敲黑板 !《网络安全漏洞管理规定(征求意见稿)》逐条解读
作者:刘新宇 宋海新 张功俐
前 言
2019年6月18日,工业和信息化部发布《公开征求对<网络安全漏洞管理规定(征求意见稿)>的意见》(以下简称“《意见》”),旨在加强网络安全漏洞管理。值得强调的是,《意见》指出《网络安全漏洞管理规定(征求意见稿)》(以下简称“《漏洞管理规定(征求意见稿)》”、“本规定”)拟以规范性文件形式发布,明确了其法律位阶。
《漏洞管理规定(征求意见稿)》全文共十二条,系统地规范了网络产品、服务、系统的网络安全漏洞验证、修补、防范、报告和信息发布等行为。比较明显的是,本规定依然蕴含事件导向性立法的意味,背后的纠纷事件值得关注和探讨。为帮助大家快速和详细了解本规定,接下来将通过划重点+逐条解读的方式,与大家一起探讨规定的具体内容。
重点速览
要点一
明确不同主体发现或发布网络安全漏洞应采取的不同措施
根据《信息安全技术网络安全漏洞管理规范(征求意见稿)》(以下简称“《漏洞管理规范(征求意见稿)》”),网络安全漏洞全生命周期的管理包括漏洞发现、漏洞接收、漏洞验证、漏洞处置、漏洞发布等多个环节。具体如下图所示(来源:《漏洞管理规范(征求意见稿)》):
从内容上看,《漏洞管理规定(征求意见稿)》根据主体身份的不同,重点规定了各主体从漏洞接收到漏洞发布之间各个环节应采取的主要措施,但是并未就漏洞发现本身涉及的问题进行详细规范。
1. 网络产品、服务提供者和网络运营者发现和发布网络安全漏洞的要求
主体 | 网络产品、服务提供者和网络运营者 |
适用 情形 | 发现或获知其网络产品、服务、系统存在漏洞 |
相关 措施 |
|
2. 第三方组织或个人向社会发布网络安全漏洞信息的要求
主体 | 第三方组织或个人 (包括漏洞收集平台在内) |
适用 情形 | 通过网站、媒体、会议等方式向社会发布漏洞信息 |
相关 措施 | 原则:必要、真实、客观、有利于防范和应对网络安全风险 强调“三不得”+“一同步”
2. “一同步”:
内控管理职责——防范漏洞泄露和内部人员违规发布漏洞信息:
|
要点二
明确不同主体违反本规定要求应承担的法律责任
《漏洞管理规定(征求意见稿)》第八条和第九条分别规定了网络产品、服务提供者和网络运营者,以及第三方组织违反本规定要求应承担的相应法律责任。
主体 | 情形 | 法律责任 |
网络产品、服务提供者和网络运营者 | 未按《漏洞管理规定(征求意见稿)》规定采取漏洞修补或防范措施并向社会或用户发布的 |
(处罚依据:《网络安全法》第五十六条、第五十九条和第六十条等) |
第三方组织 | 违反《漏洞管理规定(征求意见稿)》规定向社会发布漏洞信息 |
(处罚依据:《网络安全法》第六十二条和第六十三条等) |
要点三
鼓励第三方组织和个人向漏洞收集平台报送漏洞有关情况
根据《漏洞管理规定(征求意见稿)》第十条的相关规定,监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况。不同于网络产品、服务提供者和网络运营者应向网络安全威胁信息共享平台报送相关漏洞情况,第三方组织和个人报送漏洞信息主要通过漏洞收集平台,如国家信息安全漏洞共享平台和国家信息安全漏洞库。其中国家信息安全漏洞共享平台设置了《CNVD原创漏洞积分评分细则》和积分兑换等白帽子积分奖励计划,用于进一步肯定漏洞报送者(白帽子)在防范漏洞安全风险的积极作用。
逐条解读
网络安全漏洞管理规定
(征求意见稿)
第一条
为规范网络安全漏洞(以下简称“漏洞”)报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,根据《国家安全法》《网络安全法》,制定本规定。
解读
本条明确了《漏洞管理规定(征求意见稿)》的立法目的和立法依据。
从立法目的看,两个细分目的和一个整体目的相结合。
第一个细分目的,规范网络安全漏洞报告和信息发布等行为。报告的主体包括网络产品、服务提供者网络运营者和第三方组织或个人,报告的内容主要为网络安全漏洞相关情况,漏洞信息发布规制的主体主要为第三方组织或个人,发布规制的路径主要为通过网站、媒体、会议等方式向社会发布;
第二个细分目的,保证网络产品、服务、系统的漏洞得到及时修补。根据工业和信息化部网络安全管理局发布的《2018年第四季度网络安全威胁态势分析与工作综述》,网络安全漏洞仍然是网站和系统面临的主要安全威胁之一。其发现和获知且经验证后应采取的主要措施就在于修补,及时处置漏洞的威胁。
整体目的,提高网络安全防护水平,提高网络安全防护水平能够及时应对网络安全漏洞,有效防范网络安全漏洞被违法违规利用等带来的网络安全风险和威胁。
从立法依据看,本规定明确立法依据为《国家安全法》和《网络安全法》,上位法的重要性也突出了本规定的重要性。而且,将《国家安全法》明确作为上位法依据,更强调及时发现、有效处置网络安全漏洞对维护国家安全具有重要意义。关于《网络安全法》的具体条文依据,行为规则主要见于第二十二条第一款、第二十五条、第二十六条。
第二条
中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称“第三方组织”)或个人,应当遵守本规定。
解读
本条明确了《漏洞管理规定(征求意见稿)》的适用范围。
