有效應(yīng)對威脅風(fēng)險保障網(wǎng)絡(luò)運(yùn)行安全 網(wǎng)信辦擬發(fā)布新規(guī)整頓安全行業(yè)信息發(fā)布亂象

　　為規(guī)范發(fā)布網(wǎng)絡(luò)安全威脅信息的行為，有效應(yīng)對網(wǎng)絡(luò)安全威脅和風(fēng)險，保障網(wǎng)絡(luò)運(yùn)行安全，國家互聯(lián)網(wǎng)信息辦公室會同公安部等有關(guān)部門日前起草了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》)，向社會公開征求意見。

　　國家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示，當(dāng)前，網(wǎng)絡(luò)安全產(chǎn)業(yè)迅猛發(fā)展，許多網(wǎng)絡(luò)安全研究者和網(wǎng)絡(luò)安全企業(yè)出于提高公民網(wǎng)絡(luò)安全意識、交流網(wǎng)絡(luò)安全技術(shù)等目的，積極向社會發(fā)布網(wǎng)絡(luò)安全威脅信息，為維護(hù)國家網(wǎng)絡(luò)空間安全作出貢獻(xiàn)。但是，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問題。為進(jìn)一步規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為，國家網(wǎng)信辦會同公安部等有關(guān)部門依據(jù)職責(zé)制定了這一辦法的征求意見稿。

信息發(fā)布主體多元

諸多問題亟待解決

　　在中國傳媒大學(xué)法律系副主任鄭寧看來，網(wǎng)絡(luò)安全威脅信息發(fā)布主體多元，其中有不少具有積極價值，比如提高公民網(wǎng)絡(luò)安全意識、交流網(wǎng)絡(luò)安全技術(shù)、增強(qiáng)用戶網(wǎng)絡(luò)安全防范能力、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等。

　　11月20日，國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《征求意見稿》相關(guān)問題回答記者提問時也指出，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問題，有關(guān)單位、網(wǎng)絡(luò)運(yùn)營者反映強(qiáng)烈。

　　例如，有組織或個人打著研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)的旗號，隨意發(fā)布計算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過程和方法的細(xì)節(jié)，為惡意分子和網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員提供了技術(shù)資源，降低了網(wǎng)絡(luò)攻擊的門檻；有組織或個人未經(jīng)網(wǎng)絡(luò)運(yùn)營者同意，公開網(wǎng)絡(luò)規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息，容易被惡意分子利用威脅網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)信息一旦被公開，危害更大；部分網(wǎng)絡(luò)安全企業(yè)和機(jī)構(gòu)為推銷產(chǎn)品、賺取眼球，不當(dāng)評價有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險、脆弱性狀況，誤導(dǎo)輿論，造成不良影響；部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息，夸大危害和影響，容易造成社會恐慌。

　　“具體來說，比如名為發(fā)布網(wǎng)絡(luò)安全威脅信息，實為發(fā)布計算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，進(jìn)行網(wǎng)絡(luò)攻擊；以發(fā)布網(wǎng)絡(luò)安全威脅信息為由，對他人產(chǎn)品進(jìn)行不當(dāng)評價，或推銷自己產(chǎn)品。”鄭寧說，這些問題對國家安全、公共安全、個人信息，以及他人合法的商業(yè)利益都會造成不良影響，因此需要出臺相應(yīng)的立法加以規(guī)范。

　　北京師范大學(xué)法學(xué)院網(wǎng)絡(luò)與智慧社會法治研究中心主任劉德良告訴《法制日報》記者，此次起草發(fā)布《征求意見稿》，規(guī)范網(wǎng)絡(luò)安全威脅信息的發(fā)布管理，實際上是落實網(wǎng)絡(luò)安全法有關(guān)規(guī)定的體現(xiàn)。“我們需要做的就是根據(jù)網(wǎng)絡(luò)安全法中的相關(guān)原則和現(xiàn)實需要，進(jìn)一步具體落實。”

　　網(wǎng)絡(luò)安全法第二十六條規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。

　　除此之外，《征求意見稿》發(fā)布前，尚無規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布活動的法律法規(guī)。

規(guī)制范圍相對擴(kuò)大

披露原則更加明確

　　根據(jù)《征求意見稿》，網(wǎng)信辦所定義的“網(wǎng)絡(luò)安全威脅”除漏洞信息外，還包括“對可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為，用于描述其意圖、方法、工具、過程、結(jié)果等的信息”。比如計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

　　此外，也包括可能暴露網(wǎng)絡(luò)脆弱性的信息。比如，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險評估、檢測認(rèn)證報告，安全防護(hù)計劃和策略方案等。

　　《征求意見稿》對于相關(guān)信息的披露原則也提出了更高的要求，即“客觀、真實、審慎、負(fù)責(zé)”。并特別提出不能利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競爭。

　　在披露程序上，更是明確規(guī)定了發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性情況時，必須事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營者書面意見，除非相關(guān)風(fēng)險、脆弱性已被消除或修復(fù)，或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報。

　　之所以作出這樣的規(guī)定，劉德良分析說，一些網(wǎng)絡(luò)漏洞要發(fā)布出來的時候，可能針對的是已經(jīng)實施的問題，比如這些網(wǎng)絡(luò)漏洞已經(jīng)被人實施犯罪行為，或者有人知道了這些網(wǎng)絡(luò)漏洞，正準(zhǔn)備實施犯罪行為的，但還不知道從哪下手，“正是基于這樣的情況，一方面如果沒有向公安機(jī)關(guān)報告具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險、脆弱性情況，個人或者是企業(yè)反而是直接發(fā)布，公安機(jī)關(guān)要立案偵查打擊這種網(wǎng)絡(luò)犯罪的話，就無疑是事先警告了，犯罪分子有可能會隱藏證據(jù)，就會加大公安機(jī)關(guān)進(jìn)一步立案偵查打擊犯罪的難度”。

