泰和泰研析丨互联网威胁情报平台自动溯源功能误判引发的法律问题研究

第六个“全民国家安全教育日”和红蓝对抗行动刚结束，信息（网络）安全圈内发生的一件趣事，引起了我的注意。到底是什么事件，我们先来看看此次事件的过程。

根据A公司和B公司的澄清、声明可知，此次事件主要是由A公司4月13日上线的自动化溯源模块所引发。A公司在其声明中虽然承认是“其部分检测逻辑存在瑕疵”，但并未明确解释其瑕疵是什么。笔者不禁想，是什么样的瑕疵能让一个算法得出“疑似XX攻击队”的结果呢？这到底是算法得出的结果，还是人为的结果？A公司的声明中还提到他们“得到了Red Team的兄弟确认”，难道是有Red Team的兄弟针对A公司的算法做了针对性设计？又或者是有Red Team的兄弟直接篡改了A公司的自动分析结果？笔者作为一个前圈内的非技术大牛人士，没有溯源的技术能力，仅能靠着自己有限的技术知识进行大胆猜测，所有观点仅供学术讨论，若有不妥，请各位指正。

此外，笔者作为一名专注于“科技+法律+安全+金融”的律师，除了对本次事件的具体过程感兴趣外，对其中所涉及到的法律问题亦感到兴奋。随着近年来云计算、大数据、AI等技术的飞速发展，由于法律的滞后性，对于许多新技术引发的问题都还未有明确规定，这也引发了法律界人士的对该类问题的研究热。笔者作为前圈内人士，当然难以免俗，一看到A公司和B公司的澄清和声明，不免进行一番粗浅的分析。从整体上来看，笔者认为，此次事件主要涉及的法律问题有以下几个：

2. A公司的行为是否违反《反不正当竞争法》

根据A公司的声明，其自称“得到了Red Team的兄弟确认”，但并未给出任何相关的证据。笔者认为，根据《反不正当竞争法》的相关规定，若此次事件不是Red Team的兄弟行为所致，那么A公司的行为涉嫌不正当竞争。

具体的不正当竞争行为，从B公司的澄清函来看，B公司认为A公司云沙箱的结果是希望将B公司与另一家C公司的企业进行混淆。但笔者不这么认为，理由如下：

“C公司”作为一家专注于汽车行业IT解决方案的公司并没有“攻击队”这样的组织，而在信息（网络）安全这个特定的领域中，行业内人士都知道“B公司”有攻防技术研究实验室这样组织。

02

信息（网络）安全这个特定的领域内，“XX”作为B公司集团内所有公司的简称，享有相当的知名度，具有识别性。

那么，“XX”+“攻击队”的组合显然已经明确指向了“B公司”这家在网络安全领域中具有相当知名度的集团公司。因此，笔者认为，此次事件中A公司的行为所涉嫌的恶意竞争行为应是商业诋毁。

《反不正当竞争法》第11条规定“经营者不得编造、传播虚假信息或者误导性信息，损害竞争对手的商业信誉、商品声誉。”具体而言，传统的司法实践中，商业诋毁的构成要件为：

此处的竞争关系在传统学界有狭义和广义之争，狭义的竞争关系认为需要提供的商品或服务具有同质性或相互替代性的经营者之间同业竞争关系；广义的竞争关系则认为非同业经营者的经营行为之间存在损害与被损害的关系即可。但笔者认为，根据《反不正当竞争法》第2条的规定“本法所称的不正当竞争，是指经营者违反本法的规定，损害其他经营者合法权益，扰乱社会经济秩序的行为”，立法主要规制的是不正当竞争行为，并没有将竞争关系，尤其是同业竞争关系的存在作为构成不正当竞争行为的前提。尤其是在互联网的环境下，行业边界更趋模糊，将竞争关系作为不正当竞争行为的构成要件不利于保护正常的市场竞争秩序。而具体到此次事件中，即使采用传统的观点，A公司作为威胁情报社区平台所提供的自动溯源功能模块与B公司公司的威胁情报中心安全服务中的溯源服务显然属于具有相互替代性，二者之间具有竞争关系。

根据A公司云沙箱的自动化溯源模块判定的结果及其自己发布的声明可知，A公司4月13日对于此事件中的攻击样本的分析判定是错误的，该攻击样本与“XX攻击队”即B公司无任何关系，显然属于编造、传播了虚假信息。

