為規(guī)范發(fā)布網(wǎng)絡(luò)安全威脅信息的行為，有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)運(yùn)行安全，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同公安部等有關(guān)部門(mén)起草了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》，現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。

有關(guān)單位和各界人士可以在2019年12月19日前，通過(guò)以下方式提出意見(jiàn)：

1. 通過(guò)電子郵件方式發(fā)送至：security@cac.gov.cn

2.  通過(guò)信函方式將意見(jiàn)寄至：北京市西城區(qū)車(chē)公莊大街11號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局，郵編100044，并在信封上注明“網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法征求意見(jiàn)”。

附件：網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）

國(guó)家互聯(lián)網(wǎng)信息辦公室

2019年11月20日

網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法

（征求意見(jiàn)稿）

第一條 為規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為，有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)運(yùn)行安全，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，制定本辦法。

第二條 發(fā)布網(wǎng)絡(luò)安全威脅信息，應(yīng)以維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)為目的，不得危害國(guó)家安全和社會(huì)公共利益，不得侵犯公民、法人和其他組織的合法權(quán)益。

第三條 發(fā)布網(wǎng)絡(luò)安全威脅信息，應(yīng)堅(jiān)持客觀、真實(shí)、審慎、負(fù)責(zé)的原則，不利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng)。

第四條 發(fā)布的網(wǎng)絡(luò)安全威脅信息不得包含下列內(nèi)容：

（一）計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法；

（二）專(zhuān)門(mén)用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、破壞網(wǎng)絡(luò)防護(hù)措施或竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)活動(dòng)的程序、工具；

（三）能夠完整復(fù)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過(guò)程的細(xì)節(jié)信息；

（四）數(shù)據(jù)泄露事件中泄露的數(shù)據(jù)內(nèi)容本身；

（五）具體網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息；

（六）具體網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告，安全防護(hù)計(jì)劃和策略方案；

（七）其他可能被直接用于危害網(wǎng)絡(luò)正常運(yùn)行的內(nèi)容。

第五條 發(fā)布網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞、非法侵入等網(wǎng)絡(luò)安全事件信息前，應(yīng)向該事件發(fā)生所在地地市級(jí)以上公安機(jī)關(guān)報(bào)告。各級(jí)公安機(jī)關(guān)應(yīng)及時(shí)將相關(guān)情況報(bào)同級(jí)網(wǎng)信部門(mén)和上級(jí)公安機(jī)關(guān)。

第六條 任何企業(yè)、社會(huì)組織和個(gè)人發(fā)布地區(qū)性的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性綜合分析報(bào)告時(shí)，應(yīng)事先向所涉及地區(qū)地市級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)報(bào)告；

發(fā)布涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性綜合分析報(bào)告時(shí)，應(yīng)事先向行業(yè)主管部門(mén)報(bào)告；

發(fā)布全國(guó)性或跨地區(qū)、跨行業(yè)領(lǐng)域的綜合分析報(bào)告時(shí)，應(yīng)事先向國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院公安部門(mén)報(bào)告。

第七條 未經(jīng)政府部門(mén)批準(zhǔn)和授權(quán)，任何企業(yè)、社會(huì)組織和個(gè)人發(fā)布網(wǎng)絡(luò)安全威脅信息時(shí)，標(biāo)題中不得含有“預(yù)警”字樣。

第八條 發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況，應(yīng)事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書(shū)面意見(jiàn)，以下情況除外：

（一）相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù)；

（二）已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門(mén)舉報(bào)。

第九條 通過(guò)下列平臺(tái)發(fā)布信息的，平臺(tái)運(yùn)營(yíng)者、主辦單位接到有關(guān)部門(mén)通報(bào)、用戶(hù)舉報(bào)，或自行發(fā)現(xiàn)平臺(tái)上存在違反本辦法的發(fā)布行為和發(fā)布內(nèi)容的，應(yīng)當(dāng)立即停止發(fā)布、采取消除等處置措施，防止違規(guī)內(nèi)容擴(kuò)散，保存有關(guān)記錄，并向地市級(jí)以上網(wǎng)信部門(mén)、公安機(jī)關(guān)報(bào)告。

1.報(bào)刊、廣播電視、出版物；

2.互聯(lián)網(wǎng)站、論壇、博客、微博、公眾賬號(hào)、即時(shí)通信工具、互聯(lián)網(wǎng)直播、互聯(lián)網(wǎng)視聽(tīng)節(jié)目、應(yīng)用程序、網(wǎng)絡(luò)硬盤(pán)等；

