软件责任机制的挣扎：非常非常非常艰难

软件责任是网络空间日晷委员会 (Cyberspace Solarium Commission) 提出的一项标志性建议。该委员会是由立法者和外部专家构成的两党团队，通过发布一份具有影响力的报告而快速引起了政府对网络政策的关注，且其提出的82项建议中的80%得到采纳。软件责任标准的倡导者们认为，最近发生的入侵和宕机事件，其中不乏顶级厂商如微软和 CrowdStrike，已证实亟需让软件公司担责。

但是，尽管有日晷委员会的高调支持和拜登政府的公开宣布，这个已讨论良久的想法仍然未果。从对法律专家、技术人员和技术行业代表的采访就能得到答案：软件责任非常难以设计，存在很多竞争性的方法，而行业提醒称它将会破坏创新甚至危害安全。

斯坦福大学地缘政治、技术和治理项目的高级政策顾问 Jim Dempsey 表示，“日晷委员会和国会知道需要经过多年的努力才能实现。这是一个非常、非常、非常艰难的问题。”

近期发生的大规模网络攻击和全球破坏事件，如SolarWinds 供应链攻击、MOVEit 勒索攻击、Ivanti 入侵事件、CrowdStrike 宕机事件和微软接二连三的数据泄露事件等，让广泛分发但有时编写不良的代码暴露在闪光灯下。

Dempsey 提到，“人们普遍认为需要做出改变。我们太依赖于包含太多漏洞的软件了。”

软件行业一再发生的失败激怒了认为没必要着急解决根本问题的专家们。但是，让企业就范谈何容易。福特汉姆大学法学院网络安全和平台责任方向的助理教授 Chinmayi Sharma 指出，“我们对软件免除了几乎所有形式的责任，早在数十年前该行业诞生之时就是如此。它是一个黄金孩子行业。（译者注：黄金孩子，golden child，本意是指得到家庭偏爱的孩子，通常被认为是完美的，获得过多的赞美以及偏爱，而其它兄弟姐妹被忽视或批评。）”

实际上，几乎所有的软件许可都包含豁免厂商责任的条款。政策制定者最初将这一实践视为扶持新生行业的代价。但如今这一行业已变得成熟，产品驱动着所有类型的关键服务，解决Dempsey所说的“制定法律文件，将软件开发者与其产品中漏洞造成的后果隔离”问题，将是一场攻坚战。

美国拜登政府在国家网络安全战略中提到，软件厂商“如未能履行”对客户的“应尽义务，则应被追究责任”，白宫国家网络总监办公室 (ONCD) 正在探索建立责任机制。但这项工作进展缓慢，因为官员们踏入了法律和技术挑战的丛林中。

自20世纪80年代起，法律学者们就在讨论责任如何适用于含有缺陷的软件。目前仍然未能达成共识，而这一点凸显了问题的复杂性。

其中一个最大的障碍是设立“注意标准”，这是企业可满足的免于诉讼的最低安全门槛。Dempsey 提到，关于“如何定义足够安全的软件产品”并未达成一致，而技术变化如此之快，制定某个特定标准也许并不明智。

之后出现了多种解决方案，如让法官判定一款软件是否足够安全，就像他们对待其它产品那样；让企业通过已有计划如政府自证流程等符合法律“安全港”的要求。

日晷委员会为修复已知漏洞的企业提出安全港提案。但这只能解决部分问题。Dempsey 表示，“必须为那些尚未知晓但应该通过合理编程实践本可避免的漏洞，实施责任机制。”他提到，车企就为车辆中的类似失败担责。其中一种方式是为企业提出最后期限，让它们采用能够消除整个漏洞类型的最佳实践，并问责那些最后期限后未使用这些实践的任何企业。

除此以外，还存在很多其它问题，如民事诉讼方的责任（如原告被要求获得集体诉讼认证）、保险公司的角色、开源软件的挑战以及应针对哪些损害采取法律措施。另外一个问题是，责任是否应当基于某个机构如联邦贸易委员会创建和执行的法律标准，还是基于由私法诉讼生成的判例法？而且甚至在软件受到产品-责任诉讼之前，国会可能需要将其归类为一款产品而非行业认为的服务。

