公安部第三研究所黄道丽：数据开发利用应探索弹性和柔性执法

公安部第三研究所黄道丽：数据开发利用应探索弹性和柔性执法

公安部第三研究所黄道丽：数据开发利用应探索弹性和柔性执法,

　　古建保护案例,古建筑消防规范,如何对古建筑保护,

　　“在法律贯彻执行过程中，应探索数字经济背景下的弹性和柔性监管模式，避免对数据流通过度、严苛监管，为新技术、新应用、新业态创造宽严适度的发展环境，坚持数据安全与经济发展并重。”在2022年广东省网络安全宣传周举办之际，长期从事网络安全法治研究的公安部第三研究所网络安全法律研究中心主任黄道丽接受南都专访时说。在其看来，数据安全成为个人信息保护后新的立法增长点，围绕数据的国际政策立法争夺激烈。

　　据悉，今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办，广东省互联网业联合会、南方都市报、N视频联合承办，持续到9月11日。

　　南方都市报（以下简称“南都”）：你从事网络安全法律研究已近20年，如何看待当下网络安全发展的国际大环境？

　　黄道丽：如今的社会比以往任何时候更依赖技术和技术利用活动的安全性，在网络安全威胁、数字不平等和地缘政治资源争夺、地缘经济对抗、疫情大流行等叠加共同影响各国经济前景的情况下，网络安全不断呈现出新问题。

　　具体而言，一方面各国网络安全政策法律重视应对这些新的问题和挑战，在保护国家安全、社会利益和公民、法人合法权益的同时考虑促进经济发展；另一方面，大国竞争与博弈日趋激烈，美国、俄罗斯、中国等网络强国及网络大国均寻求增强在国际空间规则制定中的话语权。

　　黄道丽：有四个方面的变化。一是更多国家开始重视网络安全政策法律，且由网络安全、数据安全、个人信息保护、关键信息基础设施保护、信息内容治理转向更加精细划分的领域。比如个人信息保护细分为规范人脸识别技术使用、敏感信息保护、特殊人群的个人信息保护等，特定类型和核心应用场景下的个人信息保护立法与实施规则陆续出台。

　　二是数据安全成为个人信息保护后新的立法增长点，围绕数据的国际政策立法争夺激烈，数据跨境流动、跨境数据调取等规则持续调整细化。

　　三是疫情带来的网络安全问题引发广泛关注，各国政府推动政策立法，利用人工智能算法、加密技术加强安全防护，积极应对疫情带来的数据滥用、在线内容安全等问题。

　　四是对新技术的利用及其衍生安全问题给予前所未有的关注和支持。5G、人工智能、加密货币、区块链、量子计算等新技术持续获得关注，各国纷纷部署，抢占竞争优势，同时规范内容更为细化。最近两年大热的元宇宙技术也进入政策法律视野，进一步体现了各国对新技术利用与规范的迅速反应。

　　黄道丽：当下全球范围内国家与区域间冲突频繁发生，现代战争中网络对抗与较量的系统性、全面性远超以往，包含攻击战、信息战、虚拟货币战、技术战、密码战、数据战等。不过，平时具有法律约束力的网络空间国际规则尚未形成，战时网络安全法律调整和应对体系构建进一步成为各国的关注重点。

　　南都：为了应对欧美“扩张式”数据态势，我国采取了哪些积极措施？陆续出台的网络安全法、数据安全法、个人信息保护法等法律法规给公众认知和企业实践带来哪些影响？

　　黄道丽：网络安全法针对境外主体实施入侵或攻击境内关键信息基础设施的活动规定了有限域外管辖，其后数据安全法、个人信息保护法进一步对欧美“扩张式”数据态势作出积极回应。

　　以管辖权的确定为例，相较于传统严格的属地管辖，数据安全法确立了属地管辖为主、保护管辖为辅的原则，具有一定的域外效力。个人信息保护法则借鉴有关国家和地区的做法，针对境外处理境内自然人个人信息的活动规定了域外适用效力，以保护我国境内个人的合法权益。

　　不仅如此，数据安全法、个人信息保护法确立的数据跨境调取批准、数据安全审查制度、数据出境安全评估制度、数据出口和对等措施也是我国防范、阻断乃至威慑欧美数据监管权扩张风险的有力措施。

