網(wǎng)信辦擬發(fā)布新規(guī)整頓安全行業(yè)信息發(fā)布亂象 凈化網(wǎng)絡安全環(huán)境

為規(guī)范發(fā)布網(wǎng)絡安全威脅信息的行為，有效應對網(wǎng)絡安全威脅和風險，保障網(wǎng)絡運行安全，國家互聯(lián)網(wǎng)信息辦公室會同公安部等有關部門日前起草了《網(wǎng)絡安全威脅信息發(fā)布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》)，向社會公開征求意見。

國家網(wǎng)信辦有關負責人表示，當前，網(wǎng)絡安全產(chǎn)業(yè)迅猛發(fā)展，許多網(wǎng)絡安全研究者和網(wǎng)絡安全企業(yè)出于提高公民網(wǎng)絡安全意識、交流網(wǎng)絡安全技術等目的，積極向社會發(fā)布網(wǎng)絡安全威脅信息，為維護國家網(wǎng)絡空間安全作出貢獻。但是，網(wǎng)絡安全威脅信息的發(fā)布仍存在很多問題。為進一步規(guī)范網(wǎng)絡安全威脅信息發(fā)布行為，國家網(wǎng)信辦會同公安部等有關部門依據(jù)職責制定了這一辦法的征求意見稿。

信息發(fā)布主體多元

諸多問題亟待解決

在中國傳媒大學法律系副主任鄭寧看來，網(wǎng)絡安全威脅信息發(fā)布主體多元，其中有不少具有積極價值，比如提高公民網(wǎng)絡安全意識、交流網(wǎng)絡安全技術、增強用戶網(wǎng)絡安全防范能力、促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展等。

11月20日，國家互聯(lián)網(wǎng)信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出，網(wǎng)絡安全威脅信息的發(fā)布仍存在很多問題，有關單位、網(wǎng)絡運營者反映強烈。

例如，有組織或個人打著研究、交流、傳授網(wǎng)絡安全技術的旗號，隨意發(fā)布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，以及網(wǎng)絡攻擊、網(wǎng)絡侵入過程和方法的細節(jié)，為惡意分子和網(wǎng)絡黑產(chǎn)從業(yè)人員提供了技術資源，降低了網(wǎng)絡攻擊的門檻;有組織或個人未經(jīng)網(wǎng)絡運營者同意，公開網(wǎng)絡規(guī)劃設計、拓撲結構、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息，容易被惡意分子利用威脅網(wǎng)絡運營者網(wǎng)絡安全，特別是關鍵信息基礎設施的相關信息一旦被公開，危害更大;部分網(wǎng)絡安全企業(yè)和機構為推銷產(chǎn)品、賺取眼球，不當評價有關地區(qū)、行業(yè)網(wǎng)絡安全攻擊、事件、風險、脆弱性狀況，誤導輿論，造成不良影響;部分媒體、網(wǎng)絡安全企業(yè)隨意發(fā)布網(wǎng)絡安全預警信息，夸大危害和影響，容易造成社會恐慌。

“具體來說，比如名為發(fā)布網(wǎng)絡安全威脅信息，實為發(fā)布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，進行網(wǎng)絡攻擊;以發(fā)布網(wǎng)絡安全威脅信息為由，對他人產(chǎn)品進行不當評價，或推銷自己產(chǎn)品。”鄭寧說，這些問題對國家安全、公共安全、個人信息，以及他人合法的商業(yè)利益都會造成不良影響，因此需要出臺相應的立法加以規(guī)范。

北京師范大學法學院網(wǎng)絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者，此次起草發(fā)布《征求意見稿》，規(guī)范網(wǎng)絡安全威脅信息的發(fā)布管理，實際上是落實網(wǎng)絡安全法有關規(guī)定的體現(xiàn)。“我們需要做的就是根據(jù)網(wǎng)絡安全法中的相關原則和現(xiàn)實需要，進一步具體落實。”

網(wǎng)絡安全法第二十六條規(guī)定，開展網(wǎng)絡安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息，應當遵守國家有關規(guī)定。

除此之外，《征求意見稿》發(fā)布前，尚無規(guī)范網(wǎng)絡安全威脅信息發(fā)布活動的法律法規(guī)。

規(guī)制范圍相對擴大

披露原則更加明確

根據(jù)《征求意見稿》，網(wǎng)信辦所定義的“網(wǎng)絡安全威脅”除漏洞信息外，還包括“對可能威脅網(wǎng)絡正常運行的行為，用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入、網(wǎng)絡安全事件等。

此外，也包括可能暴露網(wǎng)絡脆弱性的信息。比如，網(wǎng)絡和信息系統(tǒng)存在風險、脆弱性的情況，網(wǎng)絡的規(guī)劃設計、拓撲結構、資產(chǎn)信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息，網(wǎng)絡安全風險評估、檢測認證報告，安全防護計劃和策略方案等。

《征求意見稿》對于相關信息的披露原則也提出了更高的要求，即“客觀、真實、審慎、負責”。并特別提出不能利用網(wǎng)絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業(yè)競爭。

在披露程序上，更是明確規(guī)定了發(fā)布具體網(wǎng)絡和信息系統(tǒng)存在風險、脆弱性情況時，必須事先征求網(wǎng)絡和信息系統(tǒng)運營者書面意見，除非相關風險、脆弱性已被消除或修復，或已提前30日向網(wǎng)信、電信、公安或相關行業(yè)主管部門舉報。

