专业文章
《网络安全威胁信息发布管理办法》(征求意见稿)要点
当前,网络安全产业迅猛发展,许多网络安全研究者和网络安全企业出于提高公民网络安全意识、交流网络安全技术等目的,积极向社会发布网络安全威胁信息,但此类信息易被恶意分子、网络黑产从业人员利用,进而危及网络安全。《网络安全法》第二十六条规定“发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定”。针对该条规定,我国现行法律法规中尚没有相应的配套管理办法,国家互联网信息办公室(以下简称“网信办”)会同公安部等有关部门以《网络安全法》为依据制定了《关于<网络安全威胁信息发布管理办法(征求意见稿)>公开征求意见的通知》(以下简称“《征求意见稿》”),以期规范发布网络安全威胁信息的行为,维护网络安全。该《征求意见稿》于2019年11月20日发布,向社会公开征求意见。
《征求意见稿》共十三条,第四条至第九条对网络安全威胁信息的发布作了较为详细的规定。本文拟就《征求意见稿》的要点简析如下:
一、发布者义务
为保障网络安全,《征求意见稿》明确规定了发布者对特定信息的禁止发布义务(第四条)、不同网络安全威胁信息发布前的报告义务(第五条、第六条)、未经授权不得在标题中使用“预警”字样的义务(第七条)。
(一) 特定信息的禁止发布义务
《征求意见稿》第四条详细列举了发布者不得发布的六类可能被直接用于危害网络正常运行的信息,并以兜底条款的形式对未被列举的其他可能被直接用于危害网络正常运行的内容加以规制。
我们认为,本条的立法原意是出于该等特定信息可不经加工、设计而直接被用于危害网络正常运行的考虑,若上述内容被恶意分子获取、用于不法行为,则能够轻易地对网络安全造成损害,因此为维护网络安全,《征求意见稿》规定发布的网络安全威胁信息中不得包含上述内容,这将要求相关人员在进行技术交流时规避敏感内容,从而从源头遏制相关信息的扩散。
(二) 网络安全威胁信息发布前的报告义务
《征求意见稿》第五条规定,发布网络和信息系统被攻击破坏、非法侵入等网络安全事件信息前,应向该事件发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。第六条规定,发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;发布涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。
我们理解,鉴于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等是国家重要行业和领域,其关键信息基础设施遭到破坏、丧失功能或数据泄露的,可能严重危害国家安全、国计民生、公共利益,因此对该等行业和领域的网络安全需重点保护,在发布网络安全威胁信息时,需事先向行业主管部门报告。此外,需视影响范围大小向相应级别的网信部门和公安部门报告。从现有条款来看,仅规定了上述情形下的事前报告义务,但未要求报告后需取得监管机构的批准,因此不属于审批许可事项,发布网络安全威胁信息前通过报告使监管机构知晓即可。
(三) “预警”字样的限制使用义务
《国家网络安全事件应急预案》将网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件,并明确规定预警由各省(区、市)、各部门进行监测、研判和发布、响应及应急处置。《征求意见稿》第七条以此为依据,规定未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
我们理解,根据本条规定,为确保预警的效力及权威性,其他主体在发布网络安全威胁信息时,可采用“威胁信息提示”、“威胁情报”、“风险提示”等描述,应避免出现“预警”字样。但从《征求意见稿》的表述来看,不得发布标题含有“预警”字样信息有一项前提,即“未经政府部门批准和授权”,似乎意味着可以在取得批准和授权后发布该等信息,然而网信办有关负责人在就《征求意见稿》答记者问中明确表示,除政府部门外的发布者一律不得发布标题含有“预警”字样的信息,这与《征求意见稿》中的例外情形存在矛盾。
关于对“预警”字样使用的限制是否存在例外情形,《征求意见稿》的规定与网信办负责人的说明存在矛盾之处,因此我们建议,在正式出台的文件中就监管部门对发布者使用“预警”字样的态度进行澄清及明确。至于监管机构是否应当开放“预警”字样使用的审批,则需衡量多方面因素,例如:发布者若履行前置审批程序,是否可能导致相关网络安全威胁信息无法及时发布,从而使得损失扩大;在可采用“威胁信息提示”、“威胁情报”、“风险提示”等描述代替的情形下,是否仍存在某类威胁信息必须标明“预警”字样的情形等等。
二、平台运营者及主办单位的义务
《征求意见稿》第九条规定,平台运营者、主办单位须在知晓平台上存在违反规定的发布行为和发布内容后,履行删除义务,并负有向地市级以上网信部门、公安机关的报告义务。
本条规定明确了平台运营者及主办单位知晓违规行为或内容的途径,除有关部门通报、用户举报外,还包括自行发现这一途径。因此平台运营者及主办单位作为第三方主体,对通过自身平台发布的网络安全威胁信息负有相应的监测责任,是否能够及时、准确、有效地监测发现违规行为、违规内容并采取相应措施,将在一定程度上考验平台运营者及主办单位的技术水平。
关于平台及主办单位的监测义务,目前《征求意见稿》并未明确规定如何认定平台及主办单位违反了其监测义务,若违规信息一经发布,而不加甄别地认定平台或主办单位违反其监测义务,有加重平台及主办单位责任之嫌。因此我们建议,应就认定平台或主办单位是否违反监测义务设置确定的客观衡量标准。
三、结 语
当前,信息网络高速发展,同时也存在一系列安全漏洞和风险,网络安全已成为当今社会热切关注的问题。《网络安全威胁信息发布管理办法(征求意见稿)》从规范网络安全威胁信息发布的角度出发,为网络安全产业的良性发展、维护国家网络空间安全提供法规基础。此次《征求意见稿》意见反馈截止日期为2019年12月19日,我们将持续关注该《征求意见稿》的落地。
(作者:朱志彤 梁倩倩)