　　我认为，这一系列法律法规的实施对于提升公众网络与数据安全、个人信息保护意识，企业的网络与数据合规意识和能力具有重要意义。

　　对于个人而言，三法的贯彻实施切实加强个人的权益保护，损害公众利益的敏感个人信息过度采集、大数据杀熟、算法歧视、人脸识别滥用等突出问题将得到纠正。此外，个人信息保护法对社会关切的个人信息跨境流动、大型网络平台义务、国家机关处理个人信息等问题进行回应，切实保障个人信息安全。

　　对于企业而言，一方面，强监管形势下，企业应落实主体责任，依法实施数据安全和个人信息保护措施，将管理制度和技术措施贯穿于整个生产经营过程，将安全利用网络、数据和个人信息的能力作为核心竞争力的企业将赢得最终发展。另一方面，数据和个人信息的安全防护、风险评估、影响评估、出境评估、合规审计和法律咨询等市场将迎来新的机遇，会推动相关产业的发展。

　　南都：作为网络安全监管部门之一，公安机关每年组织对关键信息基础设施、重要信息系统开展网络安全监督检查，发现主要存在哪些网络和数据安全隐患？

　　黄道丽：我在总结各地公安机关发布的网络安全行政执法案例时发现，普遍存在的网络和数据安全风险隐患至少包括八个方面：未制定网络安全管理制度和操作规程，未确定网络安全和数据安全负责人；未采取防范危害网络安全行为的管理制度或技术措施，安全防护薄弱，弱口令等低级问题长期存在；不及时处置系统漏洞、计算机病毒等安全风险，导致互联网上暴露点过多，成为违法犯罪分子首选攻击入口；数据访问权限管理不到位，重要数据备份不及时，对采集的公民个人信息未采取相应的加密、去标识化等安全技术措施；未按照要求进行网络安全检测和风险评估；供应链管理不到位，对采购网络产品和服务缺乏有效管理措施，导致供应链成为攻击跳板；离职员工管理不善，未及时解除员工权限；不再使用的域名未及时注销，主页被篡改链接为大量违法有害信息。

　　作为保障社会公共安全与国家安全的主力军，公安机关一方面指导监督网络运营者、数据处理者等落实主体责任，提升网络安全、数据安全管理和技术防护水平；另一方面，依法开展常态化执法、净网等专项监督检查，通过现场检查和技术检测，及时发现并督促整改网络安全、数据安全隐患。

　　不仅如此，公安机关还进行网络安全实时监测、通报预警和应对处置，在发生网络安全、数据安全事件后，指导网络运营者、数据处理者采取技术措施和必要措施开展处置、整改和隐患消除工作。

　　南都：2018年以来，公安部连续5年组织全国公安机关开展“净网”专项行动，严厉打击网络违法犯罪，而提供各类网络服务的平台企业往往在网络犯罪案件中扮演重要角色。如何才能深化企业网络安全管理义务，加强网络平台源头治理？

　　黄道丽：我建议从三方面入手：首先是从立法层面加快推进《网络犯罪防治法》《反电信网络诈骗法》，强化平台网络安全管理和网络犯罪防治义务。立足源头防治，明确平台责任和义务，完善网络犯罪执法协作机制，能进一步提升新时代依法管网、依法治网的能力水平。

　　其次是从制度建设层面完善实名制具体措施，遏制网络犯罪生态源头。由于实名制没有进一步的细化要求以及缺乏对“破坏实名制”的法律规制，网上形成了提供贩卖黑卡、代办注册及非实名注册服务的“养号平台”“卡商平台”“打码平台”等黑灰产业。我建议，在立法上明确利用虚假信息冒用他人身份、大量买卖实名注册账号、规避实名制等行为的违法性及相应法律责任。

　　再者是从执法层面加强行政执法力度，切实推动平台履行法律责任。网信、公安等监管部门应加大执法力度，包括专项监督检查和常态化的行政执法活动，督促平台落实网络安全法、数据安全法、个人信息保护法等法律法规规定的信息内容管理、数据安全和个人信息保护等义务。

　　南都：让数据安全地流通、交易，才能激活、释放数据的价值。如何在保障数据安全的同时，最大化提升数据应用价值？

　　黄道丽：在我国的网络和数据安全法律法规中，已经对促进数据合法利用作出了充分考量，为产业创新预留了空间。在法律贯彻执行过程中，应探索数字经济背景下的弹性和柔性监管模式，避免对数据流通的过度、严苛监管，为新技术、新应用、新业态创造宽严适度的发展环境，坚持数据安全与经济发展并重。

