《网络产品安全漏洞管理规定》发布 9月1日起施行
工业和信息化部、国家互联网信息办公室、公安部日前联合印发了《网络产品安全漏洞管理规定》(下称《规定》)。《规定》明确提出,从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
“利用网络产品安全漏洞进行生产经营的企业可能会触犯《刑法》,若此企业和相关责任人都将受到法律制裁。”上海申伦律师事务所律师张思伟向记者介绍说,尤其是互联网企业,更要严格遵守法律法规,做好合规工作,履行个人信息保护义务。
工信部有关负责人介绍说,《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行。文件将于9月1日起施行。
《规定》明确,网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。
近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台,在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟须加强管理。为此,《规定》明确对漏洞收集平台实行备案管理,由工业和信息化部对通过备案的漏洞收集平台予以公布,并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。
工信部有关负责人指出,《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。(来源:中国贸易新闻网)