型范式?；谇笆龇治?，缺少公眾參與的政府中心主義治理不可避免地存在治理失靈的現(xiàn)實困境，”合作主義“的引入既可為網(wǎng)絡(luò)安全漏洞規(guī)制提供價值指導(dǎo)，促使網(wǎng)絡(luò)社會主體積極融入治理參與方，還可具體搭建多方協(xié)作的網(wǎng)絡(luò)安全漏洞治理網(wǎng)絡(luò)，在充分考量各方利益需求的基礎(chǔ)上填補既有治理機制的空白，提供滿足公眾需求的治理公共產(chǎn)品， 并在治理進程中更好地處理網(wǎng)絡(luò)空間安全與網(wǎng)絡(luò)技術(shù)創(chuàng)新發(fā)展的平衡關(guān)系。

　　2.2 ”合作主義“治理在網(wǎng)絡(luò)安全漏洞治理中的必要性

　　2.2.1 網(wǎng)絡(luò)社會權(quán)力扁平化

　　從社會權(quán)力視角而言，網(wǎng)絡(luò)社會權(quán)力的扁平化決定了政府權(quán)力必須實現(xiàn)從科層制向扁平化的轉(zhuǎn)變，此種信息力量直接影響政府的決策， 改變著傳統(tǒng)政府自上而下的權(quán)力的運行機制 [5]。因此，單純由政府主導(dǎo)的垂直治理必然無法因應(yīng)扁平化的網(wǎng)絡(luò)社會轉(zhuǎn)型。

　　毋庸置疑，隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)權(quán)力格局被打破，以往居于金字塔頂端、主導(dǎo)網(wǎng)絡(luò)權(quán)力的政府力量被社會網(wǎng)絡(luò)權(quán)力逐漸分散。在當前以”去中心化、去組織化“ 為主要特征的網(wǎng)絡(luò)權(quán)力格局中，網(wǎng)絡(luò)權(quán)力不斷被稀釋，網(wǎng)絡(luò)空間中的社會主體顯然均可成為網(wǎng)絡(luò)權(quán)力的擁有者 [6]，并依托私有權(quán)力威脅整體網(wǎng)絡(luò)空間安全，其中就包括掌握網(wǎng)絡(luò)安全漏洞等關(guān)鍵信息的網(wǎng)絡(luò)黑客。比如，去中心化區(qū)塊鏈技術(shù)運行環(huán)境下的智能合約編程 solidity 安全漏洞、邏輯漏洞和代碼漏洞等，均可由普通的社會主體所掌握。網(wǎng)絡(luò)社會權(quán)力的扁平化發(fā)展趨勢決定了政府的治理架構(gòu)必須相應(yīng)作出調(diào)整， 以妥善應(yīng)對分散于各私主體之間的網(wǎng)絡(luò)安全漏洞。此外，由于各網(wǎng)絡(luò)主體的安全需求不盡相同， 故需同時依托各私主體間的相互協(xié)作，利用技術(shù)與政策兼顧各方利益，全面實現(xiàn)網(wǎng)絡(luò)安全漏洞的合作主義治理。

