太古观察:聚焦工信部《网络安全漏洞管理规定》(征求意见稿)
导读
继国家互联网信息办公室先后发布了《网络安全审查办法》、《数据安全管理办法》、《儿童个人信息网络保护规定》和《个人信息出境安全评估办法》四部的征求意见稿后,工信部于2019年6月18日发布了《网络安全漏洞管理规定 (征求意见稿) 》(以下简称征求意见稿)本文,将对征求意见稿做关键解读。
一 适用范围及对象
根据《征求意见稿》第二条中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。
此条规定了《征求意见稿》的适用对象为网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,适用的地域范围是中华人民共和国境内。
二 发现漏洞该如何处理?
《征求意见稿》第三条和第六条,分别规定了网络产品、服务提供者、网络运营商和第三方组织或个人发现漏洞后该如何处理:
(1)网络产品、服务提供者、网络运营商发现漏洞应按如下办法处理:
验证漏洞:《征求意见稿》规定,网络产品、服务提供者、网络运营商发现漏洞时应立即验证漏洞。
漏洞修补及防范措施:《征求意见稿》规定对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施。如果需要技术合作进行修补和防范的,应在修补后5日内,将漏洞风险及修补措施告知受影响的客户和技术合作方,并报送给工业和信息化部。
(2)第三方组织或个人发现漏洞应按如下办法进行处理:
遵循原则:必要、真实、客观、有利于网络安全
发布时间:不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。
客观真实:不得夸大漏洞的危害及风险
有利网络安全:不得提供专门利用漏洞从事危害网络安全的方法、程序和工具。同时应当同步发布漏洞修补和防范措施。
解读:与互联网第一次浪潮时期不同的是,本《征求意见稿》针对个人和第三方发现漏洞时该如何处理做出了规定,从法律层面上禁止了个人或组织提前发布漏洞或者利用漏洞从事危害网络安全的行为。
三 第三方组织或个人违反本规定向社会发布漏洞需要承担的责任
根据《征求意见稿》第八条 、第九条、《网络安全法》第五十六条、第五十九条、第六十条:第三方组织或个人违反本规定向社会发布漏洞需要承担以下责任:
(1)行政责任:约谈 或 行政处罚(根据情节不同,具体包括警告、处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款等)
(2)刑事责任:构成犯罪的,依法追究刑事责任
(3)民事责任:给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任
太古点评:回顾过去十年,网络漏洞给人类社会带来的经济损失十分可观,此次《征求意见稿》规定了网络产品及服务提供者、运营者、第三方组织和个人发现网络漏洞后该如何处理,从法律层面预防了利用漏洞危害网络安全的行为。
律所地址
北京市朝阳区曙光西里甲六号院时间国际H座(8号楼)北区18层
邮箱地址
tigood@tigood.com.cn
联系电话
010-57165265