软件企业及其盟友强烈反对这些深远的责任提案，认为它们不仅具有误导作用，而且降低生产力。

软件行业的一大主要观点是，责任问责将影响企业提升安全性并使其背负过重的合规成本。软件贸易组织 BSA 的高级策略总监 Henry Young 提到，“企业在思考责任方面花费的时间越多，对于更高价值活动的关注就越少。”

责任反方认为，不安全的软件并非最大的网络安全问题，大规模且灾难性的钓鱼攻击才是。他们辩称，即使政策制定者想要关注软件安全，也有更好的方法推进厂商，如鼓励公司董事会监督等。而且他们提醒称，专注于责任将阻止政府将有限的资源投入到更好的政策中。

批评人士还表示，因恶意人员故意利用的数字化缺陷而惩罚企业是不公平的，这种场景在多数具有责任机制的行业如食品和汽车中是极其罕见的。

该行业领军企业认为，责任机制的设立毫无必要，因为已存在可运作的选项：市场，企业为客户负责并开展安全投入，避免金钱和声誉方面的惩罚。至于免责条款，该行业认为客户可与厂商就安全期望进行谈判。Young 表示，“我们欢迎关于改进软件安全的对话。我们的客户关注安全，而我们希望交付给他们。”

很多安全专家对此并不认同。

Sharma 驳斥责任将毁坏行业的观点，“我们已经对汽车进行了规范，但还没看到汽车被迫消失的情况。” 至于认为市场已经惩罚了疏忽的软件厂商的言论，大西洋议会网络治国计划的高级总监 Trey Herr 提到，“有几个VPN提供商构成事实的证据可以证实，事实并非如此。”一个技术专家团队在本月发布的一份报告中提醒CISA表示，“只是告知组织机构不修复安全漏洞将影响它们的业务不足以起到激励作用。”

专家们还驳斥了多数客户可将责任谈判到合同的说法。很少有企业能够在谈判中赢过软件巨头，很少有客户足够了解要求供应商提供软件安全的信息。

拜登政府意识到了这些市场失败，才希望开展行动。

白宫的软件责任工作还在初始阶段。

4月份，ONCD与法律专家举行了一次峰会，邀请他们建言献策。Sharma 也参加了这次会议，并认为这是很好的开始但“有很多非常非常重要的事情并未以有意义的方式探讨”。

几周后，BSA 主持ONCD官员和成员企业见面交流。

ONCD的网络策略和计划助力总监 Nick Leiserson 提到，白宫员工已与开发者、安全专家、律师和政策管理人员了解企业决策背后的推动力以及它们如何处理责任问题，“我们尤其希望开发者谈谈他们认为自己会受到何种影响？”

Leiserson 表示，法律专家督促白宫设立基于侵权法的责任机制，但官员们考虑“更加规范的方法”，至少为注意标准设立相关法规，不过细节仍然在商榷之中。Leiserson 表示，“当前所有选项都已公开。”ONCD 的听审流程有望在2025年3月末结束，但Leiserson 表示他无法预测接下来的动作，“因为我们还在边做边学”。

一些专家担心最终成果将大大偏向于技术行业。Sharma 表示政府与软件企业的频繁交流让她“担心监管干预”问题。

Herr表示，高级政府官员尚未回应他们关于将网络安全的责任从消费者转嫁给供应商的游说。他提到，“在很多情况下，白宫在听从行业在运营方面已经表明了态度（倾向于让企业自治而非施加惩罚）。责任机制很难推行，而迫使行业在政府不愿插手的地方采取行动更难。”

关于软件责任的讨论以对在不久设立有意义立法的批评结尾。

部分原因是，即使是重大安全事件如 CrowdStrike 宕机也极少能对企业实践或客户选择造成长久影响。Dempsey 表示，“未来几年不会发生任何改变。”

专家们发现了两个潜在的触发点。缺陷软件造成的重大关键基础设施破坏事件可促使医院、能源企业和其它服务提供商要求责任变更。或者欧盟的严厉法规提案将促使行业推动美国先行执行不太艰难的标准。

Herr 表示，政府可能不得不以讨论鸦片类疾病的方式讨论软件危机，前者在立法者花言巧语变多时获得了更多的资源。虽然缺陷软件还未到致命的地步，但这可能只是时间问题。Herr 表示，“我认为没有人会在知道我们所处位置时告诉我们一切顺利。”