　　2.2.2 網(wǎng)絡(luò)安全相互依賴性脆弱

　　網(wǎng)絡(luò)安全的”相互依賴性脆弱“使傳統(tǒng)由政府主導(dǎo)的”命令控制型“治理顧此失彼，亟待合作主義規(guī)制對網(wǎng)絡(luò)安全漏洞進行整體修補與完善。具體而言，其主要體現(xiàn)為如下兩個層面， 一是網(wǎng)絡(luò)信息技術(shù)的蓬勃發(fā)展使網(wǎng)絡(luò)主體間的相互聯(lián)系相較以往愈加緊密。傳統(tǒng)被地域分割的社會個體如今可以通過網(wǎng)絡(luò)信息技術(shù)而被聚集至單一的網(wǎng)絡(luò)社區(qū)或社群之間，形成比以往社會個體聯(lián)系更為緊密的網(wǎng)絡(luò)關(guān)系。這種網(wǎng)絡(luò)主體間的相互依賴導(dǎo)致單個網(wǎng)絡(luò)主體存在網(wǎng)絡(luò)安全漏洞時，其所生風(fēng)險可能依托各主體間的網(wǎng)絡(luò)關(guān)系迅速蔓延，從而導(dǎo)致與其相關(guān)的網(wǎng)絡(luò)主體亦被卷入網(wǎng)絡(luò)安全風(fēng)險之中，形成網(wǎng)絡(luò)安全的”多米諾骨牌“效應(yīng)，直至危及系統(tǒng)整體安全。二是網(wǎng)絡(luò)信息的相互依賴性。一方面， 對于網(wǎng)絡(luò)攻擊的守方而言，網(wǎng)絡(luò)安全依賴于與之相關(guān)的信息可信度與可獲取性。網(wǎng)絡(luò)安全漏洞的存在將使網(wǎng)絡(luò)信息的存儲與交流受到巨大威脅，尤其是涉及國家安全或各類基礎(chǔ)設(shè)施的關(guān)鍵信息、敏感信息等。若此類信息被網(wǎng)絡(luò)黑客篡改或盜取，其后果將十分慘重。另一方面， 對于網(wǎng)絡(luò)攻擊的攻方而言，其攻擊能力與頻率依仗網(wǎng)絡(luò)信息的相互依賴性顯著提升，而網(wǎng)絡(luò)安全漏洞的出現(xiàn)則直接為其提供攻破系統(tǒng)安全屏障的內(nèi)部突破口。因此，只有構(gòu)筑各利益相關(guān)方相互協(xié)作、信息共享的機制，方可在脆弱的網(wǎng)絡(luò)安全體系下防范漏洞風(fēng)險。

　　3 網(wǎng)絡(luò)安全漏洞”合作主義“治理的美國經(jīng)驗

　　作為網(wǎng)絡(luò)安全規(guī)制的先行者，美國擁有全球最為完善的網(wǎng)絡(luò)安全漏洞治理體系。本文即以其為分析對象，探究社會主體與政府部門在該體系下的融合之道，為我國構(gòu)建”合作主義“ 框架提供借鑒藍本。

　　3.1   ”合作主義“與網(wǎng)絡(luò)安全漏洞挖掘激勵

　　在漏洞挖掘階段，美國政府部門主要通過對私主體的獎勵計劃以激勵其對網(wǎng)絡(luò)安全漏洞的挖掘。典型者如知名白帽子平臺 Hackerone與美國國防部為測試后者防御網(wǎng)絡(luò)漏洞攻擊能力而聯(lián)合發(fā)起的”黑掉五角大樓“（Hack the Pentagon）漏洞眾測計劃。該項目由美國國防部數(shù)字化服務(wù)部主導(dǎo)，由網(wǎng)絡(luò)安全工程師和專家組成。在為期近一個月的活動中，共有約 250 名漏洞研究人員提交了關(guān)于五角大樓的漏洞報告， 其中 138 份報告鑒定合格并被發(fā)放賞金。在”黑掉五角大樓“計劃成功實施后，美國國防部又先后舉辦了”黑掉陸軍“（Hack the Army）和”黑掉空軍“（Hack the Air Force）等多個類似懸賞計劃，旨在鼓勵民間網(wǎng)絡(luò)安全人員對網(wǎng)絡(luò)漏洞的挖掘和發(fā)現(xiàn)，為官方政府提供更為全面與安全的解決方案。據(jù)統(tǒng)計，從美國國防部展開漏洞挖掘項目以來，受邀的安全專家已提交超過2.9萬個漏洞報告，其中逾 7 成屬于有效漏洞。為此，2021 年 5 月，美國國防部宣布將漏洞挖掘項目擴大至所有可公開訪問的美國國防部信息系統(tǒng)， 以拓寬網(wǎng)絡(luò)安全人員查找安全漏洞的覆蓋面 [7]。