适用范围具体包括两个要点:
第一个要点,地域限制,中华人民共和国境内;
第二个要点,规制对象,网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织或个人,基本将网络安全漏洞发现、接收、验证、处置和发布的各类主体均纳入到规制范围。
第三条
网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:
(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;
(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。
解读
本条明确了网络产品、服务提供者和网络运营者发现或获知存在网络安全漏洞时应采取的措施。
本条的直接上位法条文依据为《网络安全法》第二十二条第一款,“……网络产品、服务的提供者……发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”具体措施包括对网络安全漏洞进行验证、修补或防范和漏洞相关情况的发布、告知和报送两项措施。
第一项措施,对网络安全漏洞进行验证、修补或防范。具体应采取两步操作:
第一步,验证,时间要求为立即,具体环节包括技术验证、确认和反馈,涉及的主体主要包括网络产品、服务提供者和网络运营者,如果涉及其他漏洞厂商和网络运营者,也应及时通知相关厂商和网络运营者共同进行验证;
第二步,修补或防范,根据网络安全漏洞的类型、来源和危险程度不同,具体措施主要包括发布补丁、升级版本、增加防火墙、新增安全策略、临时处置建议等。值得注意的是,这里对相关网络产品采取漏洞修补或防范的时间要求为90日内,相关网络服务或系统要求为10日内,其考虑因素包括硬件产品修补的复杂程度、产品召回、厂商实地查看耗时等。
第二项措施,漏洞相关情况的发布、告知和报送。具体包括两点操作:
第一点,漏洞相关情况的发布或告知。该点操作具体包括四个小点要求:
(1)前提条件,即需要用户或相关技术合作方采取漏洞修补或防范措施,如不需要则不用进行该项操作。未决问题在于,如何判定是否需要?谁来判定?
(2)时间要求,对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内。
(3)内容要求,漏洞风险及用户或相关技术合作方需采取的修补或防范措施。
(4)发布或告知对象及方式,向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方。
(5)技术支持要求,为用户和相关技术合作方提供必要的技术支持,如指导升级补丁、升级软件版本等;
第二点,漏洞相关情况的报送,具体包括两个要点:
(1)报送对象,工业和信息化部网络安全威胁信息共享平台(The Information Sharing Platform of Cyber Security Threat,英文简称“ISPCST”),负责统一汇集、存储、分析、通报、发布网络安全威胁信息。制定相关接口规范,与相关单位网络安全监测平台实现对接。坚持科学认定、有效处置的原则,组织网络安全专业机构对威胁信息进行认定,通知相关单位及时处置网络安全隐患,消除网络安全风险。ISPCST平台面向电信主管部门、基础电信企业、互联网企业、网络安全企业、网络安全专业机构等用户,共同建立网络安全威胁信息上报、认定、处置、共享的管理体系,构建国家公共互联网网络安全威胁信息资源库,切实提升我国网络安全威胁监测与处置水平。其官方网址为http://cstis.org.cn/;
(2)报送内容,相关漏洞情况。具体报送内容需关注工业和信息化部网络安全威胁信息共享平台的报送要求,并建议关注正在制定的《信息安全技术 网络安全漏洞发现与报告管理指南》等相关国家、地区和行业标准。
第四条
工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。
解读
本条明确了工信部、公安部和有关行业主管部门的职责要求。
本条的直接上位法条文依据为《网络安全法》第八条第一款,“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”具体到公安部的职责,《公安机关互联网安全监督检查规定》第十六条规定,“公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。”
第五条
工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。
解读
本条明确了网络安全漏洞信息实时共享的要求。
有关部门实时共享网络安全漏洞信息,有利于构建网络安全漏洞信息资源库,切实提升我国网络安全威胁监测与处置水平。而且,网络安全漏洞信息实时共享,有助于未发现和获取网络安全漏洞信息的网络产品、服务提供者和网络运营者及时接收网络安全漏洞信息,采取修补或防范措施,避免漏洞的影响和损失的扩大。
第六条
第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;
(二)不得刻意夸大漏洞的危害和风险;
