為規(guī)范發(fā)布網(wǎng)絡(luò)安全威脅信息的行為,有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),保障網(wǎng)絡(luò)運(yùn)行安全,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同公安部等有關(guān)部門日前起草了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《征求意見(jiàn)稿》),向社會(huì)公開(kāi)征求意見(jiàn)。
國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示,當(dāng)前,網(wǎng)絡(luò)安全產(chǎn)業(yè)迅猛發(fā)展,許多網(wǎng)絡(luò)安全研究者和網(wǎng)絡(luò)安全企業(yè)出于提高公民網(wǎng)絡(luò)安全意識(shí)、交流網(wǎng)絡(luò)安全技術(shù)等目的,積極向社會(huì)發(fā)布網(wǎng)絡(luò)安全威脅信息,為維護(hù)國(guó)家網(wǎng)絡(luò)空間安全作出貢獻(xiàn)。但是,網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問(wèn)題。為進(jìn)一步規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為,國(guó)家網(wǎng)信辦會(huì)同公安部等有關(guān)部門依據(jù)職責(zé)制定了這一辦法的征求意見(jiàn)稿。
信息發(fā)布主體多元
諸多問(wèn)題亟待解決
在中國(guó)傳媒大學(xué)法律系副主任鄭寧看來(lái),網(wǎng)絡(luò)安全威脅信息發(fā)布主體多元,其中有不少具有積極價(jià)值,比如提高公民網(wǎng)絡(luò)安全意識(shí)、交流網(wǎng)絡(luò)安全技術(shù)、增強(qiáng)用戶網(wǎng)絡(luò)安全防范能力、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等。
11月20日,國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《征求意見(jiàn)稿》相關(guān)問(wèn)題回答記者提問(wèn)時(shí)也指出,網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問(wèn)題,有關(guān)單位、網(wǎng)絡(luò)運(yùn)營(yíng)者反映強(qiáng)烈。
例如,有組織或個(gè)人打著研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)的旗號(hào),隨意發(fā)布計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過(guò)程和方法的細(xì)節(jié),為惡意分子和網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員提供了技術(shù)資源,降低了網(wǎng)絡(luò)攻擊的門檻;有組織或個(gè)人未經(jīng)網(wǎng)絡(luò)運(yùn)營(yíng)者同意,公開(kāi)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全,特別是關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)信息一旦被公開(kāi),危害更大;部分網(wǎng)絡(luò)安全企業(yè)和機(jī)構(gòu)為推銷產(chǎn)品、賺取眼球,不當(dāng)評(píng)價(jià)有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性狀況,誤導(dǎo)輿論,造成不良影響;部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息,夸大危害和影響,容易造成社會(huì)恐慌。
“具體來(lái)說(shuō),比如名為發(fā)布網(wǎng)絡(luò)安全威脅信息,實(shí)為發(fā)布計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法,進(jìn)行網(wǎng)絡(luò)攻擊;以發(fā)布網(wǎng)絡(luò)安全威脅信息為由,對(duì)他人產(chǎn)品進(jìn)行不當(dāng)評(píng)價(jià),或推銷自己產(chǎn)品。”鄭寧說(shuō),這些問(wèn)題對(duì)國(guó)家安全、公共安全、個(gè)人信息,以及他人合法的商業(yè)利益都會(huì)造成不良影響,因此需要出臺(tái)相應(yīng)的立法加以規(guī)范。
北京師范大學(xué)法學(xué)院網(wǎng)絡(luò)與智慧社會(huì)法治研究中心主任劉德良告訴《法制日?qǐng)?bào)》記者,此次起草發(fā)布《征求意見(jiàn)稿》,規(guī)范網(wǎng)絡(luò)安全威脅信息的發(fā)布管理,實(shí)際上是落實(shí)網(wǎng)絡(luò)安全法有關(guān)規(guī)定的體現(xiàn)。“我們需要做的就是根據(jù)網(wǎng)絡(luò)安全法中的相關(guān)原則和現(xiàn)實(shí)需要,進(jìn)一步具體落實(shí)。”
