二 微软公司的主张

国家行为主体的此类行动会给ICT产品和品牌带来巨大影响。对于政府是否可以储存软件漏洞，微软公司的立场跟美国政府截然不同。2017年2月14日，勒索病毒攻击事件尚未发生，但就像预料到这类事件会马上发生一样，微软公司总裁兼首席法务官史密斯（Brad Smith）在RSA大会上提出《数字日内瓦协定》倡议，如图4-1所示。

按照史密斯的想法，可以这样概括这条国际规则：网络空间跟陆、海、空存在差异，最大差异是网络空间归私有部门所有，由私有部门经营，不管是海底电缆、数据中心，还是服务器、笔记本电脑、智能手机，均属私人财产。世界各国政府不能对私有部门开展网络攻击，不能瞄准民用基础设施，不能强制要求在IT产品上植入后门，不能囤积漏洞。^[9]

图4-1 微软公司提出《数字日内瓦协定》

当勒索病毒爆发之后，史密斯又说：“这次攻击再次表明，政府囤积漏洞存在巨大问题。这已经形成了一种模式。美国中情局存储的漏洞被盗，现身维基解密。美国中情局的漏洞被盗，然后通过维基解密（Wiki Leaks）扩散。美国国安局存储的漏洞被盗，危害全世界客户。政府手中的漏洞不断流入公共领域，造成大规模破坏。这一事件的严重性相当于美国的战斧导弹被盗。这场攻击是政府行为和有组织犯罪行为这两种最严重的网络安全威胁的合流，虽然并非有意，但引人深思。”^[10]

微软公司提出《数字日内瓦协定》之前，实际上早就在酝酿这方面的规则。从具体措辞来看，这些规则跟美国政府的立场相距甚远，大部分措辞更符合发展中国家和民间团体的利益。早在2015年1月13日，微软公司就提出六条网络安全国际规则，详述如下：

1）各国不能针对ICT公司植入漏洞（后门），也不能采取损害产品和服务公信力的其他行动。

2）各国在处理产品和服务漏洞时应遵循清晰的政策原则，将这些漏洞及时汇报给供应商，而非对这些漏洞进行囤积、购买、销售、开发。

3）各国应克制开发网络武器，开发此类武器要有限度，确保精确性，保证不可重复使用。

4）各国不能从事扩散网络武器的行为。

5）各国应限制开展网络攻击行动，避免大规模事故。

6）各国应协助私有部门识别、遏制、回应、战胜网络空间事故。^[11]