重新思考网络安全研究治理：欧盟《数字服务法》的经验与启示

《European Journal of Risk Regulation》：Rethinking Cybersecurity Research Governance: Lessons from the Act on Digital Services?

【字体：大中小】 时间：2025年10月30日 来源：European Journal of Risk Regulation 2.3

编辑推荐：

　　本文针对欧盟缺乏对网络安全研究人员（尤其是非机构研究者）的明确定位与保护问题，以《数字服务法》（DSA）、《网络弹性法案》（CRA）和《NIS2指令》为焦点，探讨了网络安全研究的法律地位、数据访问与审计机制。研究指出，DSA的“受审查研究人员”模式更适用于系统性风险研究，而CRA的协调漏洞披露（CVD）和漏洞赏金计划更契合网络安全研究的对抗性、探索性本质。文章呼吁欧盟建立超越DSA审查的灵活治理模式，以可持续地整合网络安全研究。

在当今高度互联的数字生态系统中，网络安全已成为维护社会稳定的关键支柱。从社交媒体平台到关键基础设施，复杂软件系统的漏洞可能被恶意行为者利用，导致数据泄露、服务中断甚至影响民主进程。然而，一个令人担忧的现实是：欧盟法律缺乏一个连贯的法律框架来充分定义、保护和赋能网络安全研究人员，特别是那些在正式机构之外运作的研究者。

这些被称为“伦理黑客”或独立安全研究人员的专业人士，经常在法律的灰色地带运作。他们通过模拟攻击者的行为来发现系统漏洞，但这种“对抗性”的研究方式往往与传统的法律规范产生摩擦。当研究人员在抖音（TikTok）或微信（WeChat）等超级应用中发现隐藏的未公开API，或在广泛使用的深度学习框架（如TensorFlow和PyTorch）中发现可被利用的缺陷时，他们的法律地位却模糊不清。

米哈尔·兰帕塞克（Michal Rampasek）和马图斯·梅萨里克（Matús Mesarik）在《欧洲风险规制杂志》（European Journal of Risk Regulation）上发表的研究，深入探讨了这一关键问题。他们的研究聚焦于网络安全研究如何在快速演变的欧盟监管格局中定位，特别是针对《数字服务法》（Digital Services Act， DSA）、《网络弹性法案》（Cyber Resilience Act， CRA）和《NIS2指令》（NIS2 Directive）的分析。

研究人员采用了一种 doctrinal and analytical legal methodology（法律教义学与分析法），结合网络安全研究和平台治理文献中的跨学科观点。他们分析了主要法律来源，包括欧盟立法、授权法案和政策文件，并辅以学术评论和研究人员实践的案例研究。通过结合对规范性框架和制度安排的分析，论文旨在解释网络安全研究人员在欧盟法律中的碎片化定位，并评估DSA是否为他们在风险识别和缓解中的结构化参与提供了可行模型。

II. 网络安全研究的概念

安全研究人员利用其技能和知识来提高产品、服务和信息系统的网络弹性。他们的工作本质上是探测性的，通过模拟攻击者的行为来发现漏洞。研究发现，网络安全研究社区具有高度多样性，包括学术机构和非学术研究人员。学术网络安全研究通常是基础创新的关键驱动力，如2018年发现的Spectre和Meltdown处理器漏洞，就是由格拉茨技术大学（Graz University of Technology）和宾夕法尼亚大学（University of Pennsylvania）等学术机构的研究团队完成的。而非学术研究人员，如谷歌Project Zero团队发现的“Reptar”CPU漏洞，也展示了其在漏洞发现中的关键作用。

漏洞报告作为一种研究活动，在欧盟网络安全法律中得到了部分认可。《网络安全法案》（Cybersecurity Act， CSA）要求制造商公开披露其漏洞披露联系信息；NIS2指令要求基本和重要实体实施或至少合作进行协调漏洞披露（Coordinated Vulnerability Disclosure， CVD）流程；而CRA更是将漏洞报告要求扩展到具有数字元素的产品，要求制造商建立和维护CVD政策。然而，这些法律虽然 formalise the procedural obligations of entities to receive and act on good-faith reports（规范了实体接收和善意报告的程序义务），但并未为安全研究人员提供任何审查机制或程序性保障，也未授予进行这些披露的研究人员法律保护。

