网络安全，或许也需要吹哨人

2022年8月，推特前安全主管Peiter Zatko向美国证券交易委员会提交了一份长达84页的举报投诉，声称该公司在机器人账户和垃圾邮件等问题上误导了公众，安全标准低，并向董事会隐瞒了有关违规行为的关键信息，而推特否认了这些指控。

Peiter Zatko在业内颇有名气，此前他以“Mudge”加入了名为Cult of the Dead Cow的黑客组织，后被推特“招安”成为其安全总管。在此次事件发生后，Zatko在多家媒体高调宣称自己“在道德上有义务”公开上述信息，并认为推特应该及时纠正这些缺陷。

无独有偶，Facebook的前产品经理Frances Haugen也曾当过“吹哨人”，和Zatko的84页文件不同的是，Haugen披露了数万页的公司内部文件，以证明Gacebook将利润置于用户安全之上。但是，这两起事件均为得到大多数人的认可，无论是Haugen的数万页文件还是Zatko的声誉，似乎都未能从“吹哨人”的角度彻底揭开其企业的真面目。

对此，Zatko表示，告密并不是他轻率做出的决定，许多在网络安全问题上挺身而出的专家也面临着类似的困境。他们中的大多数人最初都试图在内部表达自己的担忧，只有在内部忽视其声音的时候，他们才会考虑求助外部渠道。此外，一个人一旦决定对外标记一家企业的错误行为时，他们就会面临很严重的后果（例如从行业除名等等）。Zatko表示，当前的合法披露机制存在一定问题，对披露者的保护力度不够，这导致很多试图揭发真相的人“踌躇难行”。

吹哨人的压力

在各类新闻报道中，调查新闻是最具影响力的一种样式。许多名垂青史的新闻经典都是调查新闻中的精品力作。在涉及权力监督的调查报道中，寻求被调查方的内部帮助是记者的惯用手法之一。这些与记者个人或媒体机构建立起特殊关系的“线人”或信源通常被称为（whistle-blower）。

“吹哨人”一词起源于1883年美国威斯康星州的一家报纸，用来描述为了防止暴乱蔓延而吹响警哨提醒小镇居民的一名警察。20世纪60年代，美国媒体开始普遍用这个词来指代举报人，引申为“唤醒公众”之意。

吹哨人曝光的是那些在公共或私人机构内部的不当行为，具体包括：违反法律法规、违背机构制度章程与职业道德、危害社会公共利益的诈骗和腐败行为，等等。新闻媒体往往是吹哨人最为倚重的渠道。

政府问责项目高级法律顾问、民主保护倡议主任Dana Gold表示，“吹哨人”的压力主要来自两方面，一方面是害怕遭到报复，同企业和行业相比，个人力量显得微不足道；另一方面则是担心徒劳无功，即便揭发的内容得到认可，也担心不会有什么实际作用。对此， Gold表示，科技和网络安全领域的工作人员需要得到更好的保护，免受报复。她认为，强有力的举报人保护法和披露途径对于负责任的私人和公共治理来说至关重要。行业需要举报人能够站出来，他们不仅是抵御关键威胁的最佳防御手段，也可能是唯一手段。

政府应该如何保护举报人

在过去的几十年里，世界各地关于保护举报人的立法有所改善，但这还远远不够。Gold表示，至少在美国，需要在立法方面为科技工作者提供更多更好的保护。目前，美国国会在监管科技行业存在一定的滞后性，尽管已经举行了多次监督听证会来解决科技行业的问题，但如果没有更好的举报人保护机制，科技工作者仍然很难站出来。

随着网络安全越来越多地融入普通人的生活，这种举报机制越来越有必要，甚至会关乎国家安全。对此，各国政府必须要做到两点，首先，要确保在公共部门工作的信息安全委员会员工在想要报告错误行为时得到认真对待。这意味着为举报人提供多种途径，并创造一个让他们感到安全的环境。对此，BTE Partners，LLC的CISO Sue Bergamo表示赞同。在她看来，政府应该有一个举报人机制，明确说明如何披露信息，然后提供资源鼓励更过员工站出来，并保证一个安全的报告环境。

其次，各国政府需要升级立法，包括对科技工作者的强有力的反报复保护，使各种实体参与报复行为成为非法。这包括与工作相关的压力、骚扰、谩骂、列入黑名单和报复性调查。

例如，美国没有保护在网络安全问题上告密员工的相关法律。但是，反报复规定的范围很广，足以囊括此类案件。例如，一些反对惩罚企业举报人和利用联邦资金揭露不当行为人的法律也适用于科技举报人。此前，2021年美国司法部的民事网络欺诈倡议为利用《虚假索赔法》解决政府承包商和赠款接受者提交虚假索赔、谎报遵守网络安全标准的问题铺平了道路。

