第二节 网络产品和服务提供者的安全保障义务
适用要点
1.网络产品和服务符合的强制性要求
2.恶意程序的防范要求
3.网络产品和服务的安全风险应对义务
4.网络产品和服务的安全维护义务
《网络安全法》第十六条明确规定:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”该条从总体上概括提出网络产品和服务应该满足的要求,即安全可信。2017年5月,网信办相关负责人在答记者问时指出,“安全可信”至少包括三个方面的含义:即保障用户对数据可控、保障用户对系统可控、保障用户的选择权。《网络安全法》第二十二条第一款与第十六条密切衔接,具体提出了网络产品和服务提供者安全保障的义务,即“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。
为贯彻落实《网络安全法》对网络产品和服务的安全要求,提高网络产品和服务的安全可信能力,需要重点解决网络应用中存在的恶意程序植入、安全缺陷漏洞响应等问题。为此,《网络安全法》第二十二条第一款和第二款规定了网络产品、服务提供者的四项安全保障义务,即(1)网络产品、服务要符合国家标准的强制性要求;(2)在提供的产品和服务中不得设置恶意程序;(3)存在安全风险时,应采取补救措施并告知用户,同时报告给主管部门;(4)在规定期限内持续提供安全维护。
一、网络产品和服务必须符合国家标准强制性要求
维护网络安全,首先要保障网络产品和服务的安全,网络产品和服务的安全可控是保障我国网络安全的基础。《网络安全法》第十六条总体上明确了网络产品和服务的要求,第二十二条明确了网络产品和服务提供者的具体安全保障义务,两个法条之间紧密契合、有效衔接。《网络安全法》一审草案对网络产品和服务提供者须遵从的国家标准强制性要求规定主要体现在第十八条,原条文表述为:“网络产品、服务应当符合国家标准、行业标准。”最终版去掉了行业标准,将国家标准改为国家标准的强制性要求,更体现了国家层面对网络产品和服务者安全保障义务的高度重视和规范决心。
2017年8月,全国信息标准化技术委员会发布了《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》(以下简称《征求意见稿》)。
该标准旨在规定网络产品和服务应满足的最小安全要求,维护用户的合法权益,具体规定了网络产品、服务提供者的安全保障要求。
《征求意见稿》规定的网络产品和服务提供者所提供的网络产品和服务必须满足的安全目标包括:(1)保密性:保障网络产品和服务中敏感信息不被泄露,降低敏感信息泄露的安全风险。(2)完整性:保障网络产品和服务不被非法替换或伪造,降低数据被篡改的安全风险。(3)可用性:保障网络产品和服务的持续运行和供应,降低网络产品和服务供应中断的安全风险。(4)可控性:保障网络产品和服务运行过程中的安全风险可控,降低产品和服务供应方、提供方恶意控制用户的网络产品和服务、非授权获取用户数据,以及利用用户对产品和服务的依赖实施不正当竞争或损害应用方利益的风险。对于网络产品、服务提供者的一般安全要求,具体包括恶意程序防范、缺陷漏洞管理、安全运行维护等。
二、不得设置恶意程序
根据《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》,恶意程序是指用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序;常见的恶意程序包括病毒、蠕虫、木马或其他影响主机、网络或系统安全、稳定运行的程序。该标准(征求意见稿)规定了对恶意程序的防范要求,具体包括:(1)禁止在网络产品和服务的研发、生产、交付、运维等过程中植入恶意程序;(2)禁止在网络产品和服务中设置隐蔽接口或未明示功能模块,如隐蔽的管理接口或调试接口;(3)禁止加载能够禁用或绕过安全机制的组件,不存在硬编码方式的默认口令和隐藏账号;(4)必须建立和实施网络产品和服务的完整性保护措施,减少产品和服务的关键组件、过程和数据被篡改、伪造的风险;(5)保护用户对软件安装、使用、升级、卸载的知情权和选择权,安装和升级软件时必须明示告知用户并获得用户同意,允许用户卸载产品核心功能之外的软件,禁止通过技术手段强制或诱导用户安装和升级用户不知情的软件;(6)通过用户协议、产品使用说明书、门户网站等途径,承诺提供的网络产品和服务不包含恶意程序、隐蔽接口或未明示功能模块等。
2017年9月,工业和信息化部发布《公共互联网网络安全威胁监测与处置办法》,再次明确了恶意程序的范围,包括被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等。