(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;
(四)应当同步发布漏洞修补或防范措施。
解读
本条明确了第三方组织或个人发布网络安全漏洞信息的原则和要求。
网络漏洞信息发布不当,可能会危害国家安全、社会安全、企业安全和用户安全。本条的直接上位法条文依据为《网络安全法》第二十六条,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”具体规制内容沿用了《漏洞管理规范(征求意见稿)》第5.5条的思路,包括网络安全漏洞发布对象、发布方式、发布的原则要求和发布的具体要求四点。
第一点,发布对象,第三方组织或个人,即开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织和个人。
第二点,发布方式,通过网站、媒体、会议等方式向社会发布,主要指向公开发布的形式。
第三点,发布的原则要求,遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得发布虚假、容易引起误解和恐慌和用于打击竞争对手等不正当竞争目的等的网络安全漏洞信息。
第四点,发布的具体要求,包括“三不得”和“一同步”。
“三不得”规范了发布时间、发布的真实客观性和发布内容,具体包括:
第一,发布时间要求,不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。该项要求与本规定第三条第二项相关联,参照了《中国互联网协会漏洞信息披露和处置自律公约》(以下简称“《漏洞披露和处置自律公约》”)第十一条适时披露原则的精神,但对具体时间节点进行了明确规定。需要探讨的点在于,该项似乎隐含如果该等漏洞信息无需用户或相关技术方采取漏洞修补或防范措施,网络产品、服务提供者和网络运营者可以不向社会或用户发布,由此也能限制第三方组织或个人向社会发布网络安全漏洞信息;
第二,发布的真实客观性要求,沿用了《漏洞管理规范(征求意见稿)》5.5.1b)条和《漏洞披露和处置自律公约》第十一条客观原则要求的思路,漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得将漏洞潜在风险作为网络攻击事件进行发布和诱导,不得刻意夸大漏洞的危害和风险,避免引起媒体舆论和社会公众的误读和恐慌;
第三,发布内容要求,沿用了《漏洞管理规范(征求意见稿)》5.5.1c)条的思路,旨在防止为相关漏洞被违法违规利用提供帮助的行为。需要进一步探讨的是,这里的“专门”的限定是否有必要?实践中有多大概率会专门发布从事危害网络安全活动的方法、程序和工具?。
“一同步”,即同步发布漏洞修补或防范措施,意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外,漏洞发布者也需要发布漏洞修补或防范措施。未决问题在于,漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致?还是需要提出同等保护效果或者更有效的修补或防范措施?
第七条
第三方组织应当加强内部管理,履行下列管理义务,防范漏洞信息泄露和内部人员违规发布漏洞信息:
(一)明确漏洞管理部门和责任人;
(二)建立漏洞信息发布内部审核机制;
(三)采取防范漏洞信息泄露的必要措施;
(四)定期对内部人员进行保密教育;
(五)制定内部问责制度。
解读
本条明确了第三方组织加强内部管理防范漏洞信息泄露和内部人员违规发布漏洞信息的要求。
与本规定第六条一致,本条的直接上位法条文依据依然为《网络安全法》第二十六条。具体来说,本条沿用了《漏洞管理规范(征求意见稿)》5.5.1d)条的思路,旨在加强内部管理,确保漏洞发布和扩散渠道可控可追溯。具体包括以下五项管理义务要求:负责部门和负责人,内部审核机制、采取防范泄漏的必要措施、内部人员定期保密教育、内部问责制度。
需要指出的是,如何对履行管理义务进行判定。对于第三方组织而言,需要落实而且需要做好留痕以备检查和免于承担责任或减轻责任承担的证明,如组织架构及具体负责人职责、审核机制的文本及执行环节的具体审批操作、采取措施的说明、保密教育的内容、频率和参与情况、内部问责制度文本等。
第八条
网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的,由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。
解读
本条明确了网络产品、服务提供者和网络运营者的违规责任承担。
第一个要点,规制对象,网络产品、服务提供者和网络运营者。
第二个要点,违规情形,未按本规定采取漏洞修补或防范措施并向社会或用户发布的,这里具体指向本规定第三条。
第三个要点,监管部门,工业和信息化部、公安部等有关部门。
第四个要点,责任依据,《网络安全法》第五十六条、第五十九条、第六十条等规定。
第五个要点,具体责任形式,约谈或行政处罚。根据上述《网络安全法》规定,这里的行政处罚根据具体情形不同,主要包括警告、处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款或处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款等。
