文/原浩 黄道丽
本来Flash这个事情不想再多说什么,毕竟证监会政务服务平台用Flash作Web应用基础架构,导致一众律师事务所花了两个月时间才完成备案——因为“国外主流”浏览器早已通过各种通知2020年底起不支持Flash, Adobe公司也早在2017年就声称在2020年底不再支持Flash。
结果就出现了某铁路系统因Flash停用导致的全局性故障。然后,该局又用古早的GHOST镜像系统恢复和降级Flash版本(从30.*降到29.*)的办法解决了古早的Flash问题。网上已经针对该问题和解决给出了各种吐槽。相信还会有其他行业、场景受到Flash停更产生方方面面的影响。
从《网络安全法》看,围绕Flash停更涉及网络产品安全责任、网络运营者安全保护义务乃至关键信息基础设施安全保障等诸多法律问题。本篇从网络产品责任角度进行简要分析,下篇考虑从网络运营者安全保护、关键信息基础设施网络安全风险评估等角度进行安全合规分析。
《网络安全法》第22条适用分析
单从Flash作为部署在系统中的产品这一场景来看,法律问题的实质是《网络安全法》第22条第2款的适用问题:网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。相应的,第60条第3项规定了网络产品、服务提供者擅自终止提供安全维护的法律责任,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款”。
当某一网络产品的架构、漏洞等难以通过更新方式解决时,厂商实践和《网络安全法》等都给出了一种终极路径,就是超过期限后停止使用。Flash适用于这种情况,在20多年的发展过程中,Flash走完了从辉煌到没落的生命周期,早年其将千篇一律的静态页面带入了动态阶段,鼎盛时期有超过80%的页面使用Flash技术。然而随着HTML5等新型开放网页技术的发展和移动终端的进步,以及对响应速度、交互安全要求的不断提高,Flash已经难以满足这些要求,到2017年时候,大致只有10%多的页面仍在使用Flash。
因此,厂商通过停更Flash放弃这一技术路线,本身无可厚非。在停更后,Flash理论上只剩下著作权意义的作品价值,而不再成为厂商“售后”维护的内容——如果将其视为类似《产品质量法》上的一种产品的话,这一产品已经被厂商“报废”。
但是,《网络安全法》这一条款的规定不在于确认厂商是否应该停更,而是指向厂商停更的“(法律法规和相关)规定或者当事人约定的期限”如何优先适用和是否合理的问题。这体现了软件不同于一般产品的特性。
1、停止更新不等于停止安全维护
一般意义上,停止更新并不当然意味着对“售后”安全维护的终止,这不仅是从《网络安全法》条款直接可以得出的结论,也符合软件同时适用著作权法和《网络安全法》等不同法律时的义务规定。软件在作为作品停更后,其作品主体仍然享有和承担著作权法下的权利义务(如作品完整权,向他人许可时的权利义务——见下文分析),也同时需要履行《网络安全法》下特定的安全维护义务。
从Windows XP的例子可以看出,在XP作为独立的作品停止更新后(后续的Windows 7于2009年10月发布,视为不同于XP的新作品而非版本更新),微软直到2014年4月8日之后,停止提供XP技术帮助。Flash也类似,厂商于2017年通知至2020年底停止支持服务(对2012年1月12日中国区出现的新版本,另见下文分析)。因此在适用《网络安全法》的场景下,任何厂商均不能以停止更新等同于停止安全维护。商业逻辑也很简单,停止更新后,产品服务仍可能在使用,而且由于软件产品的不特定性,厂商事实上也无法准确了解软件的实际部署情况,一旦立即停止安全维护,可能会导致业务影响、安全风险、合同纠纷等不利后果。在这一点上毫无疑问,微软和Adobe都采取了谨慎的态度。
2、法律法规和相关规定优先于当事人约定