根据非营利组织Empower Oversight的说法，某些法案适用于举报技术相关问题的举报人：

1.《虚假索赔法》保护揭发政府欺诈行为的雇员。

2.《萨班斯-奥克斯利法案》保护那些揭露上市公司欺诈和证券违规行为的员工。

3.《多德-弗兰克法案》为向美国证券交易委员会（SEC）举报证券违法行为的员工辩护。

4.《金融机构改革恢复和执行法》涵盖披露银行和类似存托机构违法行为的员工。

5.《能源重组法》确保核工业雇员免受违反相关法律或法规的侵害。

6.《举报人保护法》维护对举报违法行为、对公共健康或安全的重大威胁、严重管理不善、浪费或虐待的联邦政府雇员的保护。

7.《国防授权法》保护那些揭露严重管理不善、浪费、虐待或违反与联邦合同有关的法律或法规的员工。

欧盟在保护举报人方面也取得了进展。成员国被要求将欧盟第2019/1937号指令纳入其法律框架，没有这样做的国家（捷克、德国、爱沙尼亚、西班牙、意大利、卢森堡、匈牙利和波兰）于今年2月被移交法院。该指令要求欧盟成员国加强对公共和私营部门举报人的保护，其中包括建立一个强有力的保护体系，防止报复。

当然，只有立法是不够的，立法方面取得进展需要同企业实践方面相匹配，以得出最好的解决方案。

组织可以采取哪些措施来降低被举报的风险

当一家组织的举报人决定举报问题时，他们会受到多个层面的威胁。首先他们可能会被贴上麻烦制造者的标签，很可能会失去在行业内就业的机会，另一方面，如果他们披露的信息是敏感或机密的，他们还可能面临法律后果。

当然，没人希望成为组织里的“老六”，如果组织内部有一个能够解决举报人的问题，很多令人头疼的问题都可以避免。组织的首要任务应该是为想要提出问题的员工制定明确的政策。Empower Oversight表示，这涉及到制定和实施全面且易于使用的程序。员工需要得到保证，并且在需要的情况下对其身份进行保密。

也就是说，提供匿名报告网络安全问题的选项对于鼓励他们进行对话至关重要。FlokiNET首席执行官Kolja Weber过去曾协助举报人，她表示，组织应该多走一步，以保护员工的身份。匿名始终是确保举报人安全并鼓励他们站出来的最佳方式。

理想情况下，组织应该为报告问题提供多种途径。例如，举报人可以与他们的主管交谈，拨打匿名热线，向指定的监察员发表讲话，甚至通知可以接触领导的专门办公室。一个提供大量举报选项的组织能够有效增加员工站出来的可能性，并且能够更灵活的解决问题。

为了进一步增加机会，可以为员工提供定期培训，让他们了解在网络安全问题上挺身而出的重要性、举报不当行为的方式以及他们可以使用的保护机制。此外，领导层应该解释说，它对报复是零容忍的。Empower Oversight表示，如果发现任何报复事件，应迅速采取行动。

领导层应该对外传达的信息是认真对待问题，如果情况需要的情况下，高层管理者愿意对其进行沟通。正如Cisohive创始人兼负责人、可口可乐、时代华纳和坎贝尔等公司的前CISO Renee Guttmann所指出的那样，如果有高管认为问题需要高层领导的协助才能解决，那么就应该有一个将问题升级到执行领导层和董事会的程序。

在进行内部举报的每一和环节中，高层领导都应该向员工保证，他们披露的问题将得到彻底调查，并将投入足够的资源。整个过程应该是透明的，报告问题的人和组织都应随时了解进展情况。

从长远来看，所有这些措施都是有益的，实施这些措施的组织应该能够在内部解决问题，防止问题升级。许多公司已经开始正认识到这一过程的真正重要性。为举报人和记者提供支持的非营利组织“信号网络”的创始执行董事Delphine Halgand Mishra表示，公司走到这一步这需要时间，但已经有企业在这么做了。有问题的时候，要先解决问题，而不是解决提出问题的人。the Signals Network创建了《技术工人手册》的法律部分，解释了技术工人在决定发声之前、期间和之后可能存在的法律问题。

网络安全告密者对民主至关重要

Gold表示，Peiter Zatko和Anika Collier Navaroli是“重要的吹哨人”，他们报告了与推特有关的安全、隐私和虚假信息问题。他们愿意就社交媒体在助长对民主前所未有的威胁方面的作用作证，这是勇敢的，也是至关重要的。

