一、概述
《网络产品安全漏洞管理规定》在2021年7月12日发布,于2021年9月1日生效,由工业和信息化部、国家互联网信息办公室、公安部联合制定,以《网络安全法》为依据,《网络产品安全漏洞管理规定》将会推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平。
二、三类责任主体
规定对我国境内的三类责任主体进行了管理约束:
- 1)网络产品提供者(含硬件、软件)
- 2)网络运营者
- 3)从事网络产品漏洞发现、收集、发布等活动的组织或个人
网络产品提供者
- 发现或获知漏洞后,应立即对漏洞进行验证、评估,并通报给存在漏洞的上游产品或组件提供者;
- 2日内将漏洞详情报送至工业和信息化部网络安全威胁和漏洞信息共享平台;
- 及时对漏洞进行修补,将漏洞风险、修补方式告知相关产品用户,并提供必要技术支持;
- 鼓励建立所提供网络产品安全漏洞的上报奖励机制;
网络运营者
发现或或者其运营网络产品的安全漏洞后,应立即对漏洞进行验证并修补
针对网络产品漏洞发现、收集的组织和个人
- 不得在网络产品提供者提供漏洞修补措施之前发布漏洞信息,提前发布需由工业和信息化部、公安部组织评估后进行;
- 不得发布网络运营者在用的网络产品漏洞细节;
- 不得刻意夸大漏洞危害和风险、实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;
- 不得发布或提供专门用于利用漏洞从事危害网络安全活动的程序和工具;
- 在发布漏洞时,应同步发布修补或者防范措施;
- 国家重大活动期间,未经公安部同意,不得擅自发布漏洞信息;
- 不得将未公开漏洞信息向网络产品提供者之外的境外组织或者个人提供。
针对网络产品漏洞发现、收集的组织:
- 防范漏洞信息泄露和违规发布(第十一条)
针对网络产品安全漏洞搜集平台(第十条)
需在工业和信息化部备案,由工业和信息化部及时向公安部、国家互联网信息办公室通报,并对通过备案的漏洞收集平台予以公布。
三、相关责罚:
1、针对网络产品提供者(第十二条)
1)未履行《网络产品安全漏洞管理》中主体责任的网络产品提供者将会由工业和信息化部、公安部依法处理;
2)构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚:
- 设置恶意程序的;
- 对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
- 擅自终止为其产品、服务提供安全维护的。
2、针对网络产品运营者(第十三条)
1)未履行《网络产品安全漏洞管理》中主体责任的网络运营者将由有关主管部门依法处理;
2)网络运营者和关键基础设施运营者,违反《中华人民共和国网络安全法》第五十九条规定的,将予以一定处罚。
3、对网络产品漏洞发现、收集的组织和个人的要求(第十四条)
1)对于违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;
2)构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
4、利用漏洞从事网络安全活动的
将由公安机关依法处置;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。(第十五条)