　　3.2  ”合作主義“與網(wǎng)絡(luò)安全漏洞披露規(guī)制

　　針對網(wǎng)絡(luò)安全漏洞披露，美國主要以立法形式對其程序與界限作出具體規(guī)定，為社會主體構(gòu)筑可信的披露框架。其早在 2012 年《網(wǎng)絡(luò)安全法案》（Cybersecurity Act ）中，即詳細規(guī)定了網(wǎng)絡(luò)安全威脅可予合法披露的情形。根據(jù)該法案第 701 條，若獲得第三方合法授權(quán)，私人主體可監(jiān)視其信息系統(tǒng)及其存儲、處理和傳輸?shù)男畔?，并可對該信息采取相?yīng)措施。第 702 條規(guī)定，允許私人主體向其他主體披露其依法獲取的網(wǎng)絡(luò)安全威脅信息，但要求信息披露與接收方遵守特定限制，主要包括保護信息記錄、流量或與之相關(guān)的人員信息；遵守披露實體對披露或使用網(wǎng)絡(luò)安全威脅指標所設(shè)置的任何合法限制；不得獲取不公平競爭優(yōu)勢；披露目的旨在保護信息系統(tǒng)及數(shù)據(jù)安全。此后，于 2018 年生效的《公私網(wǎng)絡(luò)安全合作法案》（Public- Private Cybersecurity Cooperation Act ） 則要求國土安全部為社會主體制定漏洞披露政策，包括披露程序、披露信息系統(tǒng)以及網(wǎng)絡(luò)安全漏洞的條件和標準等，以幫助其在國土安全部認可的信息系統(tǒng)上報告安全漏洞。同時該法案還提出在制定安全漏洞披露政策時，政策制定者應(yīng)與司法部門、國防部門以及非官方安全研究人員進行協(xié)商，促使網(wǎng)絡(luò)安全漏洞的披露政策得以符合各方利益。

　　3.3   ”合作主義“與網(wǎng)絡(luò)安全漏洞信息共享

　　在司法層面，美國 2015 年通過的《網(wǎng)絡(luò)安全信息共享法案》（Cybersecurity Information Sharing Act，CISA ）明確指出，對于非機密的”網(wǎng)絡(luò)威脅指標“和”防御措施“信息，聯(lián)邦政府不僅可在政府機構(gòu)間共享，也可與企業(yè)組織和社會公眾分享；而對于機密的網(wǎng)絡(luò)安全信息，共享對象則僅限于具有安全資質(zhì)的主體。該法案重申了社會公眾分享網(wǎng)絡(luò)信息時需出于網(wǎng)絡(luò)安全目的，并確立了”合法披露“原則：社會公眾只要在符合 CISA 要求的前提下共享、接收網(wǎng)絡(luò)安全信息，其即可免于承擔法律責(zé)任。在行政層面，奧巴馬政府曾于同年簽署行政命令，下令建立專門的”信息共享和分析機構(gòu)“（ISAOs），以支持國土安全部的國家網(wǎng)絡(luò)安全和通信整合中心（NCCIC）成為私營企業(yè)共享網(wǎng)絡(luò)威脅數(shù)據(jù)的樞紐。而新任美國總統(tǒng)拜登于今年 5 月 12 日則再次簽署相關(guān)行政命令，要求網(wǎng)絡(luò)服務(wù)提供商應(yīng)盡可能消除合同障礙，共享可能影響政府網(wǎng)絡(luò)安全的漏洞信息，以協(xié)助提高聯(lián)邦政府的網(wǎng)絡(luò)防御能力以及整體網(wǎng)絡(luò)。

　　4 我國網(wǎng)絡(luò)安全漏洞治理的”合作主義“框架

　　上述論述表明，”合作主義“范式在網(wǎng)絡(luò)安全漏洞治理中兼具必要性與可行性，故下文嘗試結(jié)合我國網(wǎng)絡(luò)安全規(guī)制現(xiàn)狀，構(gòu)筑防控網(wǎng)絡(luò)安全漏洞的”合作主義“框架。