之所以作出這樣的規(guī)定，劉德良分析說，一些網(wǎng)絡漏洞要發(fā)布出來的時候，可能針對的是已經(jīng)實施的問題，比如這些網(wǎng)絡漏洞已經(jīng)被人實施犯罪行為，或者有人知道了這些網(wǎng)絡漏洞，正準備實施犯罪行為的，但還不知道從哪下手，“正是基于這樣的情況，一方面如果沒有向公安機關報告具體網(wǎng)絡和信息系統(tǒng)存在風險、脆弱性情況，個人或者是企業(yè)反而是直接發(fā)布，公安機關要立案偵查打擊這種網(wǎng)絡犯罪的話，就無疑是事先警告了，犯罪分子有可能會隱藏證據(jù)，就會加大公安機關進一步立案偵查打擊犯罪的難度”。

《法制日報》記者注意到，很多媒體在發(fā)布《征求意見稿》的相關報道時，均提到了“禁止發(fā)布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網(wǎng)絡安全漏洞攻擊的惡意程序源代碼發(fā)布，就等于直接具體的網(wǎng)絡架構、拓撲結構很具體的細節(jié)進行了披露。在獲得這樣的具體信息后，正好給了那些有潛在犯罪動機的，正準備實施犯罪還沒有機會、甚至不知道從哪下手的人，在公安機關、相關的企業(yè)或者是主管部門沒有采取措施之前，利用時間差實施犯罪的機會。”劉德良說，因為源代碼一經(jīng)公布，根據(jù)源代碼來編寫相應的類似的惡意程序、工具就很容易，為進一步實施犯罪行為，為這些潛在的有犯罪動機的人提供了方便，降低了他們犯罪的成本。

劉德良認為，如果個人或者相關企業(yè)發(fā)布的網(wǎng)絡安全威脅中涉及到具體的安全事件，“其中泄露的內(nèi)容就有可能會涉及到國家機密、企業(yè)的商業(yè)秘密以及個人隱私等，帶來危險。另外一種情況，如果有虛假的或者是不當?shù)模l(fā)布后可能會對社會公眾造成恐慌心理”。

鄭寧也認為，從實踐來看，這些網(wǎng)絡安全威脅信息一旦發(fā)布，非常容易被惡意分子利用從事違法行為，類似于傳授犯罪方法，因此要加以禁止。

促進安全意識提升

凈化網(wǎng)絡安全環(huán)境

今年6月，《國家網(wǎng)絡安全產(chǎn)業(yè)發(fā)展規(guī)劃》正式發(fā)布。根據(jù)規(guī)劃，到2020年，依托產(chǎn)業(yè)園帶動北京市網(wǎng)絡安全產(chǎn)業(yè)規(guī)模超過1000億元，拉動GDP增長超過3300億元，打造不少于3家年收入超過100億元的骨干企業(yè)。工信部《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》提出，到2025年網(wǎng)絡安全產(chǎn)業(yè)規(guī)模超過2000億。

對此，上述國家互聯(lián)網(wǎng)信息辦公室有關負責人就媒體“《征求意見稿》是否會對網(wǎng)絡安全產(chǎn)業(yè)發(fā)展造成影響”作答時指出，我們鼓勵和支持網(wǎng)絡安全企業(yè)向社會展示技術能力，促進網(wǎng)絡安全意識提升，傳播普及網(wǎng)絡安全防護技術知識，提供網(wǎng)絡安全服務。要求安全企業(yè)不向社會發(fā)布惡意程序的制作技術、網(wǎng)絡攻擊技術，并不意味著企業(yè)不能研究網(wǎng)絡攻擊技術，企業(yè)仍可通過研究網(wǎng)絡攻防技術，不斷提升網(wǎng)絡安全防護能力，不但不影響安全產(chǎn)業(yè)發(fā)展，對提高網(wǎng)絡安全產(chǎn)業(yè)發(fā)展水平還產(chǎn)生積極的促進作用。

在鄭寧看來，《征求意見稿》的制定會對網(wǎng)絡安全產(chǎn)業(yè)產(chǎn)生較大的影響：首先，一切組織和個人在發(fā)布網(wǎng)絡安全威脅信息前，應首先對于發(fā)布的內(nèi)容進行評估，不得發(fā)布禁止性內(nèi)容，并且遵循相應的報告、征求意見等程序。其次，發(fā)布網(wǎng)絡安全威脅信息，以向社會展示技術能力，促進網(wǎng)絡安全意識提升，傳播普及網(wǎng)絡安全防護技術知識，提供網(wǎng)絡安全服務為目的，企業(yè)仍可研發(fā)網(wǎng)絡安全技術，只是在發(fā)布信息時要注意守法。

“《征求意見稿》在正式實施落地之后，將對打擊互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈，凈化網(wǎng)絡安全環(huán)境起到積極作用。”鄭寧說。

對于如何建立互聯(lián)網(wǎng)網(wǎng)絡安全威脅治理長效機制，鄭寧認為，要建立健全網(wǎng)絡安全威脅信息的報告制度、信息共享和聯(lián)合執(zhí)法制度，有關主管部門應根據(jù)報告啟動相應的應急預案，聯(lián)合執(zhí)法，從而預防和化解網(wǎng)絡安全風險。同時，對于違法行為要嚴格執(zhí)法。

此外，上述國家互聯(lián)網(wǎng)信息辦公室有關負責人還表示，今后網(wǎng)信辦及公安機關將作為主要的監(jiān)管部門，集中主導相關網(wǎng)絡安全威脅信息的發(fā)布，真正實現(xiàn)維護網(wǎng)絡安全、促進網(wǎng)絡安全意識提升、交流網(wǎng)絡安全防護技術知識的目的。

記者 　趙 麗

實習生 董錦蒙

關鍵詞：

責任編輯：Rex_01