《网络犯罪防治法(征求意见稿)》已于近期公开向社会征求意见。这份旨在强化网络犯罪治理的法律草案,特别是其第二十四条与第二十五条,直接触及了安全/渗透/逆向 研究人员的日常工作核心——漏洞发现、渗透测试与互联网测量。这不禁让许多从业者产生疑问:在打击黑灰产的明确目标下,正当的“白帽”研究活动边界在哪里?日常工作中哪些环节需要格外注意?本文旨在梳理这两条关键条款可能带来的影响,并探讨如何让规则在确保安全的同时,也能护航行业的正向发展。
一、理解立法初衷:打击黑产与保护正当防护需寻求平衡
从整体上看,征求意见稿的方向是清晰的,即围绕网络犯罪链条强化治理,重点规制漏洞倒卖、攻击工具传播、针对重要系统的非法情报活动以及未经授权的渗透攻击等行为。这些问题的确客观存在,通过立法提高违法成本有其必要性。
然而,网络安全防护能力的整体提升,又高度依赖于“漏洞研究—负责任披露—及时修复—经验共享”这一正向循环。因此,对相关条款讨论的焦点,自然而然地落在了如何取得平衡上:如何在有效打击黑灰产的同时,尽可能避免对善意的安全研究与合规测试造成不必要的阻碍或“误伤”。第二十四、二十五条正是这一平衡问题的集中体现。
二、第二十四条:关于“漏洞发现/收集/发布”边界的三点困惑
第二十四条的核心内容是,禁止“违反国家有关规定”实施网络产品安全漏洞的“发现、收集、发布等违法犯罪活动”,并禁止传播“重要信息系统的设计方案、网络拓扑、核心源代码等可能危害网络安全的信息”。
从行业实践的角度审视,这条规定有几个关键点容易引发困惑,建议在后续的条文细化或司法解释中予以澄清。
1. “违反国家有关规定”具体指什么?
安全研究人员的工作常涉及漏洞复现验证、编写 PoC(概念验证代码)、评估影响范围、向厂商或国家漏洞平台提交报告、以及在学术论文或技术会议上分享研究细节等。
如果条文仅以“违反国家有关规定”这一概括性表述作为前提,而没有清晰地指向某个具体的规则体系(或在法律解释中给出明确、可操作的合规路径),从业者将面临一个非常现实的困境:难以准确判断“合规披露”与“违规发布”之间的界线。
实践中,不同的披露渠道(如私下报告厂商、通过国家漏洞库CNVD/CNNVD提交、通过企业SRC平台上报、在学术期刊公开、或在GitHub等代码托管平台发布)其法律属性和合规要求并不相同。如果能对这些行为的分类与边界做出进一步明确,将显著降低整个行业面临的不确定性。
2. “发布”行为是否应区分不同性质?
从实际效果看,“发布”至少涵盖了三类性质迥异的行为:
- 防护性披露:向产品厂商、系统运营者或主管部门认可的漏洞平台报告,目的是推动漏洞修复;
- 研究性公开:在漏洞得到修复后,进行脱敏的技术细节公开,用于学术交流与行业经验分享;
- 攻击性扩散:公开完整的漏洞利用链、批量化攻击脚本,或以牟利为目的进行交易兜售。
许多安全同仁担心,如果法律条文在语义上不对这些行为加以区分,可能导致“防护性披露”和“攻击性扩散”在字面上被同一个词汇所覆盖。这可能带来合规成本上升、研究交流趋于保守等连锁反应。
因此,一个值得探讨的方向是:将法律规制的重点更加聚焦于“武器化扩散”、“牟利交易”或“明知他人用于犯罪活动仍提供工具或信息”等具有明显危害性的行为,同时对遵循“负责任披露”原则的行为,给予更明确的鼓励与法律保护。
3. 关于“重要信息系统相关信息”的范围
第二十四条禁止传播“重要信息系统的设计方案、网络拓扑、核心源代码等可能危害网络安全的信息”。这类信息的敏感性毋庸置疑,对其进行合理规制是必要的。
但从安全工作实践出发,红蓝队对抗演练后的复盘、供应链安全风险研究、网络空间测绘与态势感知等正当研究工作,也可能在获得合法授权且进行充分脱敏的前提下,涉及对类似内容(例如对系统“边界与关键链路”的抽象描述)的分析与讨论。
因此,若能在后续的条文或解释中,为这类信息的规制补充一些限定条件,将有助于减少对正当安全研究与行业交流的潜在影响。这些条件可能包括:
- 所涉信息是否属于非公开的敏感信息;
- 是否通过非法手段或违反保密义务获取;
- 信息发布前是否进行了必要的脱敏处理;
- 行为主体是否具有牟利或帮助实施犯罪的主观目的。
三、第二十五条:对渗透测试与互联网测量工作的流程性影响