　　要实现在保障数据安全的同时，积极促进数据合法开发和利用，需解决数据流通的确权问题，包括建立数据产权制度，健全数据要素权益保护制度，探索数据资产化有效路径，建立数据要素市场的激励机制，激活、提升数据要素价值。

　　此外，对企业而言，要充分利用商用密码等技术措施保障数据全生命周期安全，把安全保护贯穿数据处理各阶段，防范和化解法律风险和安全风险。我认为这是一种成本低、效果好、促利用的保护方式。

　　南都：去年，广东在全国率先试点首席数据官制度，对推动企业、政府机构的网络安全、数据安全工作有何意义？

　　黄道丽：总体来看，这是广东省为推动数据要素市场化配置改革作出的战略性安排。从法律角度看，我认为该制度最重要的是强势呼应了数据安全法中数据安全负责人的概念。不仅明确回答了一个职责角色“应该做”的问题，还告诉社会和公众广东已经在思考和实践“做什么”以及“怎么做”。

　　传统信息安全以及网络安全法、《关键信息基础设施安全保护条例》等多要求机构负责人从企业层面进行考虑，从权责配置上服务于业务方向，作用发挥有限。然而，本次广东的先行先试是从公共事务层面进行设计，特色鲜明地提出“一票否决权”，可以从数据安全角度考虑行使决策，其影响力也明显提高。

　　具体来看，此举也对首席数据官的行业认知、技术理解和法律适用等方面提出了很高要求。首席数据官不仅是一般企业意义上的面向业务、对内负责的角色，也是政府意义上面向公共服务的高级人员配置。这一中观层面的制度设计会为企业等微观层面的数据安全管理机构、负责人的人员设置，以及更宏观层面的数据安全监管机构工作的落地提供更富实践意义的参考。

　　南都：近年来病毒软件恶意勒索企业赎金的案例不断增多。你认为是否需要出台相应政策强制或鼓励企业做好网络安全工作？

　　黄道丽：企业要落实安全保障义务，积极防治网络勒索攻击，需从多方面开展网络安全工作。首先，构筑安全底层屏障。正确使用信息系统、网络和密码技术，遵循网络访问和应用规则，约束攻防对抗活动，网络攻击。其次，提升勒索攻击风险发现能力。通过漏洞滚动排查、定期渗透测试等手段常态化验视系统、网络的脆弱处与威胁。再者是要对自身网络进行细分，通过专业第三方测试系统的安全性，以确保在遭受网络攻击时保持业务连续性。

　　此外，企业需强化数据安全保障能力。部署与设施、数据重要性相匹配的技术措施和管理策略，维护离线、加密的数据备份并定期测试备份。最后，在发生勒索攻击事件后，企业应及时向公安机关等有关主管部门报告，并立即开展应急处置，保护现场和证据。

　　据我了解，受大规模勒索攻击事件频发的影响，勒索攻击的防治打击已成关注重点，预防性立法与指导性文件发布已逐渐提上日程。

　　南都：有观点认为，目前我国对网络安全漏洞合法披露的要求较为宏观。你怎么看？

　　黄道丽：网络安全漏洞披露是网络空间治理的关键一环，其重要性首先体现在网络安全漏洞的危害性经互联网迅速传播被放大后，不规范或非法披露会损害用户、企业和公共利益，甚至威胁包括关键信息基础设施安全等在内的国家安全；此外，合法披露、报告和利用能及时预警和有效管控网络安全风险，推动网络安全相关产业的创新，为执法活动和提升国家安全反制能力提供重要的技术保障。

　　事实上，我国网络安全漏洞合法披露制度框架已基本建立。网络安全法从禁止性规范和指引性规范的角度构建整体制度；数据安全法则对数据处理者漏洞风险补救、处置、告知和报告义务进行了明确规定。《关键信息基础设施安全保护条例》专门强化对关键信息基础设施实施漏洞探测、渗透性测试等活动的约束，网络安全监管机构正协同加大涉关键信息基础设施安全漏洞的管理。

　　在配套法规方面，去年工信部、网信办、公安部联合发布的《网络产品安全漏洞管理规定》明确监管机构职责和分工，构建多部门多平台共享机制，细化披露和共享规定，为网络产品提供者、网络运营者和网络产品安全漏洞收集平台提供更有针对性、可操作性的规范。去年年底，阿里云计算有限公司因未及时通报严重安全漏洞而遭通报就是相关法律法规要求落地的一个例证。

