近日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称《规定》)。《规定》旨在维护国家网络安全,保障网络产品和重要网络系统安全稳定运行;规范漏洞发现、报告、打补丁、发布等行为,明确网络产品提供者、网络运营者、从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体利用各自的技术和机制开展漏洞发现、收集和发布等相关工作。《规定》自9月1日起施行。
《规定》全文如下:
网络产品安全漏洞管理规定
为规范网络产品安全漏洞的发现、报告、修复和发布,防范网络安全风险,第一条根据《中华人民共和国网络安全法》制定本规定。
在第二条,中华人民共和国境内的网络产品(包括硬件和软件)的提供者和网络经营者,以及从事发现、收集、发布网络产品安全漏洞等活动的组织或者个人,应当遵守本规定。
第三条国家互联网信息办公室负责协调网络产品安全漏洞的管理。工业和信息化部负责网络产品安全漏洞综合治理,承担电信、互联网行业网络产品安全漏洞的监督管理工作。公安部负责网络产品安全漏洞的监督管理,依法打击利用网络产品安全漏洞的违法犯罪活动。
相关主管部门要加强部门间协调,实现网络产品安全漏洞信息实时共享,共同评估处置重大网络产品安全漏洞。
第四条任何组织和个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;任何人明知他人正在利用网络产品安全漏洞从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等。
第五条网络产品提供商、网络运营商和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,保存网络产品安全漏洞信息接收日志不少于6个月。
第六条鼓励相关组织和个人向网络产品提供商通报其产品中的安全漏洞。
第七条网络产品提供商应当履行以下网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修复和合理发布,并指导和支持产品用户采取防范措施:
(一)发现或者获悉所提供的网络产品存在安全漏洞后,应当立即采取措施并组织安全漏洞核查,评估安全漏洞的危害程度和影响范围;应立即通知相关产品提供商其上游产品或组件中存在的安全漏洞。
(2)相关漏洞信息应在2日内报送至工信部网络安全威胁与漏洞信息共享平台。提交的内容应包括存在网络产品安全漏洞的产品名称、型号和版本,以及漏洞的技术特点、危害和影响范围。
(3)及时组织修复网络产品的安全漏洞。如果产品用户(包括下游厂商)需要采取升级软件和固件等措施,应及时将网络产品安全漏洞的风险和修复方法告知可能受影响的产品用户,并提供必要的技术支持
在第八条从事发现和收集网络产品安全漏洞的组织或个人,通过网络平台、媒体、会议、竞赛等向公众发布网络产品安全漏洞信息。应当遵循必要性、真实性、客观性和有利于防范网络安全风险的原则,并遵守下列规定:
不得
在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
第十六条 本规定自2021年9月1日起施行。
(编辑 王洪禹)