2016年12月,工信部发布《移动智能终端应用软件预置和分发管理暂行规定》,规范了移动智能终端生产企业、互联网信息服务提供者等相关企业在软件产品中设置恶意软件的行为。其中,第八条规定:“从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任:……(二)应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。……(五)对于违反本规定第四条要求的应用软件,以及在通信主管部门监督检查中发现的恶意应用软件,相关企业应予以及时下架。……”第九条规定:“通信主管部门应对生产企业和互联网信息服务提供者落实本规定相关要求情况进行监督检查:(一)通信主管部门应组织专业检测机构对生产企业预置的和互联网信息服务提供者提供的应用软件开展监督检测和恶意应用软件认定工作,相关企业应给予配合,并提供便捷的获取应用软件的条件。(二)检测机构应及时将检测和认定报告提交通信主管部门。通信主管部门依据报告,要求并监督相关企业进行整改,通知并监督互联网信息服务提供者下架恶意应用软件。(三)通信主管部门向社会通报监督检查和检测情况。(四)对于紧急情况以及互联网信息服务提供者未按要求及时下架违法应用软件的,通信主管部门可依法依规要求有关单位采取处置措施。”第十条规定:“……(三)工业和信息化部支持相关社会组织通过行业自律形式,建立恶意应用软件黑名单,实现黑名单信息在相关企业、专业检测机构以及用户之间的共享。”
三、网络产品、服务的安全风险应对义务
《信息安全技术术语》规定,风险是指一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。对此可通过事件的概率及其后果进行度量。《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》提出了安全缺陷和漏洞的概念。安全缺陷是指网络产品和服务中由于设计、开发错误、配置错误、生产问题或运维缺陷引入的可能影响网络产品和服务安全的弱点。漏洞即脆弱性,是网络产品和服务中能够被威胁利用的弱点。安全缺陷和漏洞都属于信息安全管理的内在脆弱性,与之相对的是外部安全威胁,两者结合起来共同构成信息安全风险。《网络安全法》延续了传统信息安全的内外两分法,将网络安全缺陷和漏洞纳入安全风险范畴予以规制,第二十五条规定将系统漏洞(内部脆弱性)和计算机病毒、网络攻击、网络侵入等外部安全威胁作为整体安全风险。
(一)具体应对措施
网络产品和服务的安全缺陷、漏洞等风险难以避免,产品和服务提供者在发现安全风险后负有及时应对的义务。此规定衔接了《消费者权益保护法》第十九条的规定:“经营者发现其提供的商品或者服务存在缺陷,有危及人身、财产安全危险的,应当立即向有关行政部门报告和告知消费者,并采取停止销售、警示、召回、无害化处理、销毁、停止生产或者服务等措施。采取召回措施的,经营者应当承担消费者因商品被召回支出的必要费用。”该条规定了一般商品和服务的风险应对措施,主要适用于传统意义上的消费品。该条规定与《网络安全法》第二十二条在采取措施上有所差异,但本质都是为了保护消费者或用户的合法权益,规范市场秩序。相比而言,《网络安全法》更加强调网络环境中发生的网络产品的质量缺陷,注重规范最近几年新出现的漏洞等新型安全风险。鉴于网络产品和服务的特殊性,一旦使用难以适用召回、停止生产和服务等措施,因此,需要新的风险应对措施。例如,软件产品存在风险,采用更多的是按照缺陷的潜在威胁及时制定响应措施,如通过相关机构之间的信息共享尽快研制补丁等。实践中,广州市动景计算机科技有限公司UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险一案中,执法机构除要求其采取整改措施之外,还要求其开展通信网络安全防护风险评估,建立新业务上线前安全评估机制和已上线业务定期核查机制,对已上线网络产品服务进行全面检查,排除安全风险隐患。由此可见,这些方式也是信息化时代网络产品和服务提供者应对安全风险的可实施的常见方式。
《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》规定了网络产品、服务提供者的缺陷漏洞管理要求,包括:(1)在网络产品和服务的设计、开发环节识别安全风险,制定安全策略,采取适当的安全措施保障关键组件的设计和开发安全,网络产品和服务在交付前必须进行安全性测试,控制安全风险;(2)建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程;(3)在发现网络产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,按照国家网络安全监测预警和信息通报制度等规定,及时告知用户安全风险,并向有关主管部门报告。
(二)及时向用户告知
关于及时告知用户的规定,在我国现有法律法规和标准中暂未进行具体明确的规定,需要相关规定进一步明确。根据目前实践中网络安全产品和服务提供者的做法,可以总结出向用户告知安全缺陷或漏洞的以下主要方式和内容。