　　4.1 行政與司法的合作：明晰”白帽子“的權(quán)責(zé)邊界

　　目前，我國”白帽子“主要以個人身份對網(wǎng)絡(luò)安全漏洞進行檢測，或是利用眾測平臺等網(wǎng)絡(luò)安全服務(wù)機構(gòu)進行實名注冊后進行 [8]。在個人主體挖掘漏洞的法律責(zé)任不甚明確的境況下， 可從與”白帽子“簽訂服務(wù)關(guān)系的網(wǎng)絡(luò)安全服務(wù)機構(gòu)入手，為”白帽子“提供法律責(zé)任的豁免制度。因此，我國可出臺網(wǎng)絡(luò)安全服務(wù)機構(gòu)的管理規(guī)章，細化服務(wù)機構(gòu)對”白帽子“的認證管理制度，尤其需強化其對”白帽子“在漏洞挖掘許可與漏洞信息披露行為方面的管理。此外，網(wǎng)絡(luò)安全服務(wù)機構(gòu)還可代表”白帽子“ 與政府、企業(yè)簽訂”網(wǎng)絡(luò)安全漏洞挖掘協(xié)議“， 并在協(xié)議中明確相關(guān)行為的法律責(zé)任，為司法裁判提供免責(zé)的法律基礎(chǔ)。

　　誠然，僅有行政領(lǐng)域的制度供給難以為”白帽子“的法律責(zé)任廓清界限。實踐中還需依托司法能動主義的”合作“，即考量多元社會價值，尋求建立恰當而有效的最高司法指導(dǎo)機制[9]。具體而言，雖然我國刑法第 285 條規(guī)定已對非法侵入計算機信息系統(tǒng)罪作出明文規(guī)定，但在司法實踐中，仍應(yīng)充分考量”白帽子“在實施漏洞挖掘行為時的主觀狀態(tài)，將此作為定罪量刑的重要考量因素，而非徑直以危害后果作為司法裁判依據(jù)。同時，最高人民法院還可取材于司法實踐，制定司法解釋或發(fā)布典型司法案例以明確”白帽子“黑客挖掘、披露漏洞行為的法律責(zé)任邊界，以此作為對刑法第 285 條的有益補充。

　　4.2  行政與行政的合作：加強網(wǎng)絡(luò)安全漏洞協(xié)同機制

　　現(xiàn)階段，我國雖然已建立起由國家信息安全漏洞共享平臺（CNVD）為主導(dǎo)的網(wǎng)絡(luò)安全漏 洞信息披露機制，但是在網(wǎng)絡(luò)安全漏洞披露后的協(xié)同處置上卻略顯空白。2015 年簽訂的《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》僅對國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）與各社 會主體之間的協(xié)同處置作出規(guī)定，未有其他制度規(guī)范或自律性規(guī)范構(gòu)筑各行政部門之間的協(xié)同處置框架。為填補此空白，不僅需建立網(wǎng)絡(luò)安全漏洞協(xié)同處置組織，由國家網(wǎng)絡(luò)安全和信息化委員會辦公室領(lǐng)銜，并且需制定網(wǎng)絡(luò)安全漏洞協(xié)同處置規(guī)范，細化上述自律公約中要求CNCERT”積極建立與政府和重要信息系統(tǒng)部門、行業(yè)單位的處置聯(lián)系渠道“的內(nèi)容。此外，另需設(shè)計合理的協(xié)同處置網(wǎng)絡(luò)安全漏洞風(fēng)險的責(zé)任制度。如針對硬件和軟件的漏洞，事先界定資產(chǎn)管理部門、業(yè)務(wù)管理部門以及信息安全部門之間的責(zé)任：資產(chǎn)管理應(yīng)與服務(wù)供應(yīng)商協(xié)調(diào)，修復(fù)漏洞并定期增補補?。粯I(yè)務(wù)管理部門則應(yīng)對網(wǎng)絡(luò)系統(tǒng)內(nèi)部原因?qū)е赂呶Ｂ┒礋o法消除的情形制訂替代方案，廢除相關(guān)應(yīng)用系統(tǒng)；信息安全部門則應(yīng)對漏洞信息披露以及后續(xù)處置負責(zé)，防范利用網(wǎng)絡(luò)安全漏洞的攻擊。

　　4.3 行政與公眾的合作：推動漏洞挖掘公眾參與

　　如上所述，調(diào)動私主體挖掘漏洞的積極性是”合作主義“框架下公眾參與的重要環(huán)節(jié)，故行政部門可選擇增設(shè)網(wǎng)絡(luò)安全漏洞挖掘獎勵以及漏洞評級參與途徑，加強與社會公眾的互動。

