三 中国专家的看法

中国智库专家强调美国政府安全部门在这次事件中扮演了“始作俑者”的角色。中国国际问题研究院副研究员徐龙第引用美国记者的调查结果，指出美国NSA是世界上最大的网络武器买家，只要有新的“零日漏洞”被挖掘出来，NSA就舍得斥巨资购买。^[12]

上海国际问题研究院副研究员鲁传颖表示：“作为始作俑者，美国的情报机构不止一次利用全球广为使用的Windows操作系统开发网络武器，并造成这些网络武器的大范围扩散，这已经成为全球网络安全的最大隐患，应当引起国际社会的高度重视。无论是从网络空间中负责任的国家行为准则出发，还是从网络军控的角度来看，都应当对这种现象开展坚决的斗争，而不是一味纵容，不负责任的开发和利用网络武器只会让网络空间变得越来越不安全。”^[13]

但是，在美国政府的眼中，微软的倡议并不现实，无异于天方夜谭，美国政府认为未来的方向是构建漏洞开发与披露的规则。为了安抚国际社会、信息技术企业和民间组织，美国政府进一步提升了漏洞评估的透明度。2017年11月15日，美国政府公布“美国政府漏洞裁决政策和程序”（简称“VEP机制”），阐释美国政府在得知漏洞后的评估过程，是秘密通知受影响的信息技术公司以便及时修复，或是及时告知公众做出防范，还是将其囤积起来准备攻击假想敌？美国试图加强漏洞管理的制度化、机制化。^[14]从透明度方面来看，这是一种进步。但换一个视角来看，这也可以理解为一种“在光天化日之下干坏事”的有害行为。

中国在这方面的法律法规处于初始阶段，尚未成熟。已有法规主要关注漏洞的披露，对于开发、囤积漏洞行为，大都持有隐晦的、间接的、禁止的立场，更没有发表关于国家行为主体开发、囤积漏洞的看法。中国公安部第三研究所副研究员黄道丽系统地梳理了中国相关法律法规，分析了跟漏洞有关的措辞，这些措辞主要关注漏洞的发现与披露行为。

2011年《关于加强工业控制系统信息安全管理的通知》规定：“开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时发布有关漏洞、风险和预警信息。”2012年《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》表示实行安全风险和漏洞通报制度。2016年《国家信息化发展战略纲要》表示：“提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作。”2017年《网络安全法》第二十六条规定：“向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”^[15]

黄道丽表示，漏洞发现之后应该由谁披露，怎样披露，何时披露等问题变得日益复杂且重要，漏洞披露制度不同，不仅对用户、提供商、协调者等利益相关方造成的影响有很大差异，更会对国家安全、企业利益及个人隐私产生深远影响。黄道丽列举了两个披露不当的国内案例。一是2016年有人披露世纪佳缘网站漏洞引发刑事立案。二是因漏洞披露不当引发党政机关和重要行业网站受到大规模攻击威胁的事件。她概括我国现状认为，现行立法已提出网络安全漏洞合法披露的基本要求，但仍然缺乏对于规则实现的具体设计，无法为安全漏洞披露行为提供明确指引。