《网络安全法》第22条在提到停止安全服务的期限时,列举了法律规定和当事人约定两种情况,在XP和Flash两种产品中,厂商都采用了当事人约定(包括在协议无约定下采取单方合理的事先通知的方式)终止了安全维护,这一方式在目前未明确何为“规定”的情况下,应属于合规的方式。但在未来涉及关键信息基础设施的行业规定中,如果有要求认为不应停止安全服务的,则将产生与当事人约定的效力冲突的问题(第22条并未明确规定和当事人约定哪个更优先,因此厂商可以主张当事人约定优先,从而规避规定的适用——但一旦监管意识到这一问题,未来将会在《网络安全法》的其他配套中进行“补强”解决)。
而且需要注意的是,第22条的规定并不局限于法律规定,因此我们也适当将规定扩展到法律法规和其他规定,包括已纳入国务院2020年立法工作计划并处于制定阶段的行政法规“关键信息基础设施安全保护条例”可能针对各自行业做出的特别规定,都可能将优先于当事人约定,从而增加厂商延期安全维护的义务。
3、针对中国大陆特别安排的评价
公开信息显示2021年1月15日位于重庆的重橙网络发布更新预告,表示Flash Player于2021年1月12日发行全新版本,在中国大陆继续运营。但具体内容作了适当缩减:在Windows 7以下(不包含Windows 7)、Linux、Mac操作系统中不再支持视频格式内容的播放功能。这一方面是从安全角度做出了妥协,另一方面从法律角度,则涉及到Adobe在向其他方许可软件时,是否可以降低或减轻本身义务的问题。
我们认为,这一可能寻求规避版本升级的网络安全法律义务的“合作”行为,没有改变Adobe作为软件厂商的根本属性,不符合《网络安全法》第22条对厂商安全维护义务的规定,不排除未来可能涉及对Adobe厂商的约谈或其他法律风险(而Adobe中国可能还在忙于各种打击盗版的诉讼业务)。
以上我们就Flash停更从网络产品、服务责任角度进行了分析,侧重的是网络产品、服务提供者的外部性因素对系统和网络的影响。下文从关键信息基础设施(CII)网络安全风险的角度进行简要分析,基于公开信息评价在《网络安全法》配套制度现状下的CII运营者作为。
《网络安全法》第31条的适用性——涉事系统属于CII么
《网络安全法》第31条和《关键信息基础设施安全保护条例》(征求意见稿)都界定了CII。定义的套路不外乎概括抽象、列举兜底。“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”属于所有CII的共性,“能源、交通、水利、金融、公共服务、电子政务等等”则体现了行业特点。
然而不论哪个法律文件,铁路作为公共交通的关键信息基础设施行业、领域,始终无法回避是否属于CII的定性。判定何为CII实际上成为了CII保护的前置问题。
在2017年的《关键信息基础设施安全保护条例(征求意见稿)》中,思路是由网信、工信和公安部门“制定关键信息基础设施识别指南”。新近的观点则倾向于由行业和领域的主管部门、监督管理部门(保护工作部门)结合本行业、本领域实际,制定关键信息基础设施认定规则。这些转变体现了几点不同:
(1)谁来判定CII。显然各行业、领域应对自身的CII范围有着更清楚的认识,如果这些行业、领域自身无法判定,更不能指望外部机构全能判定;
(2)“识别”与“认定”的差异和供应链安全;
(3)“规则”较“指南”更具有法律的强指引性。
具体到涉事的“现在车系统”的定性,结合车务段再度发布官方微博更正称“1月12日的故障……,受Flash停用影响的不是铁路调度系统”,显然是受到了2018年前后《关键信息基础设施确定指南》(试行)的影响。按照这个试行文件,如果不属于客运服务、货运服务、运输生产、车站运行,就不属于“关键业务”,从而也就“根本上”不属于CII。但是《关键信息基础设施确定指南》(试行)从未真正施行。