3.公開(kāi)舉行的會(huì)議、論壇、講座；

4.公開(kāi)舉辦的網(wǎng)絡(luò)安全競(jìng)賽；

5.其他公共平臺(tái)。

第十條 違反本辦法規(guī)定發(fā)布網(wǎng)絡(luò)安全威脅信息的，由網(wǎng)信部門(mén)、公安機(jī)關(guān)根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定予以處理。

第十一條 涉及國(guó)家秘密、涉密網(wǎng)絡(luò)的網(wǎng)絡(luò)安全威脅信息發(fā)布活動(dòng)，按照國(guó)家有關(guān)規(guī)定執(zhí)行。

第十二條 本辦法所稱(chēng)網(wǎng)絡(luò)安全威脅信息，包括：

（一）對(duì)可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為，用于描述其意圖、方法、工具、過(guò)程、結(jié)果等的信息。如：計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。

（二）可能暴露網(wǎng)絡(luò)脆弱性的信息。如：系統(tǒng)漏洞，網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況，網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼，單元或設(shè)備選型、配置、軟件等的屬性信息，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告，安全防護(hù)計(jì)劃和策略方案等。

第十三條 本辦法自發(fā)布之日起實(shí)施。

國(guó)家互聯(lián)網(wǎng)信息辦公室11月20日向社會(huì)公開(kāi)征求對(duì)《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《辦法》）意見(jiàn)，國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人接受采訪，就《辦法》相關(guān)問(wèn)題回答了記者提問(wèn)。

問(wèn)：請(qǐng)您介紹一下制定《辦法》的背景？

答：當(dāng)前，網(wǎng)絡(luò)安全產(chǎn)業(yè)迅猛發(fā)展，許多網(wǎng)絡(luò)安全研究者和網(wǎng)絡(luò)安全企業(yè)出于提高公民網(wǎng)絡(luò)安全意識(shí)、交流網(wǎng)絡(luò)安全技術(shù)、增強(qiáng)用戶(hù)網(wǎng)絡(luò)安全防范能力、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等目的，積極向社會(huì)發(fā)布網(wǎng)絡(luò)安全威脅信息，為維護(hù)國(guó)家網(wǎng)絡(luò)空間安全做出很大貢獻(xiàn)。但是也應(yīng)看到，網(wǎng)絡(luò)安全威脅信息的發(fā)布仍存在很多問(wèn)題，有關(guān)單位、網(wǎng)絡(luò)運(yùn)營(yíng)者反映強(qiáng)烈。例如，有組織或個(gè)人打著研究、交流、傳授網(wǎng)絡(luò)安全技術(shù)的旗號(hào)，隨意發(fā)布計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法，以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過(guò)程和方法的細(xì)節(jié)，為惡意分子和網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員提供了技術(shù)資源，降低了網(wǎng)絡(luò)攻擊的門(mén)檻；有組織或個(gè)人未經(jīng)網(wǎng)絡(luò)運(yùn)營(yíng)者同意，公開(kāi)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件代碼等屬性信息和脆弱性信息，容易被惡意分子利用威脅網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)信息一旦被公開(kāi)，危害更大；部分網(wǎng)絡(luò)安全企業(yè)和機(jī)構(gòu)為推銷(xiāo)產(chǎn)品、賺取眼球，不當(dāng)評(píng)價(jià)有關(guān)地區(qū)、行業(yè)網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性狀況，誤導(dǎo)輿論，造成不良影響；部分媒體、網(wǎng)絡(luò)安全企業(yè)隨意發(fā)布網(wǎng)絡(luò)安全預(yù)警信息，夸大危害和影響，容易造成社會(huì)恐慌。

問(wèn)：制定《辦法》的依據(jù)是什么？

答：《網(wǎng)絡(luò)安全法》第二十六條規(guī)定，“開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。”目前，尚無(wú)規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布活動(dòng)的法律法規(guī)。因此，為了進(jìn)一步規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同公安部等有關(guān)部門(mén)依據(jù)職責(zé)制定了《辦法》。

問(wèn)：為什么禁止發(fā)布惡意程序源代碼、制作方法，能夠完整復(fù)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過(guò)程的細(xì)節(jié)信息等網(wǎng)絡(luò)安全威脅信息？

