新法速递‖工业和信息化部 国家互联网信息办公室 公安部 关于印发《网络产品安全漏洞管理规定》的通知

为了规范了漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人的责任与义务推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全，工业和信息化部、国家互联网信息办公室、公安部近日印发《网络产品安全漏洞管理规定》（以下简称《规定》），自2021年9月1日起施行。

一、明确监管主体和职责

《规定》指出，国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动。

二、规范网络产品提供者的行为

《规定》明确规范了网络产品提供者的行为。第一，接收留存：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存漏洞信息接收日志不少于6个月。第二，漏洞修补：对所提供的网络安全产品存在的漏洞应立即采取措施并组织对安全漏洞进行验证，告知安全漏洞和修补方式，并且提供必要的技术支持；当其上游产品或者组件存在安全漏洞时，应立即通知相关产品提供者。第三，漏洞报送：应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。第四，推进建议：鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

三、规范网络运营者行为

《规定》明确规范了网络运营者行为。第一，接收留存：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存漏洞信息接收日志不少于6个月。第二，漏洞修补：网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。

四、规范从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人的行为

 《规定》明确规范了从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人的行为。第一，鼓励通报：鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。第二，发布限制：不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况；不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动；不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具；在发布网络产品安全漏洞时，应当同步发布修补或者防范措施；在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息；不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。第三，备案登记：任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。第四，加强管理：从事网络产品安全漏洞发现、收集的组织应当加强内部管理，采取措施防范网络产品安全漏洞信息泄露和违规发布。

五、规定明确了针对违法主体的处罚规则

规定明确了针对各违法主体的处罚规则。第一，网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。第二，网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，依照该规定予以处罚。第三，利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

链接：http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm

（责编：王婷）