1.告知方式,即通过何种形式告知。网络产品和服务提供者的安全漏洞告知方式包括:口头形式(主要是通过电话方式,由于这种方式成本较高,需耗费大量人力和时间,因此使用较少)、短信形式、书面形式(写在纸上并邮寄);电子形式(如电子邮件,但是必须是服务使用者事先表示同意接受这种形式并符合《电子签名法》的规定);弹框形式(弹框告知使用较多,且在弹框告知之际,一般已经有研发好的补丁可以修复缺陷或漏洞,这种方式是目前常用的方式之一)。比较而言,邮件告知的成本较小,加上信息系统的无国界性,经过邮件加密发送也可以减小信息泄露的概率。
2.告知内容,即应该向用户告知什么。鉴于安全风险的特殊性及近些年安全漏洞的资源属性迅速凸显,增加了漏洞等安全风险的复杂性,向用户告知的内容和向主管部门报告的内容也应慎重考虑。首先,应说明某个产品或服务存在安全风险这一事实;其次,关于漏洞等风险的详细信息,对于用户和主管部门应该有所区分。对用户而言,只要知道风险存在,加以防范即可,因此,为避免安全风险的详细信息被恶意利用,只需告知用户存在什么性质的风险即可(例如,缺陷、漏洞的类型)。主管部门与用户不同,主管部门担负着监督风险应对措施、调动各方力量共同研究响应机制的职责,因此,在向主管部门报告安全风险时,不仅应报告风险基本信息,还应报告详细信息,这样有利于主管部门发挥监管职责,共享信息并协调各方力量尽快制定解决方案;再次,应该告知安全风险可能造成的后果及用户可以采取的降低风险的措施;最后,在补丁修复或者找到其他解决办法之后,也应及时向用户告知。
(三)报告有关主管部门
根据《网络安全法》第八条的规定,目前我国形成了网信、工信、公安等部门各司其职并在网信部门统筹协调下开展网络安全保护和监督管理工作的职责布局。《网络安全法》第二十二条规定,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应按照规定向有关主管部门报告,此处的“有关主管部门”包括网信部门、工信部门和公安部门等。《计算机信息系统安全保护条例》第十四条规定:“对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。”据此,对于网络产品、服务存在安全缺陷、漏洞风险引发具体案件时,应当依据此条向县级以上人民政府公安机关报告。2017年8月9日,工业和信息化部关于印发《公共互联网网络安全威胁监测与处置办法》第六条规定:“相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。”根据此条,工信部和各地通信管理局也明确属于《网络安全法》第二十二条规定的“有关主管部门”。在广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险一案中,广东省通信管理局即依据《网络安全法》第二十二条实施了行政处罚。
四、提供安全维护义务
可用性和持续性是网络产品和服务应有之意,网络安全维护作为系统正常运行的保障,其重要性显而易见。2014年,微软停止服务事件,致使大量用户,包括金融、政治、军事等多领域的计算机系统面临严重的安全威胁。基于对用户合理信赖利益的保护,网络产品和服务提供者作为安全维护的主体,在法律规定或者约定的期限内,应当为系统提供安全、稳定的运行环境,确保系统远离高危漏洞、恶意攻击、入侵篡改等威胁。
《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》规定,网络产品和服务提供者必须满足以下要求:(1)在国家法律、行政法规、部门规章等规范性文件规定或与用户约定的期限内,为网络产品和服务提供持续的安全维护;(2)在国家法律、行政法规、部门规章等规范性文件规定或与用户约定的期限内,不因业务变更、产权变更等原因单方面中断或终止安全维护。
五、典型案例
随着《网络安全法》的落地实施,关于第二十二条的执法案例逐渐出现。2017年9月17日,广州动景计算机公司因违反《网络安全法》被广东省通信管理局通报。广州市动景计算机科技有限公司旗下有UC浏览器、九游、UC云等产品。广东省通信管理局查实广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险,未能及时全面检测和修补,已被用于传播违法有害信息,造成不良影响。广东省通信管理局依据《网络安全法》第二十二条第一款,责令该公司立即整改,采取补救措施,并要求其开展通信网络安全防护风险评估,建立新业务上线前安全评估机制和已上线业务定期核查机制,对已上线网络产品服务进行全面检查,排除安全风险隐患,避免类似事件再次发生。
法条链接目录
1.中华人民共和国网络安全法
2.中华人民共和国计算机信息系统安全保护条例
3.中华人民共和国消费者权益保护法
4.公共互联网网络安全威胁监测与处置办法
5.移动智能终端应用软件预置和分发管理暂行规定
6.信息安全技术 网络产品和服务安全通用要求(征求意见稿)