“在法律贯彻执行过程中，应探索数字经济背景下的弹性和柔性监管模式，避免对数据流通过度、严苛监管，为新技术、新应用、新业态创造宽严适度的发展环境，坚持数据安全与经济发展并重。”在2022年广东省网络安全宣传周举办之际，长期从事网络安全法治研究的公安部第三研究所网络安全法律研究中心主任黄道丽接受南都专访时说。在其看来，数据安全成为个人信息保护后新的立法增长点，围绕数据的国际政策立法争夺激烈。

　　据悉，今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办，广东省互联网业联合会、南方都市报、N视频联合承办，持续到9月11日。

　　南方都市报（以下简称“南都”）：你从事网络安全法律研究已近20年，如何看待当下网络安全发展的国际大环境？

　　黄道丽：如今的社会比以往任何时候更依赖技术和技术利用活动的安全性，在网络安全威胁、数字不平等和地缘政治资源争夺、地缘经济对抗、疫情大流行等叠加共同影响各国经济前景的情况下，网络安全不断呈现出新问题。

　　具体而言，一方面各国网络安全政策法律重视应对这些新的问题和挑战，在保护国家安全、社会利益和公民、法人合法权益的同时考虑促进经济发展；另一方面，大国竞争与博弈日趋激烈，美国、俄罗斯、中国等网络强国及网络大国均寻求增强在国际空间规则制定中的话语权。

　　黄道丽：有四个方面的变化。一是更多国家开始重视网络安全政策法律，且由网络安全、数据安全、个人信息保护、关键信息基础设施保护、信息内容治理转向更加精细划分的领域。比如个人信息保护细分为规范人脸识别技术使用、敏感信息保护、特殊人群的个人信息保护等，特定类型和核心应用场景下的个人信息保护立法与实施规则陆续出台。

　　二是数据安全成为个人信息保护后新的立法增长点，围绕数据的国际政策立法争夺激烈，数据跨境流动、跨境数据调取等规则持续调整细化。

　　三是疫情带来的网络安全问题引发广泛关注，各国政府推动政策立法，利用人工智能算法、加密技术加强安全防护，积极应对疫情带来的数据滥用、在线内容安全等问题。

　　四是对新技术的利用及其衍生安全问题给予前所未有的关注和支持。5G、人工智能、加密货币、区块链、量子计算等新技术持续获得关注，各国纷纷部署，抢占竞争优势，同时规范内容更为细化。最近两年大热的元宇宙技术也进入政策法律视野，进一步体现了各国对新技术利用与规范的迅速反应。

　　黄道丽：当下全球范围内国家与区域间冲突频繁发生，现代战争中网络对抗与较量的系统性、全面性远超以往，包含攻击战、信息战、虚拟货币战、技术战、密码战、数据战等。不过，平时具有法律约束力的网络空间国际规则尚未形成，战时网络安全法律调整和应对体系构建进一步成为各国的关注重点。

　　南都：为了应对欧美“扩张式”数据态势，我国采取了哪些积极措施？陆续出台的网络安全法、数据安全法、个人信息保护法等法律法规给公众认知和企业实践带来哪些影响？

　　黄道丽：网络安全法针对境外主体实施入侵或攻击境内关键信息基础设施的活动规定了有限域外管辖，其后数据安全法、个人信息保护法进一步对欧美“扩张式”数据态势作出积极回应。

　　以管辖权的确定为例，相较于传统严格的属地管辖，数据安全法确立了属地管辖为主、保护管辖为辅的原则，具有一定的域外效力。个人信息保护法则借鉴有关国家和地区的做法，针对境外处理境内自然人个人信息的活动规定了域外适用效力，以保护我国境内个人的合法权益。

　　不仅如此，数据安全法、个人信息保护法确立的数据跨境调取批准、数据安全审查制度、数据出境安全评估制度、数据出口和对等措施也是我国防范、阻断乃至威慑欧美数据监管权扩张风险的有力措施。

　　我认为，这一系列法律法规的实施对于提升公众网络与数据安全、个人信息保护意识，企业的网络与数据合规意识和能力具有重要意义。

　　对于个人而言，三法的贯彻实施切实加强个人的权益保护，损害公众利益的敏感个人信息过度采集、大数据杀熟、算法歧视、人脸识别滥用等突出问题将得到纠正。此外，个人信息保护法对社会关切的个人信息跨境流动、大型网络平台义务、国家机关处理个人信息等问题进行回应，切实保障个人信息安全。

