网络漏洞的法律属性 谢永江 北京邮电大学互联网治理与法律研究中心 常务副主任/副教授 2016年8月16日·北京 目录 一、网络漏洞的性质 二、网络漏洞上的权利 三、网络漏洞的挖掘 四、网络漏洞的披露 五、网络漏洞的交易 六、结论与建议 一、网络漏洞的性质  网络漏洞定义  存在于计算机网络硬件、软件、协议、在线服务或管理 中的，可被他人用以实施威胁的弱点。  产生漏洞的原因：设计缺陷、管理薄弱、意识和教育不 足、技艺水平的发展和现行实践的提高等。  网络漏洞的性质  1、网络漏洞本质上是网络产品或服务的缺陷信息。  2、网络漏洞风险客观存在，当前科技水平无法绝对消 灭。 二、网络漏洞上的权利  网络漏洞的价值：双刃剑  消极价值：网络黑客通过漏洞攻击谋利；网络所有人或 用户因被攻击而遭受损失。  积极价值：发现-弥补漏洞以维护网络所有或用户利益； 在网络战中作为数字武器/战略资源。  网络漏洞上的权利  商业秘密权（网络所有人/管理人/发现者）：保密义务  发现权？《民法通则》第97条第1款：公民对自己的发 现享有发现权。  权利限制：对占有、使用、收益、处分权能进行 限制 三、网络漏洞的挖掘  漏洞挖掘：鼓励还是禁止？《刑法》第285条：  【非法侵入计算机信息系统罪】：违反国家规定，侵入国家 事务、国防建设、尖端科学技术领域的计算机信息系统的， 处三年以下有期徒刑或者拘役。  【非法获取计算机信息系统数据、非法控制计算机信息系统 罪】违反国家规定，侵入前款规定以外的计算机信息系统或 者采用其他技术手段，获取该计算机信息系统中存储、处理 或者传输的数据，或者对该计算机信息系统实施非法控制， 情节严重的，处三年以下有期徒刑或者拘役，并处或者单处 罚金；情节特别严重的，处三年以上七年以下有期徒刑，并 处罚金。  发展中求安全  习近平4·19讲话：网络安全是动态的而不是静态的。网络安 全是开放的而不是封闭的。 四、网络漏洞的披露  禁止披露：助长网络攻击的发生  例外情形： 1、经所有人授权或向所有人披露 2、向政府主管机构报告、共享 3、向网络漏洞平台（补天、乌云、漏洞盒子） 等市场专业机构披露？ 4、涉及公共利益（如常用浏览器漏洞）？ 5、研究目的 6、漏洞弥补后的披露 五、网络漏洞的交易  网络漏洞类似于限制流通物  受让人的限制： 软件、网络所有人/管理人 政府指定/认可的网络漏洞库 经授权的网络漏洞平台 六、结论与建议  1、尽快出台有关网络漏洞的挖掘、披露、利用、 交易规则，规范网络漏洞各方主体的权利义务。  2、明确网络漏洞平台的法律地位，构建公开、有 序的网络漏洞市场，促进网络安全产业的发展。 THANK YOU