国家或将开启“白帽子”行为规范化进程——兼评《网络安全威胁信息发布管理办法(征求意见稿)》
发布时间:2019-11-25
文 | 李天航 合伙人 钱静雯 律师 汇业律师事务所
近日,国家网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》(下称“管理办法”),针对网络安全威胁信息发布行为制定专门性管理办法,旨在为规范其发布网络安全威胁信息行为,把控网络安全威胁和风险,保障网络运行安全,为“白帽子”之类人员圈出一块健康、有限的自留地。
本次发布的管理办法全文共13条,涉及有关网络安全威胁信息发布的目的合法性、内容合规性、程序性要求、发布平台义务、法律责任以及相关术语定义。下文中,汇业网络与数据法团队将从管理办法条文本身出发,对上述内容进行详细梳理和解析。
一、目的合法性
网络安全相关从业者、研究者或爱好者本身出于安全防护、技术交流等目的,向社会发布网络安全威胁信息,俗称“白帽子”。自2017年《网络安全法》(以下简称“网安法”)实施以来,网络安全产业发展空前迅猛,白帽子的行为也日趋频繁。
发布网络安全威胁信息自身虽为中立属性,但该等信息的发布在起到积极作用的同时,也可能被不法分子所利用,一方面可能以行发布威胁信息为名,行危害国家安全和社会公共利益,或者侵犯公民、法人和其他组织的合法权益之实;一方面可能为恶意分子和网络黑产从业人员提供了技术资源;更有甚者,因部分媒体、网络安全企业随意发布网络安全预警信息,夸大危害和影响,容易造成社会恐慌。因此,管理办法第三条明确,发布网络安全威胁信息,应客观、真实、审慎、负责,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。
二、内容合规性
现行法律法规对于“网络安全威胁信息”未曾作过界定,管理办法分别在第四条和第十二条以反面列举和分类描述的方式进行了初步界定。不同于其他类型信息,第四条以负面清单的形式列举了七类信息,明确发布的网络安全威胁信息不得包含具体违法方法/工具类信息、涉及特定主体法益类信息和其他可能被直接用于危害网络正常运行的内容信息。可以看出,监管机构目前侧重于将可能具有“直接”性和“危害”性双重属性的内容信息置于严格监控之下,属于禁止发布的内容信息。
三、程序性要求
1. 重要信息
根据管理办法第五条和第六条的表述,发布网络安全威胁信息须履行报告性义务,但该等仅为报告性质,不属于审批或许可。管理办法将发布的网络安全威胁信息中重要的两类信息分别规定了不同的报告路径。
第一类是“网络和信息系统被攻击破坏、非法侵入等网络安全事件信息”,发布此类信息的,向该事件发生所在地地市级以上公安机关报告即可。值得注意的是,此处使用的措辞为“网络安全事件信息”,并非管理办法标题使用的“网络安全威胁信息”。我们理解,关于网络安全事件信息的界定,应适用中央网信办关于印发《国家网络安全事件应急预案》的通知,即是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
此外,根据网信办对记者的回应,媒体报道网络安全事件新闻同样适用上述报告程序,首次披露前要向所在地区地市级以上公安机关报告,以便有关部门及时掌握事件情况,采取处置措施,降低危害。
第二类须在发布前履行报告程序的信息是“网络安全攻击、事件、风险、脆弱性综合分析报告”。管理办法第6条将此类信息的报告程序按照地域、行业进一步细分,具体如下:
1) 地区性的网络安全攻击、事件、风险、脆弱性综合分析报告,事先向所涉及地区地市级以上网信部门和公安机关报告;
2) 涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告,事先向行业主管部门报告;
3) 全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。
上述规定看似清晰,实际操作起来却可能发生下表所示的规则真空或交叉:
例如地区性的分析报告如涉及重要行业和领域应事先向行业主管部门报告,还是向地方地市级以上网信部门和公安机关报告,亦或二者都要报告,报告是否有先后次序?期待上述不严密之处在生效版本中能够予以相应调整。
2. 预警信息
根据《国家网络安全事件应急预案》,网络安全预警是一种特定信息,具有权威性,应由政府部门按权限发布。本次管理办法第7条再次强调网络安全预警信息的发布主体仅限有权部门。除网安法51、52和54条规定的法定主体外,未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
3. 具体网络和信息系统威胁信息
除向政府部门报告以及不得使用“预警”字样外,为保障相关主体知情权等利益,发布具体网络和信息系统存在风险、脆弱性情况,应事先征求网络和信息系统运营者书面意见。尽管如此,管理办法列举了两种可以不事先征求书面意见的例外:一是相关风险、脆弱性已被消除或修复;二是已提前30日向网信、电信、公安或相关行业主管部门举报。关于第二种例外情况,征求意见稿并未明确举报主体与发布主体是否需要具备同一性的问题,换句话说,只要符合已被举报的条件,不论是谁举报的,其他人或者举报人发布相关信息时是否都可以不经征求网络和信息系统运营者书面意见?
四、发布平台义务
管理办法第九条规定了信息发布平台的义务,包括违规处置、防扩散以及上报。信息发布平台包括传统媒体、新媒体、公开举行的会议、论坛、讲座;公开举办的网络安全竞赛;以及其他公共平台。我们理解,目前第九条所列的发布平台既包括公开平台也可能包括非公开平台,关于平台是否需要满足公开性条件,也是生效版发布前需要考量的问题之一。
五、法律责任
管理办法指向的法律责任为网安法第六十二条,即“违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。”
六、网络威胁信息的界定
管理办法将网络安全威胁信息分为两类作出界定:(一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等。(二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
由于本条采用穷尽式描述的方式列举了上述两类网络安全威胁信息,但是根据汇业网络与数据法团队实践经验,其他信息如钓鱼网站、威胁源信息(IP地址等)在实践中也可能会对网络安全形成直接威胁,该等信息是否需要被归为网络安全威胁信息亦是一个值得讨论的话题。
综上所述,尽管未来的生效版本不可避免会有一定篇幅的调整,此次管理办法为规范白帽子相关行为开立先河踏出了重要的一步。