　　《法制日報》記者注意到，很多媒體在發(fā)布《征求意見稿》的相關(guān)報道時，均提到了“禁止發(fā)布勒索軟件等惡意程序源代碼”。

　　“如果將勒索軟件等涉及到網(wǎng)絡(luò)安全漏洞攻擊的惡意程序源代碼發(fā)布，就等于直接具體的網(wǎng)絡(luò)架構(gòu)、拓?fù)浣Y(jié)構(gòu)很具體的細(xì)節(jié)進(jìn)行了披露。在獲得這樣的具體信息后，正好給了那些有潛在犯罪動機(jī)的，正準(zhǔn)備實施犯罪還沒有機(jī)會、甚至不知道從哪下手的人，在公安機(jī)關(guān)、相關(guān)的企業(yè)或者是主管部門沒有采取措施之前，利用時間差實施犯罪的機(jī)會。”劉德良說，因為源代碼一經(jīng)公布，根據(jù)源代碼來編寫相應(yīng)的類似的惡意程序、工具就很容易，為進(jìn)一步實施犯罪行為，為這些潛在的有犯罪動機(jī)的人提供了方便，降低了他們犯罪的成本。

　　劉德良認(rèn)為，如果個人或者相關(guān)企業(yè)發(fā)布的網(wǎng)絡(luò)安全威脅中涉及到具體的安全事件，“其中泄露的內(nèi)容就有可能會涉及到國家機(jī)密、企業(yè)的商業(yè)秘密以及個人隱私等，帶來危險。另外一種情況，如果有虛假的或者是不當(dāng)?shù)模l(fā)布后可能會對社會公眾造成恐慌心理”。

　　鄭寧也認(rèn)為，從實踐來看，這些網(wǎng)絡(luò)安全威脅信息一旦發(fā)布，非常容易被惡意分子利用從事違法行為，類似于傳授犯罪方法，因此要加以禁止。

促進(jìn)安全意識提升

凈化網(wǎng)絡(luò)安全環(huán)境

　　今年6月，《國家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展規(guī)劃》正式發(fā)布。根據(jù)規(guī)劃，到2020年，依托產(chǎn)業(yè)園帶動北京市網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過1000億元，拉動GDP增長超過3300億元，打造不少于3家年收入超過100億元的骨干企業(yè)。工信部《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》提出，到2025年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2000億。

　　對此，上述國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就媒體“《征求意見稿》是否會對網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展造成影響”作答時指出，我們鼓勵和支持網(wǎng)絡(luò)安全企業(yè)向社會展示技術(shù)能力，促進(jìn)網(wǎng)絡(luò)安全意識提升，傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識，提供網(wǎng)絡(luò)安全服務(wù)。要求安全企業(yè)不向社會發(fā)布惡意程序的制作技術(shù)、網(wǎng)絡(luò)攻擊技術(shù)，并不意味著企業(yè)不能研究網(wǎng)絡(luò)攻擊技術(shù)，企業(yè)仍可通過研究網(wǎng)絡(luò)攻防技術(shù)，不斷提升網(wǎng)絡(luò)安全防護(hù)能力，不但不影響安全產(chǎn)業(yè)發(fā)展，對提高網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展水平還產(chǎn)生積極的促進(jìn)作用。

　　在鄭寧看來，《征求意見稿》的制定會對網(wǎng)絡(luò)安全產(chǎn)業(yè)產(chǎn)生較大的影響：首先，一切組織和個人在發(fā)布網(wǎng)絡(luò)安全威脅信息前，應(yīng)首先對于發(fā)布的內(nèi)容進(jìn)行評估，不得發(fā)布禁止性內(nèi)容，并且遵循相應(yīng)的報告、征求意見等程序。其次，發(fā)布網(wǎng)絡(luò)安全威脅信息，以向社會展示技術(shù)能力，促進(jìn)網(wǎng)絡(luò)安全意識提升，傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識，提供網(wǎng)絡(luò)安全服務(wù)為目的，企業(yè)仍可研發(fā)網(wǎng)絡(luò)安全技術(shù)，只是在發(fā)布信息時要注意守法。

　　“《征求意見稿》在正式實施落地之后，將對打擊互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈，凈化網(wǎng)絡(luò)安全環(huán)境起到積極作用。”鄭寧說。

　　對于如何建立互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理長效機(jī)制，鄭寧認(rèn)為，要建立健全網(wǎng)絡(luò)安全威脅信息的報告制度、信息共享和聯(lián)合執(zhí)法制度，有關(guān)主管部門應(yīng)根據(jù)報告啟動相應(yīng)的應(yīng)急預(yù)案，聯(lián)合執(zhí)法，從而預(yù)防和化解網(wǎng)絡(luò)安全風(fēng)險。同時，對于違法行為要嚴(yán)格執(zhí)法。

　　此外，上述國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人還表示，今后網(wǎng)信辦及公安機(jī)關(guān)將作為主要的監(jiān)管部門，集中主導(dǎo)相關(guān)網(wǎng)絡(luò)安全威脅信息的發(fā)布，真正實現(xiàn)維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識的目的。

　　□法制日報記者 　趙 麗

　　□法制日報實習(xí)生 董錦蒙