然而，两人在举报后都不得不应对一系列挑战，但他们站出来的决定是经过深思熟虑的。Halgand Mishra表示，很多举报人都会说：“我希望别人会这么做，但没有人这么做。”，另外，大部分举报人都是良心难安，他们知道自己的行为会带来麻烦，但别无选择。

Mishra认为，政府和民营企业应该做更多的工作来培养开放的文化，保护举报人，因为他们是民主的一部分。他表示，举报人应该受到社会的欢迎，他们应该受到赞扬。

专家观点

南都观察作者章罗储林表示，现代组织科层结构复杂，很难避免错误或不当行为的发生，吹哨人的存在，对于及早阻止违法情事所带来的损害，落实组织治理机制，并使政府机关对于各领域的监督管理有效落实都有不可忽视的助益。吹哨人并非挑战现行体制，而是为体制的正确运行加上一道安全阀。

对吹哨人保护和奖励机制的立法，不仅免除了吹哨人的后顾之忧，保障吹哨人的利益，维护社会公义，更重要的是，它宣导了一种人人应该维护社会道义的价值观，使得更多的人愿意承担起“吹响哨声”的责任。而如何建立一套鼓励和保障吹哨人的法律机制，是我们必须严肃思考的未竟之业。

知乎答主律学馆表示，为了防止吹哨人被打击报复，美国法律做出了许多细致的规定。以《萨班斯·奥克斯利法案》为例，这部法案在第八章第六节规定保护进行揭发的公司雇员。不能因为雇员向调查部门提供信息、举报等合法行为,而解雇、降职、停职、威胁、骚扰或以其它方式在雇佣关系中歧视雇员。

美国有较为完善的法律保护机制，现实中打击报复吹哨人的情况仍时有发生，吹哨人的处境也极为被动。比如吹哨与泄密的界定、吹哨与造谣的区分都具有不确定性。

最典型的莫过于特朗普对于维基解密的态度。2016年总统大选进入关键时刻时，维基解密爆出希拉里“邮件门”，致使希拉里陷入窘境，特朗普得以杀出重围，进入白宫。特朗普声称“我爱维基解密”，并誓言要推动保护吹哨人的相关立法。但在其上台之后，针对其“通俄门”又在推特上对相关媒体施压。2019年4月，维基解密的创始人阿桑奇被英国警方逮捕，一旦被引渡回美国，等待他的将是终生监禁。估计只有“棱镜门事件”的主人公斯诺登能够理解阿桑奇的感受了。

当然，阿桑奇与斯诺登都是极端的例子，但也说明了吹哨人由于其身份的敏感性和处境的危险性，特别需要政府的坚定支持和保护，如果政府随意模糊吹哨与泄密、吹哨与造谣的界定标准，那么吹哨人就真的是“人为刀俎、我为鱼肉”，任人宰割了。

知乎答主布鲁斯韦恩表示，9月12日，《国务院关于加强和规范事中事后监管的指导意见》（下称《指导意见》），其中明确提出建立“吹哨人”制度。这是国务院层面首次对建立“吹哨人”制度作出部署。为了构建协同监管格局，《指导意见》第十六条明确指出：发挥社会监督作用。

建立“吹哨人”、内部举报人等制度，对举报严重违法违规行为和重大风险隐患的有功人员予以重奖和严格保护。畅通群众监督渠道，整合优化政府投诉举报平台功能，力争做到“一号响应”。

我国要引进“吹哨人”制度还有很多问题有待于解决，其中一个基础性问题就是该项制度在我国法律上的定位。在现代行政权的作用方式由“单一强制”向“多元合作”转变的背景下，毕竟其是一种勃兴于传统强制行政行为式微之势的新型执法方式。

立足于我国国情来讨论，我国公民的权利实践呈现出两极的运作样态：一端是过度彰显个人权利的利益表达功能。人们笃信权利“标签”的文明与高尚，将权利作为一种“修辞”来为自身追求私利的正当性摇旗呐喊，使得权利主张在私权领域泛滥，导致权利异化。另一端则是极度忽视为权利而斗争的精神。对于部分与个人利益关系不直接相连，具有社会公益的权利，权利主体基于“搭便车”的心理，选择对部分权利进行忽视或放弃，造成中国社会公众严重的“权利冷漠症”。

尾声

对于我国的网络安全产业来说，当下的第一要务是发展，而“吹哨人”在我国国体及网络安全产业内是否能够起到促进的作用还有待商榷。当然，如果一个组织内部存在让人“良心难安”的问题，相信这个组织也很难继续发展，要信任监管的力量，也相信未来会有越来越完善的制度让更多人有信心站出来发声。

参考文献：

Why whistleblowers in cybersecurity are important and need support——Andrada Fiscutean

END