第九条
第三方组织违反本规定向社会发布漏洞信息,由工业和信息化部、公安部等有关部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。
解读
本条明确了第三方组织违规发布网络安全漏洞信息的责任承担。
第一个要点,规制对象,第三方组织。需要探讨的是,本规定第二条和第六条对于向社会发布网络安全漏洞信息的规制对象均为第三方组织和个人,此处并未将个人纳入违规发布信息的责任承担范围。
第二个要点,违规情形,违规向社会发布漏洞信息。
第三个要点,监管部门,工业和信息化部、公安部等有关部门。
第四个要点,责任依据,《网络安全法》第六十二条、第六十三条等规定。
第五个要点,责任形式,行政责任,包括约谈,或行政处罚。这里的行政处罚,根据情节不同,具体包括警告、处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款等;刑事责任,构成犯罪的,依法追究刑事责任;民事责任,给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。可能涉及的民事责任承担形式,包括侵权、不正当竞争等。
第十条
鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。漏洞收集平台应当遵守本规定第六条、第七条规定。
解读
本条明确了监管部门对第三方组织和个人及时报送漏洞有关情况的鼓励态度和漏洞收集平台的规范要求。
第一个要点,监管部门鼓励对第三方组织和个人及时报送漏洞有关情况的鼓励。这里的报送平台,包括国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台。
国家信息安全漏洞共享平台(China National Vulnerability Database,英文简称“CNVD”),是由国家计算机网络应急技术处理协调中心(中文简称“国家互联应急中心”,英文简称“CNCERT”)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。CNVD在其官网发布了漏洞处理策略和《中国互联网协会漏洞信息披露和处置自律公约》。其官方网址为https://www.cnvd.org.cn/。
国家信息安全漏洞库(China National Vulnerability Database of Information Security ,英文简称"CNNVD"),于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。其官方网址为http://www.cnnvd.org.cn/index.html。
第二个要点,漏洞收集平台的规范要求。国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台应当遵守本规定第六条、第七条规定,即向社会发布网络安全漏洞信息的要求和加强内部管理,防范漏洞信息泄露和内部人员违规发布漏洞信息的要求。
第十一条
任何组织或个人发现涉嫌违反本规定的情形,有权向工业和信息化部、公安部举报。
解读
本条明确了违反《漏洞管理规定(征求意见稿)》的举报要求。
第一个要点,明确举报主体可以是任何组织或个人,意味着对举报主体没有设置限制,排除了举报主体不适格的障碍。
第二个要点,明确接受举报的部门为工业和信息化部和公安部。这里并未将网信办纳入接受举报的部门范围,需要进一步探讨。
值得注意的是,本条并未对举报人的信息保护进行说明。根据《网络安全法》第十四条的规定,“有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益”,建议本规定项下亦应按照《网络安全法》的规定,对举报人的信息予以保密保护。
第十二条
本规定自印发之日起施行。
解读
本条明确了《漏洞管理规定(征求意见稿)》正式生效的具体时间。考虑到目前本规定仅处于征求意见稿阶段,具体实施时间有待关注正式稿正式出台的时间。需要指出也需要重点关注的是,与此前网信办发布的系列文件不同,本规定的实施时间将与印发时间同步,未设置过渡期,需要提前做好相应合规准备。
结 语
作为规范性文件,《网络安全漏洞管理规定(征求意见稿)》规定了网络产品、服务的提供者、网络运营者、第三方组织和个人验证、修补、防范和报告和信息发布等行为,有助于有效防范、及时处置和适当披露网络安全漏洞信息,有利于降低网络安全漏洞带来的网络安全风险和因不当发布网络安全漏洞信息带来的对国家安全、网络安全、企业安全和用户安全的不利影响。其一旦印发即开始执行,未设置过渡期,需要相关主体提前做好相应合规准备,避免正式稿出台后的措手不及。
End
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:银行与金融, 收购兼并, 诉讼仲裁
宋海新 律师
上海办公室 金融部
张功俐 律师
上海办公室 金融部
感谢夏雯慧对本文的贡献。
作者往期文章推荐:
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。