今天新闻头条: 网信办拟发布新规整顿安全行业信息发布乱象

有效应对威胁风险保障网络运行安全 网信办拟发布新规整顿安全行业信息发布乱象

□ 本报记者 　赵 丽

□ 本报实习生 董锦蒙

为规范发布网络安全威胁信息的行为，有效应对网络安全威胁和风险，保障网络运行安全，国家互联网信息办公室会同公安部等有关部门日前起草了《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《征求意见稿》)，向社会公开征求意见。

国家网信办有关负责人表示，当前，网络安全产业迅猛发展，许多网络安全研究者和网络安全企业出于提高公民网络安全意识、交流网络安全技术等目的，积极向社会发布网络安全威胁信息，为维护国家网络空间安全作出贡献。但是，网络安全威胁信息的发布仍存在很多问题。为进一步规范网络安全威胁信息发布行为，国家网信办会同公安部等有关部门依据职责制定了这一办法的征求意见稿。

信息发布主体多元

诸多问题亟待解决

在中国传媒大学法律系副主任郑宁看来，网络安全威胁信息发布主体多元，其中有不少具有积极价值，比如提高公民网络安全意识、交流网络安全技术、增强用户网络安全防范能力、促进网络安全产业发展等。

11月20日，国家互联网信息办公室有关负责人就《征求意见稿》相关问题回答记者提问时也指出，网络安全威胁信息的发布仍存在很多问题，有关单位、网络运营者反映强烈。

例如，有组织或个人打着研究、交流、传授网络安全技术的旗号，随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法，以及网络攻击、网络侵入过程和方法的细节，为恶意分子和网络黑产从业人员提供了技术资源，降低了网络攻击的门槛；有组织或个人未经网络运营者同意，公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息，容易被恶意分子利用威胁网络运营者网络安全，特别是关键信息基础设施的相关信息一旦被公开，危害更大；部分网络安全企业和机构为推销产品、赚取眼球，不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况，误导舆论，造成不良影响；部分媒体、网络安全企业随意发布网络安全预警信息，夸大危害和影响，容易造成社会恐慌。

“具体来说，比如名为发布网络安全威胁信息，实为发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法，进行网络攻击；以发布网络安全威胁信息为由，对他人产品进行不当评价，或推销自己产品。”郑宁说，这些问题对国家安全、公共安全、个人信息，以及他人合法的商业利益都会造成不良影响，因此需要出台相应的立法加以规范。

北京师范大学法学院网络与智慧社会法治研究中心主任刘德良告诉《法制日报》记者，此次起草发布《征求意见稿》，规范网络安全威胁信息的发布管理，实际上是落实网络安全法有关规定的体现。“我们需要做的就是根据网络安全法中的相关原则和现实需要，进一步具体落实。”

网络安全法第二十六条规定，开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

除此之外，《征求意见稿》发布前，尚无规范网络安全威胁信息发布活动的法律法规。

规制范围相对扩大

披露原则更加明确

根据《征求意见稿》，网信办所定义的“网络安全威胁”除漏洞信息外，还包括“对可能威胁网络正常运行的行为，用于描述其意图、方法、工具、过程、结果等的信息”。比如计算机病毒、网络攻击、网络侵入、网络安全事件等。

此外，也包括可能暴露网络脆弱性的信息。比如，网络和信息系统存在风险、脆弱性的情况，网络的规划设计、拓扑结构、资产信息、软件源代码，单元或设备选型、配置、软件等的属性信息，网络安全风险评估、检测认证报告，安全防护计划和策略方案等。

《征求意见稿》对于相关信息的披露原则也提出了更高的要求，即“客观、真实、审慎、负责”。并特别提出不能利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。

在披露程序上，更是明确规定了发布具体网络和信息系统存在风险、脆弱性情况时，必须事先征求网络和信息系统运营者书面意见，除非相关风险、脆弱性已被消除或修复，或已提前30日向网信、电信、公安或相关行业主管部门投诉。

之所以作出这样的规定，刘德良分析说，一些网络漏洞要发布出来的时候，可能针对的是已经实施的问题，比如这些网络漏洞已经被人实施犯罪行为，或者有人知道了这些网络漏洞，正准备实施犯罪行为的，但还不知道从哪下手，“正是基于这样的情况，一方面如果没有向公安机关报告具体网络和信息系统存在风险、脆弱性情况，个人或者是企业反而是直接发布，公安机关要立案侦查打击这种网络犯罪的话，就无疑是事先警告了，犯罪分子有可能会隐藏证据，就会加大公安机关进一步立案侦查打击犯罪的难度”。

《法制日报》记者注意到，很多媒体在发布《征求意见稿》的相关报道时，均提到了“禁止发布勒索软件等恶意程序源代码”。