網(wǎng)信辦擬發(fā)布新規(guī)整頓安全行業(yè)信息發(fā)布亂象 凈化網(wǎng)絡(luò)安全環(huán)境

為規(guī)范發(fā)布網(wǎng)絡(luò)安全威脅信息的行為，有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)運(yùn)行安全，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同公安部等有關(guān)部門日前起草了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》(以下簡(jiǎn)稱《征求意見稿》)，向社會(huì)公開征求意見。

國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示，當(dāng)前，網(wǎng)絡(luò)安全產(chǎn)業(yè)迅猛發(fā)展，許多網(wǎng)絡(luò)安全研究者和網(wǎng)絡(luò)安全企業(yè)出于提高公民網(wǎng)絡(luò)安全意識(shí)、交流網(wǎng)絡(luò)安全技術(shù)等目的，積極向社會(huì)發(fā)布網(wǎng)絡(luò)安全威脅信息，為維護(hù)國(guó)家網(wǎng)絡(luò)空間安全作出貢獻(xiàn)。但是，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問題。為進(jìn)一步規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為，國(guó)家網(wǎng)信辦會(huì)同公安部等有關(guān)部門依據(jù)職責(zé)制定了這一辦法的征求意見稿。

信息發(fā)布主體多元

諸多問題亟待解決

在中國(guó)傳媒大學(xué)法律系副主任鄭寧看來，網(wǎng)絡(luò)安全威脅信息發(fā)布主體多元，其中有不少具有積極價(jià)值，比如提高公民網(wǎng)絡(luò)安全意識(shí)、交流網(wǎng)絡(luò)安全技術(shù)、增強(qiáng)用戶網(wǎng)絡(luò)安全防范能力、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等。

11月20日，國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《征求意見稿》相關(guān)問題回答記者提問時(shí)也指出，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問題，有關(guān)單位、網(wǎng)絡(luò)運(yùn)營(yíng)者反映強(qiáng)烈。

例如，有組織或個(gè)人打著研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)的旗號(hào)，隨意發(fā)布計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過程和方法的細(xì)節(jié)，為惡意分子和網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員提供了技術(shù)資源，降低了網(wǎng)絡(luò)攻擊的門檻;有組織或個(gè)人未經(jīng)網(wǎng)絡(luò)運(yùn)營(yíng)者同意，公開網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息，容易被惡意分子利用威脅網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)信息一旦被公開，危害更大;部分網(wǎng)絡(luò)安全企業(yè)和機(jī)構(gòu)為推銷產(chǎn)品、賺取眼球，不當(dāng)評(píng)價(jià)有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性狀況，誤導(dǎo)輿論，造成不良影響;部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息，夸大危害和影響，容易造成社會(huì)恐慌。

“具體來說，比如名為發(fā)布網(wǎng)絡(luò)安全威脅信息，實(shí)為發(fā)布計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，進(jìn)行網(wǎng)絡(luò)攻擊;以發(fā)布網(wǎng)絡(luò)安全威脅信息為由，對(duì)他人產(chǎn)品進(jìn)行不當(dāng)評(píng)價(jià)，或推銷自己產(chǎn)品。”鄭寧說，這些問題對(duì)國(guó)家安全、公共安全、個(gè)人信息，以及他人合法的商業(yè)利益都會(huì)造成不良影響，因此需要出臺(tái)相應(yīng)的立法加以規(guī)范。

北京師范大學(xué)法學(xué)院網(wǎng)絡(luò)與智慧社會(huì)法治研究中心主任劉德良告訴《法制日?qǐng)?bào)》記者，此次起草發(fā)布《征求意見稿》，規(guī)范網(wǎng)絡(luò)安全威脅信息的發(fā)布管理，實(shí)際上是落實(shí)網(wǎng)絡(luò)安全法有關(guān)規(guī)定的體現(xiàn)。“我們需要做的就是根據(jù)網(wǎng)絡(luò)安全法中的相關(guān)原則和現(xiàn)實(shí)需要，進(jìn)一步具體落實(shí)。”

網(wǎng)絡(luò)安全法第二十六條規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。

除此之外，《征求意見稿》發(fā)布前，尚無規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布活動(dòng)的法律法規(guī)。

規(guī)制范圍相對(duì)擴(kuò)大

披露原則更加明確

根據(jù)《征求意見稿》，網(wǎng)信辦所定義的“網(wǎng)絡(luò)安全威脅”除漏洞信息外，還包括“對(duì)可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為，用于描述其意圖、方法、工具、過程、結(jié)果等的信息”。比如計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

此外，也包括可能暴露網(wǎng)絡(luò)脆弱性的信息。比如，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告，安全防護(hù)計(jì)劃和策略方案等。

《征求意見稿》對(duì)于相關(guān)信息的披露原則也提出了更高的要求，即“客觀、真實(shí)、審慎、負(fù)責(zé)”。并特別提出不能利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng)。

在披露程序上，更是明確規(guī)定了發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況時(shí)，必須事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書面意見，除非相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù)，或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報(bào)。

之所以作出這樣的規(guī)定，劉德良分析說，一些網(wǎng)絡(luò)漏洞要發(fā)布出來的時(shí)候，可能針對(duì)的是已經(jīng)實(shí)施的問題，比如這些網(wǎng)絡(luò)漏洞已經(jīng)被人實(shí)施犯罪行為，或者有人知道了這些網(wǎng)絡(luò)漏洞，正準(zhǔn)備實(shí)施犯罪行為的，但還不知道從哪下手，“正是基于這樣的情況，一方面如果沒有向公安機(jī)關(guān)報(bào)告具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況，個(gè)人或者是企業(yè)反而是直接發(fā)布，公安機(jī)關(guān)要立案?jìng)刹榇驌暨@種網(wǎng)絡(luò)犯罪的話，就無疑是事先警告了，犯罪分子有可能會(huì)隱藏證據(jù)，就會(huì)加大公安機(jī)關(guān)進(jìn)一步立案?jìng)刹榇驌舴缸锏碾y度”。

