1915号提案复文

左定超委员：
    您提出的“关于加强对恶意软件开发的法律监管的提案”收悉，现答复如下：
    移动互联网、云计算、大数据等新技术新模式的不断出现和快速发展，对软件产业产生了深刻影响，也改变了软件的产品形态、开发模式和应用模式。尤其是在移动互联网发展的带动下，软件呈现数量大、开发主体多、传播渠道多、界定困难等特点。可以看到，移动应用软件多达上百万款，开发者由企业为主逐步转变为更多个人开发者，软件传播渠道由光盘等介质传播转变为更便捷的网络下载，尤其是随着终端系统功能的强大，应用软件功能日趋复杂，功能难以区别界定。受经济利益驱动，恶意程序数量呈现上升趋势。利用恶意程序，黑客大量窃取个人隐私、发送垃圾信息、发动大规模拒绝服务攻击、传播不良有害信息等，严重危害社会秩序和公众利益。尽管我国刑法已明确对利用恶意程序实施网络违法犯罪行为的处罚规定，但具体适用法律仍严重滞后于软件产业的发展和恶意程序快速增长的形势变化。
    一、已开展的工作
    近年来，我部高度重视对恶意程序的监测处置工作，尤其是加强对移动恶意应用程序的治理工作，积极研究并采取了系列安全监管措施。
    1．建立恶意程序监测处置机制。制定了《移动互联网恶意程序描述格式》等恶意程序判定和描述标准，出台了《木马和僵尸网络监测与处置机制》《移动互联网恶意程序监测与处置机制》，建立了互联网和移动互联网环境下的恶意程序监测处置机制，明确对发现的恶意程序采取停止控制服务器、传播服务器的互联网接入和域名解析服务等处置措施。2013年，监测发现境内422.8万个IP地址对应的主机被木马或僵尸程序控制，专项重点处置了控制服务器和恶意程序传播使用IP地址及域名616个。在移动互联网恶意程序监测和处置方面，2013年发现和处置了近4万个移动恶意程序的传播源和控制端。
    2．提升恶意程序发现分析能力。一是指导督促三家基础电信企业建设网络侧移动恶意程序监测与处置平台，提升对用户感染恶意程序的发现和处置能力。二是组织国家第三方专业机构研发和建设了信息安全产品测试评估系统及资源库、智能移动终端软件公共服务平台，开展了软件质量评估及安全测评工作。三是利用电子信息产业发展基金，建设了移动互联网应用软件质量和安全公共服务平台，并指导相关单位面向国内主要安卓应用市场开展移动互联网应用软件第三方测评和日常监测，对发现存在严重安全隐患的金融、证券类移动应用程序及时向有关部门进行通报。
    3．开展移动应用程序第三方数字证书签名认证试点。在应用程序开发环节嵌入恶意代码，或者通过篡改正常应用程序嵌入恶意代码，是目前制作移动恶意程序的主要手段。为加强应用程序开发源头治理，我部正在组织移动应用程序开发者、应用商店、电子认证服务机构、移动智能终端生产企业等开展移动应用程序使用第三方数字证书签名试点工作，探讨在安卓系统的开放生态体系下，建立应用程序开发者第三方签名认证体系的可行性，实现应用程序的防篡改和可溯源。
    4．加强对移动互联网应用商店的安全管理。应用商店是移动应用程序传播的主要渠道。针对上架应用程序把关不严导致恶意程序通过应用商店传播等问题，研究制定了应用商店网络安全责任指南，明确应用商店履行开发者真实身份信息验证、应用程序安全检测、社会监督举报、恶意程序下架等安全责任。组织各地通信管理局对境内300多家应用商店进行梳理和监督检查，督促应用商店建立安全管理制度。
    5．开展专项行动打击恶意程序。为集中遏制黑客地下产业链蔓延发展的势头，2013年8月至12月在全国范围集中开展防范治理黑客地下产业链专项行动。在此基础上，2014年4月，我部联合公安、工商部门印发了《打击治理移动互联网恶意程序专项行动工作方案》，自今年4月至9月在全国范围内开展打击治理移动互联网恶意程序专项行动，集中整治移动互联网恶意程序，打击相关网络违法犯罪行为。为整治利用移动应用程序传播淫秽色情信息的行为，2014年7月印发《工业和信息化部关于深入开展整治移动智能终端应用传播淫秽色情信息工作的通知》。
    二、下一步工作措施
    尽管在软件安全管理方面已开展了大量工作，但随着软件功能的日趋复杂、应用模式的不断演变，软件安全管理问题仍旧非常复杂，任重而道远。为进一步加强软件管理，加大恶意程序打击力度，下一步拟采取的主要工作措施有：
    1．加快软件管理有关立法和制度建设。加强对软件产业发展新形势下软件产品管理和登记备案工作的分析和研究，完善相关网络软件的管理规范。完善移动应用程序恶意行为的判断标准。加强应用商店管理，制定应用商店的安全管理制度，督促应用商店落实安全责任。
    2．研究建立软件第三方检测机制。组织制定软件第三方检测标准，督促相关单位加强技术能力建设，提高软件安全检测能力，推进第三方安全检测认证工作。
    3．切实组织做好打击治理移动互联网恶意程序专项行动。加快推进应用程序开发者第三方签名试点，全面开展境内应用商店安全检查工作，健全与公安机关的联动查处机制，推动建立移动互联网安全管理的长效机制。
    感谢您对软件安全问题的关注和支持。希望您继续对我们的工作提出宝贵意见和建议。
    工业和信息化部
    2014年8月12日