由于CII认定的复杂性,网传试行文件过于简单的罗列已经无法满足判定需求,实务中需要通过2020年9月公安部的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(“《指导意见》”),及尚处于征求意见稿状态的标准《信息安全技术 关键信息基础设施边界确定方法》等结合进行判定。
按照《指导意见》,“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施”,体现了CII认定的审慎性。
“关键信息基础设施边界确定方法”则体现了认定的严谨性。其强调的是“关键信息基础设施元素”和“关键业务的信息流”,通过业务连续性、保密性、完整性、关键性判定,给出CII边界。因此在确定是否属于关键业务的基础上,还应考虑和“穿透”涉事系统是否有关键业务的信息流情况。
总结一下,由于CII认定是复杂谨慎的过程,我们倾向于不将涉事系统纳入CII范围。但是这一决策不仅是基于上述法律法规、规定标准的公开判断,还需要解决:
(1)与网络安全等级保护三级以上系统、网络的关系问题;
(2)如果不认定为CII,需要对该系统的边界进行限定,评价系统可能的信息收集、呈现和控制流向问题,典型的包括限制数据从高网络安全等级系统流向低网络安全等级系统;
(3)甚至涉及到对“现在车系统”进行“科学的”重新定义问题;
(4)由于CII的网络安全事件处置会对CII认定产生影响,因此在发生真实事件后也可能会对涉事系统进行调整。
《网络安全法》第34条的适用性—回滚操作的规范性评价
还是从公开信息,我们看到基本操作是通过“将原版Windows系统和Ghost版Windows系统均恢复Flash运作”和降低Flash版本,在24小时内解决了Flash故障。这个操作套用《网络安全法》第25条和第34条法律条款的表述就是:启动应急预案,通过系统和数据库的容灾备份进行恢复。实际上也是一次系统和程序回滚的过程。
这一操作不失为一种机智的非标准作法,但从《网络安全法》看,可能也存在相应的法律风险。由于缺少对涉事系统的了解,我们提出宽泛的一般性法律建议:
(1)早期的Windows系统多通过Ghost进行备份(新版Windows系统不排除Ghost备份的可能,但同时涉及政府采购的法律问题,以及BIOS/MBR到UEFI/GPT软硬件分区技术问题),因此猜测可能实务中仍有使用厂商不再提供安全维护的早期Windows版本(注意官方微博表示涉事的是“车务段部分新购置并安装最新Flash版本的电脑”,这会稍微增加使用Ghost恢复系统的难度),建议对操作系统进行实质性评价——这是一个供应链安全的问题;
(2)系统回滚的操作,某大银行应该非常熟悉了。从法律和标准角度讲,主要就是要避免对实时业务运行产生影响,否则就可能产生对“公共利益”的损害后果。由于此次事件的回复长达24小时,可能还应该有其他应急措施“接管”或“辅助”涉事系统的主要功能;
(3)由于Flash停更主要就是因为安全问题,对于停更的最新版都未解决安全问题,降级后的Flash可能安全问题更多。这不符合软件应经授权和安全评估的CII要求,恐怕涉事操作还是江湖救急的权宜之计。
结论
高铁线路在全国范围内正快速开行,由于其具有不同于电网节点规划和兼具公众人身财产安全的特点,铁路路局、车务段的重要性正随着路网延伸而日益彰显,这不仅是一个“梳理排查国外厂商停止支持技术”的头痛医脚问题,更是一个需要形成从《网络安全法》到CII保护条例再到即将出台的《信息安全技术 关键信息基础设施网络安全保护基本要求》系统化保护和论证的综合议题。
《网络安全法》第39条规定了网信部门对关键信息基础设施“网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助”,从《网络安全法》规定的网信办职责定位和CII保护的监管演进看,发生类似本案的问题,不一定一根筋盯着上级局信息所不放,还可以寻求网信部门的外部协调——也不用过于担心会被认定为CII。而如果涉及对本次安全事件追责,当然主要还适用铁路领域的安全管理规定,例如《铁路安全管理条例》。