法制日報全媒體記者 趙麗 實習生 董錦蒙
為規範發佈網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,國家互聯網信息辦公室會同公安部等有關部門日前起草了《網絡安全威脅信息發佈管理辦法(徵求意見稿)》(以下簡稱《徵求意見稿》),向社會公開徵求意見。
國家網信辦有關負責人表示,當前,網絡安全產業迅猛發展,許多網絡安全研究者和網絡安全企業出於提高公民網絡安全意識、交流網絡安全技術等目的,積極向社會發佈網絡安全威脅信息,為維護國家網絡空間安全作出貢獻。但是,網絡安全威脅信息的發佈仍存在很多問題。為進一步規範網絡安全威脅信息發佈行為,國家網信辦會同公安部等有關部門依據職責制定了這一辦法的徵求意見稿。
信息發佈主體多元
諸多問題亟待解決
在中國傳媒大學法律系副主任鄭寧看來,網絡安全威脅信息發佈主體多元,其中有不少具有積極價值,比如提高公民網絡安全意識、交流網絡安全技術、增強用戶網絡安全防範能力、促進網絡安全產業發展等。
11月20日,國家互聯網信息辦公室有關負責人就《徵求意見稿》相關問題回答記者提問時也指出,網絡安全威脅信息的發佈仍存在很多問題,有關單位、網絡運營者反映強烈。
例如,有組織或個人打著研究、交流、傳授網絡安全技術的旗號,隨意發佈計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法,以及網絡攻擊、網絡侵入過程和方法的細節,為惡意分子和網絡黑產從業人員提供了技術資源,降低了網絡攻擊的門檻;有組織或個人未經網絡運營者同意,公開網絡規劃設計、拓撲結構、資產信息、軟件代碼等屬性信息和脆弱性信息,容易被惡意分子利用威脅網絡運營者網絡安全,特別是關鍵信息基礎設施的相關信息一旦被公開,危害更大;部分網絡安全企業和機構為推銷產品、賺取眼球,不當評價有關地區、行業網絡安全攻擊、事件、風險、脆弱性狀況,誤導輿論,造成不良影響;部分媒體、網絡安全企業隨意發佈網絡安全預警信息,誇大危害和影響,容易造成社會恐慌。
“具體來說,比如名為發佈網絡安全威脅信息,實為發佈計算機病毒、木馬、勒索軟件等惡意程序的源代碼和製作方法,進行網絡攻擊;以發佈網絡安全威脅信息為由,對他人產品進行不當評價,或推銷自己產品。”鄭寧說,這些問題對國家安全、公共安全、個人信息,以及他人合法的商業利益都會造成不良影響,因此需要出臺相應的立法加以規範。
北京師範大學法學院網絡與智慧社會法治研究中心主任劉德良告訴《法制日報》記者,此次起草發佈《徵求意見稿》,規範網絡安全威脅信息的發佈管理,實際上是落實網絡安全法有關規定的體現。“我們需要做的就是根據網絡安全法中的相關原則和現實需要,進一步具體落實。”
網絡安全法第二十六條規定,開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。
除此之外,《徵求意見稿》發佈前,尚無規範網絡安全威脅信息發佈活動的法律法規。
規制範圍相對擴大
披露原則更加明確
根據《徵求意見稿》,網信辦所定義的“網絡安全威脅”除漏洞信息外,還包括“對可能威脅網絡正常運行的行為,用於描述其意圖、方法、工具、過程、結果等的信息”。比如計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。
此外,也包括可能暴露網絡脆弱性的信息。比如,網絡和信息系統存在風險、脆弱性的情況,網絡的規劃設計、拓撲結構、資產信息、軟件源代碼,單元或設備選型、配置、軟件等的屬性信息,網絡安全風險評估、檢測認證報告,安全防護計劃和策略方案等。
《徵求意見稿》對於相關信息的披露原則也提出了更高的要求,即“客觀、真實、審慎、負責”。並特別提出不能利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。
