為規(guī)范發(fā)布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發(fā)布管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。
國家網信辦有關負責人表示,當前,網絡安全產業(yè)迅猛發(fā)展,許多網絡安全研究者和網絡安全企業(yè)出于提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發(fā)布網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發(fā)布仍存在很多問題。為進一步規(guī)范網絡安全威脅信息發(fā)布行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的征求意見稿。
信息發(fā)布主體多元
諸多問題亟待解決
在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發(fā)布主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防范能力、促進網絡安全產業(yè)發(fā)展等。
11月20日,國家互聯網信息辦公室有關負責人就《征求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發(fā)布仍存在很多問題,有關單位、網絡運營者反映強烈。
例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發(fā)布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網絡攻擊、網絡侵入過程和方法的細節(jié),為惡意分子和網絡黑產從業(yè)人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規(guī)劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業(yè)和機構為推銷產品、賺取眼球,不當評價有關地區(qū)、行業(yè)網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業(yè)隨意發(fā)布網絡安全預警信息,夸大危害和影響,容易造成社會恐慌。
“具體來說,比如名為發(fā)布網絡安全威脅信息,實為發(fā)布計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進行網絡攻擊;以發(fā)布網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品。”鄭寧說,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業(yè)利益都會造成不良影響,因此需要出臺相應的立法加以規(guī)范。
北京師范大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發(fā)布《征求意見稿》,規(guī)范網絡安全威脅信息的發(fā)布管理,實際上是落實網絡安全法有關規(guī)定的體現。“我們需要做的就是根據網絡安全法中的相關原則和現實需要,進一步具體落實。”
網絡安全法第二十六條規(guī)定,開展網絡安全認證、檢測、風險評估等活動,向社會發(fā)布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規(guī)定。
除此之外,《征求意見稿》發(fā)布前,尚無規(guī)范網絡安全威脅信息發(fā)布活動的法律法規(guī)。
規(guī)制范圍相對擴大
披露原則更加明確
根據《征求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用于描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。
此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規(guī)劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
《征求意見稿》對于相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。并特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業(yè)競爭。
在披露程序上,更是明確規(guī)定了發(fā)布具體網絡和信息系統存在風險、脆弱性情況時,必須事先征求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前30日向網信、電信、公安或相關行業(yè)主管部門舉報。
之所以作出這樣的規(guī)定,劉德良分析說,一些網絡漏洞要發(fā)布出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業(yè)反而是直接發(fā)布,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。
《法制日報》記者注意到,很多媒體在發(fā)布《征求意見稿》的相關報道時,均提到了“禁止發(fā)布勒索軟件等惡意程序源代碼”。
“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發(fā)布,就等于直接具體的網絡架構、拓撲結構很具體的細節(jié)進行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業(yè)或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會。”劉德良說,因為源代碼一經公布,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。
劉德良認為,如果個人或者相關企業(yè)發(fā)布的網絡安全威脅中涉及到具體的安全事件,“其中泄露的內容就有可能會涉及到國家機密、企業(yè)的商業(yè)秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發(fā)布后可能會對社會公眾造成恐慌心理”。
鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發(fā)布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。
促進安全意識提升
凈化網絡安全環(huán)境
今年6月,《國家網絡安全產業(yè)發(fā)展規(guī)劃》正式發(fā)布。根據規(guī)劃,到2020年,依托產業(yè)園帶動北京市網絡安全產業(yè)規(guī)模超過1000億元,拉動GDP增長超過3300億元,打造不少于3家年收入超過100億元的骨干企業(yè)。工信部《關于促進網絡安全產業(yè)發(fā)展的指導意見(征求意見稿)》提出,到2025年網絡安全產業(yè)規(guī)模超過2000億。
對此,上述國家互聯網信息辦公室有關負責人就媒體“《征求意見稿》是否會對網絡安全產業(yè)發(fā)展造成影響”作答時指出,我們鼓勵和支持網絡安全企業(yè)向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業(yè)不向社會發(fā)布惡意程序的制作技術、網絡攻擊技術,并不意味著企業(yè)不能研究網絡攻擊技術,企業(yè)仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業(yè)發(fā)展,對提高網絡安全產業(yè)發(fā)展水平還產生積極的促進作用。
在鄭寧看來,《征求意見稿》的制定會對網絡安全產業(yè)產生較大的影響:首先,一切組織和個人在發(fā)布網絡安全威脅信息前,應首先對于發(fā)布的內容進行評估,不得發(fā)布禁止性內容,并且遵循相應的報告、征求意見等程序。其次,發(fā)布網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業(yè)仍可研發(fā)網絡安全技術,只是在發(fā)布信息時要注意守法。
“《征求意見稿》在正式實施落地之后,將對打擊互聯網黑色產業(yè)鏈,凈化網絡安全環(huán)境起到積極作用。”鄭寧說。
對于如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執(zhí)法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執(zhí)法,從而預防和化解網絡安全風險。同時,對于違法行為要嚴格執(zhí)法。
此外,上述國家互聯網信息辦公室有關負責人還表示,今后網信辦及公安機關將作為主要的監(jiān)管部門,集中主導相關網絡安全威脅信息的發(fā)布,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。
記者 趙 麗
實習生 董錦蒙
關鍵詞:
責任編輯:Rex_01