III. 数字服务法下的研究与审计

DSA为在线平台建立了一个全面的监管框架，特别是对超大型在线平台（Very Large Online Platforms， VLOPs）和超大型在线搜索引擎（Very Large Online Search Engines， VLOSEs）施加了严格的义务。研究分析了网络安全研究人员可能利用的两个机制：数据访问和审计。

在数据访问方面，DSA区分了 narrow research-questions-driven research（狭窄问题驱动的研究）和 explorative research（探索性研究）。前者受DSA第40条规定的“受审查研究人员”（vetted researcher）机制规制，研究人员需要满足特定条件，如隶属于研究组织、独立于商业利益等，才能访问VLOPs和VLOSEs的非公开数据。后者则适用于使用公开数据的研究，条件相对宽松。然而，研究发现，这种基于审查的模式可能并不完全适合网络安全研究，因为大多数伦理黑客并不需要访问特权数据，而是需要法律保护来进行善意的安全测试。

在审计方面，DSA要求VLOPs和VLOSEs进行年度独立审计，以评估其合规性和系统性风险缓解措施。研究人员可以在审计生态系统中扮演多重角色：研究机构可以被认可为合格的审计机构并进行审计；研究人员可以独立评估和验证审计结果；审计机构也可以利用独立的学术研究作为评估平台合规性的宝贵资源。研究指出，审计和数据访问过程存在交集，通过数据访问获得的研究结果可以作为审计的有价值证据。

IV. 重新思考网络安全研究与DSA作为示范规则？

研究最后综合分析了DSA模式对网络安全研究的适用性。关键问题在于网络安全研究是否符合DSA规定的“系统性风险”（systemic risks）范围。DSA列出了四类非穷尽列举的系统性风险，包括非法内容的传播、对基本权利的损害、对民主进程的影响以及对公共健康和安全的社会危害。研究发现，评估网络安全风险很可能符合所有这些类别。例如，导致选举完整性受损或助长犯罪的网络安全威胁（如僵尸网络或账户劫持活动）可以被视为平台DSA风险评估的一部分。

然而，研究也指出了DSA框架对网络安全研究的局限性。纯粹的 security research（安全研究），例如探测平台代码漏洞或研究网络攻击技术，除非与第34条第1款规定的系统性风险相关联，否则可能不在DSA的覆盖范围内。此外，DSA将“研究人员”与《著作权指令》（Directive (EU) 2019/790）中定义的“研究组织” affiliation（隶属关系）联系在一起，这可能将许多非机构背景的网络安全研究人员排除在外。

相比之下，CRA采取了一种更合适的方法，它要求制造商实施CVD政策，并鼓励自愿报告漏洞，这更符合网络安全研究的对抗性和探索性本质。研究认为，私人漏洞赏金计划（private bug bounty programs）提供了一个有希望的监管模型，它展示了如何在结构化访问控制和独立发现之间取得平衡。

随着人工智能（AI）系统带来新型的AI特定漏洞，网络安全研究面临着新的挑战。这些漏洞不仅包括传统的安全缺陷（如模型反转或数据投毒），还包括模糊了安全性、保障性和鲁棒性之间界限的故障。因此，AI漏洞披露可能需要新的监督和协调形式。在这种情况下，有限形式的技术探测，即使是由经过审查的研究人员进行，也可能是必要的，但需要有适当的保障措施。

结论与意义

研究表明，网络安全研究包含了一个多样化且分布广泛的行为者社区，他们并不完全在机构框架内运作。DSA为获得特权数据访问权的研究人员建立了一个正式的审查框架，这在访问专有算法、训练数据集等受保护数据的背景下是合理的。然而，对于主要针对公开可访问系统的对抗性、探索性网络安全研究而言，强加审查要求可能会削弱其独立性和自发性，并引入准入障碍。

CRA通过强制实施CVD政策，为将网络安全研究纳入法律框架提供了一种更合适的方法。私人漏洞赏金计划的经验表明，结构化的访问控制和独立发现并非相互排斥，它可以作为将外部网络安全研究整合到结构化风险管理框架中的监管模型。

最终，一个可持续的欧盟网络安全研究治理模型必须超越DSA式的审查，纳入协调漏洞披露（CVD）和漏洞赏金计划等灵活机制。这对于确保数字生态系统的长期弹性和安全性至关重要，特别是在人工智能系统日益集成和网络安全问题不断演变的背景下。这项研究为政策制定者、平台运营商和研究人员提供了宝贵的见解，有助于塑造未来欧盟数字治理的格局。

热点排行

新闻专题