在披露程序上,更是明確規定了發佈具體網絡和信息系統存在風險、脆弱性情況時,必須事先徵求網絡和信息系統運營者書面意見,除非相關風險、脆弱性已被消除或修復,或已提前30日向網信、電信、公安或相關行業主管部門舉報。
之所以作出這樣的規定,劉德良分析說,一些網絡漏洞要發佈出來的時候,可能針對的是已經實施的問題,比如這些網絡漏洞已經被人實施犯罪行為,或者有人知道了這些網絡漏洞,正準備實施犯罪行為的,但還不知道從哪下手,“正是基於這樣的情況,一方面如果沒有向公安機關報告具體網絡和信息系統存在風險、脆弱性情況,個人或者是企業反而是直接發佈,公安機關要立案偵查打擊這種網絡犯罪的話,就無疑是事先警告了,犯罪分子有可能會隱藏證據,就會加大公安機關進一步立案偵查打擊犯罪的難度”。
《法制日報》記者注意到,很多媒體在發佈《徵求意見稿》的相關報道時,均提到了“禁止發佈勒索軟件等惡意程序源代碼”。
“如果將勒索軟件等涉及到網絡安全漏洞攻擊的惡意程序源代碼發佈,就等於直接具體的網絡架構、拓撲結構很具體的細節進行了披露。在獲得這樣的具體信息後,正好給了那些有潛在犯罪動機的,正準備實施犯罪還沒有機會、甚至不知道從哪下手的人,在公安機關、相關的企業或者是主管部門沒有采取措施之前,利用時間差實施犯罪的機會。”劉德良說,因為源代碼一經公佈,根據源代碼來編寫相應的類似的惡意程序、工具就很容易,為進一步實施犯罪行為,為這些潛在的有犯罪動機的人提供了方便,降低了他們犯罪的成本。
劉德良認為,如果個人或者相關企業發佈的網絡安全威脅中涉及到具體的安全事件,“其中洩露的內容就有可能會涉及到國家機密、企業的商業秘密以及個人隱私等,帶來危險。另外一種情況,如果有虛假的或者是不當的,發佈後可能會對社會公眾造成恐慌心理”。
鄭寧也認為,從實踐來看,這些網絡安全威脅信息一旦發佈,非常容易被惡意分子利用從事違法行為,類似於傳授犯罪方法,因此要加以禁止。
促進安全意識提升
淨化網絡安全環境
今年6月,《國家網絡安全產業發展規劃》正式發佈。根據規劃,到2020年,依託產業園帶動北京市網絡安全產業規模超過1000億元,拉動GDP增長超過3300億元,打造不少於3家年收入超過100億元的骨幹企業。工信部《關於促進網絡安全產業發展的指導意見(徵求意見稿)》提出,到2025年網絡安全產業規模超過2000億。
對此,上述國家互聯網信息辦公室有關負責人就媒體“《徵求意見稿》是否會對網絡安全產業發展造成影響”作答時指出,我們鼓勵和支持網絡安全企業向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務。要求安全企業不向社會發布惡意程序的製作技術、網絡攻擊技術,並不意味著企業不能研究網絡攻擊技術,企業仍可通過研究網絡攻防技術,不斷提升網絡安全防護能力,不但不影響安全產業發展,對提高網絡安全產業發展水平還產生積極的促進作用。
在鄭寧看來,《徵求意見稿》的制定會對網絡安全產業產生較大的影響:首先,一切組織和個人在發佈網絡安全威脅信息前,應首先對於發佈的內容進行評估,不得發佈禁止性內容,並且遵循相應的報告、徵求意見等程序。其次,發佈網絡安全威脅信息,以向社會展示技術能力,促進網絡安全意識提升,傳播普及網絡安全防護技術知識,提供網絡安全服務為目的,企業仍可研發網絡安全技術,只是在發佈信息時要注意守法。
“《徵求意見稿》在正式實施落地之後,將對打擊互聯網黑色產業鏈,淨化網絡安全環境起到積極作用。”鄭寧說。
對於如何建立互聯網網絡安全威脅治理長效機制,鄭寧認為,要建立健全網絡安全威脅信息的報告制度、信息共享和聯合執法制度,有關主管部門應根據報告啟動相應的應急預案,聯合執法,從而預防和化解網絡安全風險。同時,對於違法行為要嚴格執法。
此外,上述國家互聯網信息辦公室有關負責人還表示,今後網信辦及公安機關將作為主要的監管部門,集中主導相關網絡安全威脅信息的發佈,真正實現維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識的目的。