　　首先，行政部需對《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》作出修訂，刪除其第六條第（一）款、第（三）款以及第七條第（三） 款的規(guī)定，另增設(shè)一條明確概括性的”合法原則“，即在符合整體網(wǎng)絡(luò)安全漏洞管理規(guī)定要求， 且為正當合法目的而進行網(wǎng)絡(luò)安全漏洞挖掘的社會主體，可免于承擔法律責(zé)任，以此增加法律法規(guī)的明確性并減少網(wǎng)絡(luò)安全漏洞挖掘者觸碰法律法規(guī)紅線的風(fēng)險。其次，行政部門應(yīng)拓寬社會主體參與漏洞評級的途徑，暢通行政部門與企業(yè)主體所掌握的漏洞評級信息的共享渠道。而通過對網(wǎng)絡(luò)安全信息的共享并對安全漏洞進行評級，亦可幫助同一領(lǐng)域內(nèi)的其他主體發(fā)現(xiàn)更為隱秘的安全漏洞，提升漏洞處置的及時性。最后，行政部門可進一步拓寬網(wǎng)絡(luò)安全漏洞挖掘獎勵計劃的范圍。我國目前的漏洞獎勵計劃主要由社會企業(yè)發(fā)起，例如阿里巴巴、百度、京東等科技巨頭，但少見由官方行政部門發(fā)布的漏洞挖掘獎勵計劃。上述企業(yè)的激勵計劃自然系為其企業(yè)自身服務(wù)，故被挖掘出的網(wǎng)絡(luò)安全漏洞對國家整體網(wǎng)絡(luò)安全建設(shè)可能收效甚微。因此，我國行政管理部門后續(xù)可設(shè)置類似”黑掉五角大樓“項目的網(wǎng)絡(luò)安全漏洞挖掘獎勵活動，在內(nèi)部網(wǎng)絡(luò)安全許可的前提下激勵社會主體進行網(wǎng)絡(luò)安全漏洞挖掘競賽，對優(yōu)先挖掘或處置漏洞的網(wǎng)絡(luò)安全人員進行資金獎勵，以調(diào)動社會主體參與處置漏洞的熱情。

　　5　結(jié)　語

　　網(wǎng)絡(luò)安全漏洞治理日益成為各國網(wǎng)絡(luò)安全治理的中心議題。由于我國網(wǎng)絡(luò)安全漏洞治理存在”命令—控制“型的特征，故其不可避免地在漏洞評級指標、漏洞披露政策以及”白帽子“ 法律責(zé)任上缺乏整體性考量。因網(wǎng)絡(luò)社會權(quán)力扁平化和網(wǎng)絡(luò)安全相互依賴性脆弱等特征的存在，網(wǎng)絡(luò)安全漏洞治理范式亟需向”合作主義“ 轉(zhuǎn)型。現(xiàn)階段，我國首先需明晰”白帽子“法律責(zé)任的邊界，為社會公眾參與漏洞治理提供可預(yù)見的法律環(huán)境。其次，需構(gòu)筑漏洞協(xié)同機制， 搭建行政部門之間的合作框架。最后，通過增設(shè)漏洞挖掘獎勵計劃并拓寬社會公眾參與漏洞評級的渠道，加速該領(lǐng)域的”公私合作“進程。2021 年 7 月 12 日，工業(yè)和信息化部、國家網(wǎng)信辦與公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，對網(wǎng)絡(luò)安全漏洞協(xié)作管理、漏洞挖掘獎勵以及”白帽子“行為規(guī)范等內(nèi)容作出回應(yīng)， 初步勾勒出合作型網(wǎng)絡(luò)安全漏洞治理的規(guī)范框架。以此為基礎(chǔ)，我國網(wǎng)絡(luò)安全漏洞治理的配套措施與工作機制亦將陸續(xù)完善，為網(wǎng)絡(luò)安全漏洞產(chǎn)業(yè)的健康發(fā)展提供更為精細、全面的規(guī)范指導(dǎo)。