網(wǎng)絡(luò)安全法第二十六條規(guī)定,開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng),向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。
除此之外,《征求意見(jiàn)稿》發(fā)布前,尚無(wú)規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布活動(dòng)的法律法規(guī)。
規(guī)制范圍相對(duì)擴(kuò)大
披露原則更加明確
根據(jù)《征求意見(jiàn)稿》,網(wǎng)信辦所定義的“網(wǎng)絡(luò)安全威脅”除漏洞信息外,還包括“對(duì)可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為,用于描述其意圖、方法、工具、過(guò)程、結(jié)果等的信息”。比如計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。
此外,也包括可能暴露網(wǎng)絡(luò)脆弱性的信息。比如,網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況,網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼,單元或設(shè)備選型、配置、軟件等的屬性信息,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告,安全防護(hù)計(jì)劃和策略方案等。
《征求意見(jiàn)稿》對(duì)于相關(guān)信息的披露原則也提出了更高的要求,即“客觀、真實(shí)、審慎、負(fù)責(zé)”。并特別提出不能利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng)。
在披露程序上,更是明確規(guī)定了發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況時(shí),必須事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書面意見(jiàn),除非相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù),或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報(bào)。
之所以作出這樣的規(guī)定,劉德良分析說(shuō),一些網(wǎng)絡(luò)漏洞要發(fā)布出來(lái)的時(shí)候,可能針對(duì)的是已經(jīng)實(shí)施的問(wèn)題,比如這些網(wǎng)絡(luò)漏洞已經(jīng)被人實(shí)施犯罪行為,或者有人知道了這些網(wǎng)絡(luò)漏洞,正準(zhǔn)備實(shí)施犯罪行為的,但還不知道從哪下手,“正是基于這樣的情況,一方面如果沒(méi)有向公安機(jī)關(guān)報(bào)告具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況,個(gè)人或者是企業(yè)反而是直接發(fā)布,公安機(jī)關(guān)要立案?jìng)刹榇驌暨@種網(wǎng)絡(luò)犯罪的話,就無(wú)疑是事先警告了,犯罪分子有可能會(huì)隱藏證據(jù),就會(huì)加大公安機(jī)關(guān)進(jìn)一步立案?jìng)刹榇驌舴缸锏碾y度”。
《法制日?qǐng)?bào)》記者注意到,很多媒體在發(fā)布《征求意見(jiàn)稿》的相關(guān)報(bào)道時(shí),均提到了“禁止發(fā)布勒索軟件等惡意程序源代碼”。
“如果將勒索軟件等涉及到網(wǎng)絡(luò)安全漏洞攻擊的惡意程序源代碼發(fā)布,就等于直接具體的網(wǎng)絡(luò)架構(gòu)、拓?fù)浣Y(jié)構(gòu)很具體的細(xì)節(jié)進(jìn)行了披露。在獲得這樣的具體信息后,正好給了那些有潛在犯罪動(dòng)機(jī)的,正準(zhǔn)備實(shí)施犯罪還沒(méi)有機(jī)會(huì)、甚至不知道從哪下手的人,在公安機(jī)關(guān)、相關(guān)的企業(yè)或者是主管部門沒(méi)有采取措施之前,利用時(shí)間差實(shí)施犯罪的機(jī)會(huì)。”劉德良說(shuō),因?yàn)樵创a一經(jīng)公布,根據(jù)源代碼來(lái)編寫相應(yīng)的類似的惡意程序、工具就很容易,為進(jìn)一步實(shí)施犯罪行為,為這些潛在的有犯罪動(dòng)機(jī)的人提供了方便,降低了他們犯罪的成本。
劉德良認(rèn)為,如果個(gè)人或者相關(guān)企業(yè)發(fā)布的網(wǎng)絡(luò)安全威脅中涉及到具體的安全事件,“其中泄露的內(nèi)容就有可能會(huì)涉及到國(guó)家機(jī)密、企業(yè)的商業(yè)秘密以及個(gè)人隱私等,帶來(lái)危險(xiǎn)。另外一種情況,如果有虛假的或者是不當(dāng)?shù)?,發(fā)布后可能會(huì)對(duì)社會(huì)公眾造成恐慌心理”。
