网络产品安全漏洞管理浅析

数字经济时代，网络安全已经成为国家安全的重要组成部分，被称为数字经济发展的“生命线”。近年来，我国网络安全立法取得积极进展。《数据安全法》《个人信息保护法》《网络安全审查办法》《国家网络空间安全战略》《关键信息基础设施安全保护条例》等相关法律法规、战略规划不断出台和修订，表明我国网络空间法治进程迈入新时代。

在日前举办的从典型案例看网络安全和个人信息保护领域的典型问题活动上，达晓律师事务所律师邓勇以Apache安全漏洞事件为例，对网络安全规制现状进行了介绍。

邓勇介绍说，去年年底工信部关于阿帕奇Log4j2组件重大安全漏洞风险提示，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本，以降低网络安全风险。

去年12月22日，工信部再次通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云关于开源社区阿帕奇log4j2漏洞情况的说明称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

据悉，阿帕奇漏洞被认为是近年来最大的高危型计算机漏洞，该漏洞影响范围极其广泛，波及到全球数亿台网络设备。因此，阿帕奇安全漏洞事件自发酵起，引发了社会各界的广泛关注，从专业技术层面、数据合规方面都有不同的观点出现。

而根据《网络产品安全漏洞管理规定》（以下简称《规定》）第二条规定：中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、等活动的组织或者个人，应当遵守本规定。

“网络产品提供者在发现产品安全漏洞后有验证、评估、通知、报送、修补、告知义务。其中，阿里云公司正是因为没有履行‘报送义务’，直接导致了此次阿帕奇漏洞事件的发酵。”邓勇表示，《规定》中没有明文规定如何处罚，只能以《网络安全法》第六十条的规定作为处罚依据。在该条规定中，“责令改正，给予警告”是首要处罚措施，“罚款”是在拒不改正或导致危害后果时才能适用的处罚措施。因此，暂停合作单位6个月严格来说并不属于法定处罚措施，更多是象征意义上的“警告”。同时，行政机关在履行其法定职责时，也要遵循行政法律法规的合规要求，对于没有法律明文规定处罚措施的违规行为，行政机关也不能滥用权力予以处罚。

邓勇称，《规定》于2021年7月12日，同年9月1日正式实施，中间留有一个半月的“缓冲期”。属于规制范围内的主体阿里云在发现安全漏洞信息后只是根据业界惯例向境外基金会报告，没有按照《规定》的流程履行报送义务，说明该主体内部缺乏合规流程。同时，阿里云公司按照既往惯例首先向美国阿帕奇基金会而非国家工信部报告的行为，从现行的法律规制来看，也隐含一定的合规风险。阿里云作为关键信息基础设施运营者，其掌握的数据信息与国家安全息息相关，这些数据能否出境、出境是否需要审查，都应引以重视。我国的《网络安全法》、《数据安全法》等对于重要数据的跨境流动和传输已有较为明确的规定。

“从企业合规运作的角度来看，涉及重要数据、敏感信息的出境问题，数据运营者应当慎之又慎，做好前期预案，逐步建立起企业合规管理体系，避免再次出现此类违规事件。”邓勇表示。

作者:穆青风 单位:中国贸易报