《网络产品安全漏洞管理规定》重点条款解读及合规建议

日期：2022/9/16 16:00:24 作者：张冬冬来源：北京大律师网

由工业和信息化部、国家互联网信息办公室、公安部联合制定的《网络产品安全漏洞管理规定》9月1日正式生效，该规定从网络产品提供者和“从事网络产品安全漏洞发现、收集的组织或者个人”（俗称白帽子，相对于黑客）等多个角度对网络产品的安全漏洞管理问题做出了详细规定，明确了各类主体的责任和义务，是网络安全领域继《网络安全法》之后的又一重要法规，对相关网络从业者会有巨大的直接影响。我们结合规定全文，从主要条文的理解以及相关产业的合规运营角度，为大家做一个简要的解读。

《网络产品安全漏洞管理规定》

第一条为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，根据《中华人民共和国网络安全法》，制定本规定。

第二条中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。

解读：本规定的适用对象为三个责任主体——1.我国境内的网络产品提供者，2.我国境内的网络运营者，3.我国境内从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。需要注意的是，其中的网络产品包括硬件和软件。

第三条国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动。

有关主管部门加强跨部门协同配合，实现网络产品安全漏洞信息实时共享，对重大网络产品安全漏洞风险开展联合评估和处置。

解读：网络产品安全漏洞事务的主管机关为国家互联网信息办公室（统筹协调）、工业和信息化部（综合管理，电信和互联网行业的监督管理）和公安部（监督管理，依法打击），各有分工，各有侧重，但又联合行动。

第四条任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

解读：发现网络产品安全漏洞后，既不能非法收集，更不能出售和私自发布。在网络安全领域，以前有一些技术人员发现漏洞后以威胁公开或者其他变相的方式向产品提供者或网络运营者索要财物。该条文直击要害，打击类似行为的立场已十分明确。

第五条网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。

解读：本条是对相关从业主体建立安全漏洞公开接受渠道的要求。三类主体都负有该义务，而且这个渠道的接收日志存储时间必须在六个月以上。

第六条鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

解读：本条是对网络产品提供者的专属义务要求，即立即反应、及时上报（上报时间、上报内容、上报对象）、组织修补。同时，国家鼓励对提供漏洞者给予奖励，以促进网络安全保护工作的正向互动。

第八条网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。

第九条从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定：

（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。

（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。

（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

（八）法律法规的其他相关规定。

解读：本条是本规定的重点，也是对整个互联网安全行业影响重大的约束性条款。此前，互联网安全行业有着大量的交流会议甚至是公开竞赛，从业者也习惯于在类似的公开场合发布一些有影响力的重大安全漏洞。随着该条款的落地，类似的行为基本上都成了非法行为。以上八类漏洞发布的要求，也是目前最为详细的漏洞公开发布的管理规范，相关从业人员应当认真对待。

第十条任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

解读：本条是对组织或个人设立漏洞收集平台的管理要求，即应当向工业和信息化部进行备案。

第十一条从事网络产品安全漏洞发现、收集的组织应当加强内部管理，采取措施防范网络产品安全漏洞信息泄露和违规发布。

解读：本条是对互联网安全从业组织的合规管理要求，强调要严格内部管理，防范信息泄露问题。

第十二条网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。

第十三条网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，依照该规定予以处罚。

第十四条违反本规定收集、发布网络产品安全漏洞信息的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十二条规定情形的，依照该规定予以处罚。

解读：《网络安全法》第六十二条规定，“违反规定开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。”所以，这里的责任处罚是双罚制，既处理单位也处理个人。

第十五条利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

解读：这是本规定唯一一条涉及刑事责任的处罚条款，可能涉及的罪名有非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪；破坏计算机信息系统罪等。

需要提醒大家注意的是，根据《网络安全法》第六十三条的规定，违反该规定被处罚的人员有从业禁止的要求，即受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。相关企业在招聘员工时一定要注意这一点。

第十六条本规定自2021年9月1日起施行。