鄭寧也認(rèn)為,從實(shí)踐來(lái)看,這些網(wǎng)絡(luò)安全威脅信息一旦發(fā)布,非常容易被惡意分子利用從事違法行為,類似于傳授犯罪方法,因此要加以禁止。
促進(jìn)安全意識(shí)提升
凈化網(wǎng)絡(luò)安全環(huán)境
今年6月,《國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展規(guī)劃》正式發(fā)布。根據(jù)規(guī)劃,到2020年,依托產(chǎn)業(yè)園帶動(dòng)北京市網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)1000億元,拉動(dòng)GDP增長(zhǎng)超過(guò)3300億元,打造不少于3家年收入超過(guò)100億元的骨干企業(yè)。工信部《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》提出,到2025年網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過(guò)2000億。
對(duì)此,上述國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就媒體“《征求意見(jiàn)稿》是否會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展造成影響”作答時(shí)指出,我們鼓勵(lì)和支持網(wǎng)絡(luò)安全企業(yè)向社會(huì)展示技術(shù)能力,促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升,傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí),提供網(wǎng)絡(luò)安全服務(wù)。要求安全企業(yè)不向社會(huì)發(fā)布惡意程序的制作技術(shù)、網(wǎng)絡(luò)攻擊技術(shù),并不意味著企業(yè)不能研究網(wǎng)絡(luò)攻擊技術(shù),企業(yè)仍可通過(guò)研究網(wǎng)絡(luò)攻防技術(shù),不斷提升網(wǎng)絡(luò)安全防護(hù)能力,不但不影響安全產(chǎn)業(yè)發(fā)展,對(duì)提高網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展水平還產(chǎn)生積極的促進(jìn)作用。
在鄭寧看來(lái),《征求意見(jiàn)稿》的制定會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)產(chǎn)生較大的影響:首先,一切組織和個(gè)人在發(fā)布網(wǎng)絡(luò)安全威脅信息前,應(yīng)首先對(duì)于發(fā)布的內(nèi)容進(jìn)行評(píng)估,不得發(fā)布禁止性內(nèi)容,并且遵循相應(yīng)的報(bào)告、征求意見(jiàn)等程序。其次,發(fā)布網(wǎng)絡(luò)安全威脅信息,以向社會(huì)展示技術(shù)能力,促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升,傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí),提供網(wǎng)絡(luò)安全服務(wù)為目的,企業(yè)仍可研發(fā)網(wǎng)絡(luò)安全技術(shù),只是在發(fā)布信息時(shí)要注意守法。
“《征求意見(jiàn)稿》在正式實(shí)施落地之后,將對(duì)打擊互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈,凈化網(wǎng)絡(luò)安全環(huán)境起到積極作用。”鄭寧說(shuō)。
對(duì)于如何建立互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理長(zhǎng)效機(jī)制,鄭寧認(rèn)為,要建立健全網(wǎng)絡(luò)安全威脅信息的報(bào)告制度、信息共享和聯(lián)合執(zhí)法制度,有關(guān)主管部門應(yīng)根據(jù)報(bào)告啟動(dòng)相應(yīng)的應(yīng)急預(yù)案,聯(lián)合執(zhí)法,從而預(yù)防和化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí),對(duì)于違法行為要嚴(yán)格執(zhí)法。
此外,上述國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人還表示,今后網(wǎng)信辦及公安機(jī)關(guān)將作為主要的監(jiān)管部門,集中主導(dǎo)相關(guān)網(wǎng)絡(luò)安全威脅信息的發(fā)布,真正實(shí)現(xiàn)維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)的目的。
記者 趙 麗
實(shí)習(xí)生 董錦蒙
關(guān)鍵詞:
責(zé)任編輯:Rex_01