　　对于企业而言，一方面，强监管形势下，企业应落实主体责任，依法实施数据安全和个人信息保护措施，将管理制度和技术措施贯穿于整个生产经营过程，将安全利用网络、数据和个人信息的能力作为核心竞争力的企业将赢得最终发展。另一方面，数据和个人信息的安全防护、风险评估、影响评估、出境评估、合规审计和法律咨询等市场将迎来新的机遇，会推动相关产业的发展。

　　南都：作为网络安全监管部门之一，公安机关每年组织对关键信息基础设施、重要信息系统开展网络安全监督检查，发现主要存在哪些网络和数据安全隐患？

　　黄道丽：我在总结各地公安机关发布的网络安全行政执法案例时发现，普遍存在的网络和数据安全风险隐患至少包括八个方面：未制定网络安全管理制度和操作规程，未确定网络安全和数据安全负责人；未采取防范危害网络安全行为的管理制度或技术措施，安全防护薄弱，弱口令等低级问题长期存在；不及时处置系统漏洞、计算机病毒等安全风险，导致互联网上暴露点过多，成为违法犯罪分子首选攻击入口；数据访问权限管理不到位，重要数据备份不及时，对采集的公民个人信息未采取相应的加密、去标识化等安全技术措施；未按照要求进行网络安全检测和风险评估；供应链管理不到位，对采购网络产品和服务缺乏有效管理措施，导致供应链成为攻击跳板；离职员工管理不善，未及时解除员工权限；不再使用的域名未及时注销，主页被篡改链接为大量违法有害信息。

　　作为保障社会公共安全与国家安全的主力军，公安机关一方面指导监督网络运营者、数据处理者等落实主体责任，提升网络安全、数据安全管理和技术防护水平；另一方面，依法开展常态化执法、净网等专项监督检查，通过现场检查和技术检测，及时发现并督促整改网络安全、数据安全隐患。

　　不仅如此，公安机关还进行网络安全实时监测、通报预警和应对处置，在发生网络安全、数据安全事件后，指导网络运营者、数据处理者采取技术措施和必要措施开展处置、整改和隐患消除工作。

　　南都：2018年以来，公安部连续5年组织全国公安机关开展“净网”专项行动，严厉打击网络违法犯罪，而提供各类网络服务的平台企业往往在网络犯罪案件中扮演重要角色。如何才能深化企业网络安全管理义务，加强网络平台源头治理？

　　黄道丽：我建议从三方面入手：首先是从立法层面加快推进《网络犯罪防治法》《反电信网络诈骗法》，强化平台网络安全管理和网络犯罪防治义务。立足源头防治，明确平台责任和义务，完善网络犯罪执法协作机制，能进一步提升新时代依法管网、依法治网的能力水平。

　　其次是从制度建设层面完善实名制具体措施，遏制网络犯罪生态源头。由于实名制没有进一步的细化要求以及缺乏对“破坏实名制”的法律规制，网上形成了提供贩卖黑卡、代办注册及非实名注册服务的“养号平台”“卡商平台”“打码平台”等黑灰产业。我建议，在立法上明确利用虚假信息冒用他人身份、大量买卖实名注册账号、规避实名制等行为的违法性及相应法律责任。

　　再者是从执法层面加强行政执法力度，切实推动平台履行法律责任。网信、公安等监管部门应加大执法力度，包括专项监督检查和常态化的行政执法活动，督促平台落实网络安全法、数据安全法、个人信息保护法等法律法规规定的信息内容管理、数据安全和个人信息保护等义务。

　　南都：让数据安全地流通、交易，才能激活、释放数据的价值。如何在保障数据安全的同时，最大化提升数据应用价值？

　　黄道丽：在我国的网络和数据安全法律法规中，已经对促进数据合法利用作出了充分考量，为产业创新预留了空间。在法律贯彻执行过程中，应探索数字经济背景下的弹性和柔性监管模式，避免对数据流通的过度、严苛监管，为新技术、新应用、新业态创造宽严适度的发展环境，坚持数据安全与经济发展并重。