《法制日?qǐng)?bào)》記者注意到，很多媒體在發(fā)布《征求意見稿》的相關(guān)報(bào)道時(shí)，均提到了“禁止發(fā)布勒索軟件等惡意程序源代碼”。

“如果將勒索軟件等涉及到網(wǎng)絡(luò)安全漏洞攻擊的惡意程序源代碼發(fā)布，就等于直接具體的網(wǎng)絡(luò)架構(gòu)、拓?fù)浣Y(jié)構(gòu)很具體的細(xì)節(jié)進(jìn)行了披露。在獲得這樣的具體信息后，正好給了那些有潛在犯罪動(dòng)機(jī)的，正準(zhǔn)備實(shí)施犯罪還沒有機(jī)會(huì)、甚至不知道從哪下手的人，在公安機(jī)關(guān)、相關(guān)的企業(yè)或者是主管部門沒有采取措施之前，利用時(shí)間差實(shí)施犯罪的機(jī)會(huì)。”劉德良說，因?yàn)樵创a一經(jīng)公布，根據(jù)源代碼來編寫相應(yīng)的類似的惡意程序、工具就很容易，為進(jìn)一步實(shí)施犯罪行為，為這些潛在的有犯罪動(dòng)機(jī)的人提供了方便，降低了他們犯罪的成本。

劉德良認(rèn)為，如果個(gè)人或者相關(guān)企業(yè)發(fā)布的網(wǎng)絡(luò)安全威脅中涉及到具體的安全事件，“其中泄露的內(nèi)容就有可能會(huì)涉及到國(guó)家機(jī)密、企業(yè)的商業(yè)秘密以及個(gè)人隱私等，帶來危險(xiǎn)。另外一種情況，如果有虛假的或者是不當(dāng)?shù)?，發(fā)布后可能會(huì)對(duì)社會(huì)公眾造成恐慌心理”。

鄭寧也認(rèn)為，從實(shí)踐來看，這些網(wǎng)絡(luò)安全威脅信息一旦發(fā)布，非常容易被惡意分子利用從事違法行為，類似于傳授犯罪方法，因此要加以禁止。

促進(jìn)安全意識(shí)提升

凈化網(wǎng)絡(luò)安全環(huán)境

今年6月，《國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展規(guī)劃》正式發(fā)布。根據(jù)規(guī)劃，到2020年，依托產(chǎn)業(yè)園帶動(dòng)北京市網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過1000億元，拉動(dòng)GDP增長(zhǎng)超過3300億元，打造不少于3家年收入超過100億元的骨干企業(yè)。工信部《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》提出，到2025年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2000億。

對(duì)此，上述國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就媒體“《征求意見稿》是否會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展造成影響”作答時(shí)指出，我們鼓勵(lì)和支持網(wǎng)絡(luò)安全企業(yè)向社會(huì)展示技術(shù)能力，促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升，傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)，提供網(wǎng)絡(luò)安全服務(wù)。要求安全企業(yè)不向社會(huì)發(fā)布惡意程序的制作技術(shù)、網(wǎng)絡(luò)攻擊技術(shù)，并不意味著企業(yè)不能研究網(wǎng)絡(luò)攻擊技術(shù)，企業(yè)仍可通過研究網(wǎng)絡(luò)攻防技術(shù)，不斷提升網(wǎng)絡(luò)安全防護(hù)能力，不但不影響安全產(chǎn)業(yè)發(fā)展，對(duì)提高網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展水平還產(chǎn)生積極的促進(jìn)作用。

在鄭寧看來，《征求意見稿》的制定會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)產(chǎn)生較大的影響：首先，一切組織和個(gè)人在發(fā)布網(wǎng)絡(luò)安全威脅信息前，應(yīng)首先對(duì)于發(fā)布的內(nèi)容進(jìn)行評(píng)估，不得發(fā)布禁止性內(nèi)容，并且遵循相應(yīng)的報(bào)告、征求意見等程序。其次，發(fā)布網(wǎng)絡(luò)安全威脅信息，以向社會(huì)展示技術(shù)能力，促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升，傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)，提供網(wǎng)絡(luò)安全服務(wù)為目的，企業(yè)仍可研發(fā)網(wǎng)絡(luò)安全技術(shù)，只是在發(fā)布信息時(shí)要注意守法。

“《征求意見稿》在正式實(shí)施落地之后，將對(duì)打擊互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈，凈化網(wǎng)絡(luò)安全環(huán)境起到積極作用。”鄭寧說。

對(duì)于如何建立互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理長(zhǎng)效機(jī)制，鄭寧認(rèn)為，要建立健全網(wǎng)絡(luò)安全威脅信息的報(bào)告制度、信息共享和聯(lián)合執(zhí)法制度，有關(guān)主管部門應(yīng)根據(jù)報(bào)告啟動(dòng)相應(yīng)的應(yīng)急預(yù)案，聯(lián)合執(zhí)法，從而預(yù)防和化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí)，對(duì)于違法行為要嚴(yán)格執(zhí)法。

此外，上述國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人還表示，今后網(wǎng)信辦及公安機(jī)關(guān)將作為主要的監(jiān)管部門，集中主導(dǎo)相關(guān)網(wǎng)絡(luò)安全威脅信息的發(fā)布，真正實(shí)現(xiàn)維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)的目的。

記者 　趙 麗

實(shí)習(xí)生 董錦蒙

關(guān)鍵詞：

責(zé)任編輯：Rex_01