第二十五条对“漏洞探测、渗透性测试等可能影响网络安全的活动”设置了依据网络安全等级保护制度进行批准/授权,并向公安机关报告的要求(实施前5个工作日)。
对于企业安全团队、第三方测评机构以及安全研究团队而言,这条规定可能带来几项比较直接的流程调整。
1. 以“等保级别”作为门槛的现实困境
在许多常见的研究场景中,例如互联网暴露面测绘、全网扫描研究、威胁情报验证或供应链组件安全性测绘,研究者通常无法事先知晓目标系统的网络安全等级保护定级情况。如果以“等保定级”作为主要的合规判断门槛,会形成一个现实悖论:因为无法判断,所以无法依法执行。
一个可探讨的调整方向是,将合规判断更多地建立在“是否获得了系统运营者的明确授权”、“测试行为本身是否属于高风险动作”、“是否对目标系统造成了实质性影响”等研究者相对更易获取和判断的要素上,而非依赖于一个外部难以获取的信息。
2. “可能影响网络安全”的覆盖面与分层管理
“可能影响网络安全”是一个覆盖面极广的描述。如果不区分具体技术动作的风险等级,那么像端口探测、Banner信息抓取、非侵入式的服务指纹识别等低影响、常态化的测量动作,也可能被纳入较重的审批或报备流程。
从行业经验来看,更具可操作性的做法往往是进行风险分级:
- 对高风险动作(如漏洞利用验证、认证绕过、数据写入、可能影响系统可用性的测试等)设置更严格的要求;
- 对低风险测量动作则明确予以豁免或适用简化的备案程序。
这样既能使执法资源聚焦于真正的高风险领域,也更符合企业日常安全运营与行业研究的实际需要。
3. “提前5个工作日报告”与红队、应急场景的适配性
红队攻防演练与安全应急响应处置通常具有很强的突发性和时效性。固定的“提前5个工作日报告”要求,在实践中可能无法完全满足这些场景的需求。一个温和的建议是,考虑对不同场景设置差异化的规则,例如:
- 计划性、例行测试:可要求提前备案或按计划周期报告;
- 应急处置、重大漏洞紧急复测:应允许缩短报告时限,或建立事后及时补报的机制。
以避免僵化的流程要求影响对安全事件的快速响应能力。
四、几点建设性的完善建议(供探讨)
综合对第二十四、二十五条的分析,行业较为期待看到的完善方向可能包括:
- 建立“善意安全研究与负责任披露”的安全港条款。明确在获得授权或遵循公认的负责任披露框架下开展的研究与报告行为,不作为违法犯罪活动处理,为研究人员提供明确的法律预期。
- 对“发布”行为进行分层治理。在法规层面体现对防护性披露的鼓励,对修复后的脱敏研究公开持审慎包容态度,而将打击重点明确放在武器化扩散与牟利交易上。
- 明确“重要系统敏感信息”的构成要件与例外。在条文中增加对“非公开”、“通过非法手段获取”、“未做脱敏处理”以及“具有危害目的或造成现实风险”等要素的描述,使规制范围更加精准。
- 推动第二十五条实施风险分级与程序分层。以“运营者授权为主、事后备案为主、事前审批为例外”为总体思路,并将公认的低风险测量动作纳入豁免或简化程序的范围。
- 为紧急安全场景提供灵活的时限安排。在法律或配套细则中,为应急处置等场景设计更贴近实务的快速通道或补报机制。
五、结语:在理解与适应中推动规则更臻完善
对于广大安全从业者而言,法律的意义不仅在于“划出红线”进行禁止,更在于“给出明路”予以明确。明确的行为边界、清晰的合规路径、合理的责任界定,才能让企业的合规成本可控,让社会的整体安全防护能力实现健康、可持续的发展。
第二十四、二十五条引发的广泛讨论,本质上反映了行业对“严厉打击网络黑灰产”这一立法目标的普遍认同,以及对“如何避免误伤正当研究与合规测试”这一现实关切的集中表达。我们希望本文的梳理,能帮助大家更清晰地看到潜在的影响点:哪些日常工作可能需要建立更规范的授权与留痕流程,哪些信息披露方式需要更谨慎的流程设计,哪些研究动作有望在后续的配套细则中争取更明确的豁免。
我们也欢迎更多从业者、学者和法律工作者,以建设性的方式参与到征求意见的过程中,共同将规则打磨得更加清晰、更具可操作性,最终实现“打击犯罪”与“护航创新”的双重目标,让网络安全领域的正向循环更加顺畅。
(本文基于2026年2月11日“数说安全”发布的相关内容进行技术性分析与探讨。)
发表于 2026-2-14 03:49:29
|
查看: 48|
回复: 0