根据B公司的澄清函来看，由于A公司云沙的自动溯源功能分析结果，B公司已经接到了客户的大量反馈，若B公司能提供出相关的证据来证实该情况的真实发生，那么可以认定其商业信誉已经受到了明显的损害。

四是行为人具有主观故意。

在传统的司法实践中，一般要求行为人是恶意的，且需要受害者承担举证责任。笔者认为，在互联网环境下，在涉及算法的案件中，采用传统的举证责任制度不利于受害者的维权。在现行的法律法规制度下，算法还未纳入其规制范围，尚未有哪家公司公开自己的算法，那么作为受害者要进行取证的难度是难上加难。因此，笔者认为，在互联网环境下，由于受害者所处的弱势地位，法律对于涉及算法的案件，其举证责任应该进行倒置，由使用算法的主体来证明其没有恶意。具体到本次事件中，A公司是否具有恶意，需要根据进一步的证明来进行分析。

综上，笔者认为，在此次的事件中，A公司云沙箱的行为是否构成商业诋毁，还需要进一步的证据来进行分析。

3. 关于算法规制

随着人工智能技术发展，算法越来越多的进入了人们的日常生活，被用于决策或者辅助决策，同时也带来了诸多挑战，此次事件即是一个典型的案例。纵观全球，尚未有哪个国家对算法的规制有非常明确的规定，这也吸引了越来越多的学者开始对算法的规制进行研究。

就算法的规制方式上来看，学者们主要提出了算法公开、个人数据赋权、反算法歧视、建立专家审查制度等几种方式。但从此次事件来看，云沙箱作为安全运营的辅助工具，显然不适合适用这4种规制方式。理由如下：

安全工作的核心就是“一攻一防”，若将算法公开，对于攻击者来讲还有什么难度呢？就算有难度，难度也大大降低。

02

攻击样本文件根据其特征来看显然不属于个人数据，不可以进行赋权。

云沙箱的自动溯源功能的目标是要找到恶意文件的来源，并不关心歧视与否，若存在结果错误即该产品存在问题。

04

对于安全类产品，尤其是自动溯源类产品，若采用专家审查制度，多久审查一次合适？所为“道高一尺，魔高一丈”，安全的攻防技术是日新月异的，若不频繁审查，该制度的作用如何发挥？

笔者认为，除了法律学者认为的算法界定、算法可规制性的证明、算法规制的方法等问题外，我们还有许多可以努力的方向。例如，不同的领域适用不同的规制方法，对于某些适合算法公开的领域就算法公开，对于某些适合建立专家审查制度的就适用专家审查制度，无需非要等到研究出普适性的方法才进行规制。

结 语

虽然自2016年《网络安全法》出台以来，安全行业算是从幕后走向了台前，慢慢为公众、资本所知，也引起了法律界人士对相关问题的研究热。但无论是普通公民，还是法律界人士，对安全的了解多聚焦于个人信息保护、数据安全。这除了与普通人的安全意识和技术知识水平相关，也与安全行业与普通人生活有较大距离相关。例如，本次事件中提到的钓鱼邮件，作为普通人收到钓鱼邮件，可能第一反应想到的是诈骗，怎么也不可能想到在安全行业里还有一个红蓝对抗行动。

“只有相对安全，没有绝对的安全”。在我国建设网络强国的大背景下，如何做好网络安全工作是每一个安全从业人士的任务，也是我们每一个公民的任务。首先，安全界的人士应持之以恒的突破技术，努力使我国的网络安全技术在国际上保持领先；其次，法律界人士应加强对相关法律问题的研究，早日提出合理的法律规制方案，使的新技术、算法领域不再是法外之地；最后，作为一个普通公民，也应加强安全知识学习，提升安全意识。

相关术语介绍

红蓝对抗：根据《网络安全法》其第三十四条第（四）款的规定，关键信息基础设施的运营者应制定网络安全事件应急预案，并定期进行演练。自2016年起，相关部门每年均会开展网络安全攻防演习。参与演习的单位分为红队和蓝队两方，两队一攻一守。

钓鱼邮件：指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。［1］

［1］参见百度百科，链接地址：https://baike.baidu.com/item/钓鱼邮件

沙箱：Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中，沙箱指在隔离环境中，用以测试不受信任的文件或应用程序等行为的工具。［2］

［2］参见百度百科，链接地址：https://baike.baidu.com/item/沙箱/393318

云沙箱：又称恶意软件分析平台，是一款帮助安全运营人员分析可疑文件的工具。

网络攻击溯源技术：通过利用各种手段主动地追击网络攻击发起者、定位攻击源。

往期文章推荐