一文读懂《网络产品安全漏洞管理规定》

近日，工业和信息化部、国家互联网信息办公室和公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。《规定》依据《中华人民共和国网络安全法》制定，明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。同时，《规定》还对网络产品提供者提出了漏洞报送的具体时限要求，以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》规范了网络产品安全漏洞发现、报告、修补和发布等行为，可有效防范网络安全风险。《规定》将于2021年9月1日起施行。

网络产品安全漏洞管理责任与义务

网络产品提供者

• 接收：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。

• 发现与验证：发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

• 报送：应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

• 修补与告知：应当及时组织对网络产品安全漏洞进行修补，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

• 鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
  

网络运营者

• 接收：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。

• 发现与修补：发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。

漏洞收集平台

• 任何组织或者个人设立的网络产品安全漏洞收集平台，都应当向工业和信息化部备案。

• 工业和信息化部向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。

• 鼓励发现网络产品安全漏洞的组织或者个人向以下平台报送网络产品安全漏洞信息：

  Ø  工业和信息化部网络安全威胁和漏洞信息共享平台

  Ø  国家网络与信息安全信息通报中心漏洞平台

  Ø  国家计算机网络应急技术处理协调中心漏洞平台

  Ø  中国信息安全测评中心漏洞库

• 从事网络产品安全漏洞发现、收集的组织应当加强内部管理，采取措施防范网络产品安全漏洞信息泄露和违规发布。
  

漏洞发布要求

01

不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

02

不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

03

不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

04

不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

05

在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。

06

在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。

07

不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

08

法律法规的其他相关规定。

相关罚则

01

网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理。

02

网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理。

03

违反本规定收集、发布网络产品安全漏洞信息的，由工业和信息化部、公安部依据各自职责依法处理。

04

利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理。

05

如构成《中华人民共和国网络安全法》规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

（部分内容来源：网信中国）