答：上述網(wǎng)絡(luò)安全威脅信息容易被惡意分子或網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員直接利用，降低了網(wǎng)絡(luò)攻擊的門(mén)檻，因此從維護(hù)網(wǎng)絡(luò)安全的角度，要求發(fā)布網(wǎng)絡(luò)安全威脅信息時(shí)不得包含上述內(nèi)容。網(wǎng)絡(luò)安全從業(yè)者、愛(ài)好者仍可通過(guò)多種方式加強(qiáng)原理和技術(shù)研究，提高網(wǎng)絡(luò)安全能力水平。

問(wèn)：禁止發(fā)布第四條規(guī)定的信息，是否會(huì)導(dǎo)致這些信息流入地下黑市？

答：為網(wǎng)絡(luò)犯罪提供技術(shù)支持是法律明確禁止的違法犯罪行為，依法要承擔(dān)相應(yīng)的法律責(zé)任。我們相信，作為遵紀(jì)守法、有道德操守的網(wǎng)絡(luò)安全工作者、愛(ài)好者，以前不會(huì)為網(wǎng)絡(luò)黑產(chǎn)提供技術(shù)支持，今后同樣也不會(huì)。

問(wèn)：是否會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展造成影響？

答：我們鼓勵(lì)和支持網(wǎng)絡(luò)安全企業(yè)向社會(huì)展示技術(shù)能力，促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升，傳播普及網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)，提供網(wǎng)絡(luò)安全服務(wù)。要求安全企業(yè)不向社會(huì)發(fā)布惡意程序的制作技術(shù)、網(wǎng)絡(luò)攻擊技術(shù)，并不意味著企業(yè)不能研究網(wǎng)絡(luò)攻擊技術(shù)，企業(yè)仍可通過(guò)研究網(wǎng)絡(luò)攻防技術(shù)，不斷提升網(wǎng)絡(luò)安全防護(hù)能力，不但不影響安全產(chǎn)業(yè)發(fā)展，對(duì)提高網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展水平還產(chǎn)生積極的促進(jìn)作用。

問(wèn)：媒體今后還能報(bào)道網(wǎng)絡(luò)安全事件新聞嗎？

答：媒體可以正常報(bào)道網(wǎng)絡(luò)安全事件新聞，但需滿(mǎn)足兩個(gè)條件，一是如果屬于辦法第五條提到的網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全事件，首次披露前要向所在地區(qū)地市級(jí)以上公安機(jī)關(guān)報(bào)告，以便有關(guān)部門(mén)及時(shí)掌握事件情況，采取處置措施，降低危害；二是不得包含網(wǎng)絡(luò)安全事件泄露的數(shù)據(jù)內(nèi)容本身，以免擴(kuò)大事件的危害。

問(wèn)：向網(wǎng)信部門(mén)、公安機(jī)關(guān)、行業(yè)主管部門(mén)等報(bào)告是否屬于行政許可？

答：不屬于行政許可，完成報(bào)告即為履行義務(wù)。

問(wèn)：為什么發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況時(shí)，需要事先征得其運(yùn)營(yíng)者書(shū)面同意？

答：如果隨意發(fā)布上述信息，惡意分子有可能利用這些信息入侵相關(guān)網(wǎng)絡(luò)和信息系統(tǒng)，導(dǎo)致網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者利益受損。但如果根據(jù)發(fā)布的網(wǎng)絡(luò)安全威脅信息，無(wú)法定位到具體網(wǎng)絡(luò)和信息系統(tǒng)，如不涉及網(wǎng)絡(luò)和信息系統(tǒng)的名字、位置、域名、IP地址等信息，就不需要征求其運(yùn)營(yíng)者同意。此外，如果相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù)，或已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門(mén)舉報(bào)，發(fā)布上述信息也可不經(jīng)其運(yùn)營(yíng)者同意。

問(wèn)：為什么發(fā)布網(wǎng)絡(luò)安全威脅信息，標(biāo)題中不得含有“預(yù)警”字樣？

答：根據(jù)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，網(wǎng)絡(luò)安全預(yù)警是一種特定信息，具有權(quán)威性，應(yīng)由政府部門(mén)按權(quán)限發(fā)布。但目前有的組織和個(gè)人隨意發(fā)布預(yù)警，夸大事實(shí)，進(jìn)行炒作，事實(shí)上破壞了預(yù)警的效力和權(quán)威性，所以我們要求發(fā)布網(wǎng)絡(luò)安全威脅信息，標(biāo)題中不得含有“預(yù)警”字樣。相關(guān)組織和個(gè)人可通過(guò)風(fēng)險(xiǎn)提示、威脅情報(bào)等方式提醒公眾加強(qiáng)風(fēng)險(xiǎn)防范。