　　要实现在保障数据安全的同时，积极促进数据合法开发和利用，需解决数据流通的确权问题，包括建立数据产权制度，健全数据要素权益保护制度，探索数据资产化有效路径，建立数据要素市场的激励机制，激活、提升数据要素价值。

　　此外，对企业而言，要充分利用商用密码等技术措施保障数据全生命周期安全，把安全保护贯穿数据处理各阶段，防范和化解法律风险和安全风险。我认为这是一种成本低、效果好、促利用的保护方式。

　　南都：去年，广东在全国率先试点首席数据官制度，对推动企业、政府机构的网络安全、数据安全工作有何意义？

　　黄道丽：总体来看，这是广东省为推动数据要素市场化配置改革作出的战略性安排。从法律角度看，我认为该制度最重要的是强势呼应了数据安全法中数据安全负责人的概念。不仅明确回答了一个职责角色“应该做”的问题，还告诉社会和公众广东已经在思考和实践“做什么”以及“怎么做”。

　　传统信息安全以及网络安全法、《关键信息基础设施安全保护条例》等多要求机构负责人从企业层面进行考虑，从权责配置上服务于业务方向，作用发挥有限。然而，本次广东的先行先试是从公共事务层面进行设计，特色鲜明地提出“一票否决权”，可以从数据安全角度考虑行使决策，其影响力也明显提高。

　　具体来看，此举也对首席数据官的行业认知、技术理解和法律适用等方面提出了很高要求。首席数据官不仅是一般企业意义上的面向业务、对内负责的角色，也是政府意义上面向公共服务的高级人员配置。这一中观层面的制度设计会为企业等微观层面的数据安全管理机构、负责人的人员设置，以及更宏观层面的数据安全监管机构工作的落地提供更富实践意义的参考。

　　南都：近年来病毒软件恶意勒索企业赎金的案例不断增多。你认为是否需要出台相应政策强制或鼓励企业做好网络安全工作？

　　黄道丽：企业要落实安全保障义务，积极防治网络勒索攻击，需从多方面开展网络安全工作。首先，构筑安全底层屏障。正确使用信息系统、网络和密码技术，遵循网络访问和应用规则，约束攻防对抗活动，网络攻击。其次，提升勒索攻击风险发现能力。通过漏洞滚动排查、定期渗透测试等手段常态化验视系统、网络的脆弱处与威胁。再者是要对自身网络进行细分，通过专业第三方测试系统的安全性，以确保在遭受网络攻击时保持业务连续性。

　　此外，企业需强化数据安全保障能力。部署与设施、数据重要性相匹配的技术措施和管理策略，维护离线、加密的数据备份并定期测试备份。最后，在发生勒索攻击事件后，企业应及时向公安机关等有关主管部门报告，并立即开展应急处置，保护现场和证据。

　　据我了解，受大规模勒索攻击事件频发的影响，勒索攻击的防治打击已成关注重点，预防性立法与指导性文件发布已逐渐提上日程。

　　南都：有观点认为，目前我国对网络安全漏洞合法披露的要求较为宏观。你怎么看？

　　黄道丽：网络安全漏洞披露是网络空间治理的关键一环，其重要性首先体现在网络安全漏洞的危害性经互联网迅速传播被放大后，不规范或非法披露会损害用户、企业和公共利益，甚至威胁包括关键信息基础设施安全等在内的国家安全；此外，合法披露、报告和利用能及时预警和有效管控网络安全风险，推动网络安全相关产业的创新，为执法活动和提升国家安全反制能力提供重要的技术保障。

　　事实上，我国网络安全漏洞合法披露制度框架已基本建立。网络安全法从禁止性规范和指引性规范的角度构建整体制度；数据安全法则对数据处理者漏洞风险补救、处置、告知和报告义务进行了明确规定。《关键信息基础设施安全保护条例》专门强化对关键信息基础设施实施漏洞探测、渗透性测试等活动的约束，网络安全监管机构正协同加大涉关键信息基础设施安全漏洞的管理。

　　在配套法规方面，去年工信部、网信办、公安部联合发布的《网络产品安全漏洞管理规定》明确监管机构职责和分工，构建多部门多平台共享机制，细化披露和共享规定，为网络产品提供者、网络运营者和网络产品安全漏洞收集平台提供更有针对性、可操作性的规范。去年年底，阿里云计算有限公司因未及时通报严重安全漏洞而遭通报就是相关法律法规要求落地的一个例证。