处理网络产品安全漏洞的正确“打开”方式

在明确正确“打开”方式之前，需要先明确处理网络安全漏洞的法律依据。

《网络安全法》早在2016年11月7日发布，2017年6月1日生效，是我国网络安全管理领域的主要法律。该法与生效的《数据安全法》和《个人信息保护法》并称三架马车。

《网络安全法》要求“网络产品、服务的提供者……发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”[2]；“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”[3]“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定”[4]

简而言之，网络产品、服务的提供者，对于安全漏洞具有及时处置、补救、报告义务。

由于《网络安全法》发布较早；且作为一部法律，其规制的范围需要包括网络安全的各方面。因此，《网络安全法》关于安全漏洞处理的规定较为原则，对实践的指导略有欠缺。为此，工信部和国家网信办于2021年7月12日发布了《网络产品安全漏洞管理规定》（“《管理规定》”），该规定已于2021年9月1日生效。

《管理规定》主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作[5]。

2021年12月22日，工信部发布了《指引》。《指引》对安全风险信息报送和共享进一步细化，包括组织机构及职责、报送管理、风险信息研判与共享和保障措施。

根据《管理规定》，安全漏洞的责任主体包括两大类。

首先，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，其对安全漏洞的信息接收、对安全漏洞进行验证并完成漏洞修补、漏洞的报送都承担相应责任。

下文将详述其主要义务。

其次，从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人也是《管理规定》项下的责任主体。

一方面，《管理规定》鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞[6]。另一方面，《管理规定》要求相关组织和个人在从事收集、发布安全漏洞等行为时应当遵守相关规定，禁止利用网络产品安全漏洞从事危害网络安全的活动；禁止非法收集、出售、发布网络产品安全漏洞信息；禁止明知他人利用网络产品安全漏洞从事危害网络安全的活动的，而为其提供技术支持、广告推广、支付结算等帮助[7]。

近年来，不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞收集平台，《管理规定》也明确对漏洞收集平台实行备案管理，由工业和信息化部对通过备案的漏洞收集平台予以公布，并要求漏洞收集平台采取措施防范漏洞信息泄露和违规发布。

《网络安全法》和《管理规定》都对安全漏洞作出了规定，但并未定义安全漏洞含义或划分安全漏洞的范围。

参考《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202号），安全漏洞可以理解为：“网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等。”

《管理规定》第三条规定：“国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合，实现网络产品安全漏洞信息实时共享，对重大网络产品安全漏洞风险开展联合评估和处置。”《指引》鼓励工信部系统各单位、安全企业、数据处理者、科研院所、行业组织等单位（以下简称风险报送单位）开展风险信息报送。

工信部已建立CSTIS平台。该平台面向电信主管部门、基础电信企业、互联网企业、网络安全企业、网络安全专业机构等用户，共同建立网络安全威胁信息上报、认定、处置、共享的管理体系，统一汇集、存储、分析、通报、发布网络安全威胁信息；构建国家公共互联网网络安全威胁信息资源库。[8]

由此可见，安全漏洞管理由网信办、工信部、公安部作为主管部门各司其职，并建立跨部门协调管理的机制。

处理安全漏洞涉及多个环节，各主体在不同环节需要遵循相应的合规义务。

阿帕奇事件中，A公司就是作为网络产品提供者发现了其上游组件阿帕奇Log4j2组件存在远程代码执行漏洞。《管理规定》第五条、第七条较为详细的规定了网络产品提供者在安全漏洞方面的义务。

（点击图片查看大图）

根据《管理规定》，和网络产品提供者一样，网络运营者也需要保持信息接收渠道畅通，并留存网络产品安全漏洞信息接收日志不少于6个月。

并且，根据《管理规定》第八条，“网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。”

网络产品漏洞信息可通过网络平台、媒体、会议等方式在社会上快速传播，危害大量网络用户权益，有必要采取措施防止风险扩大或者避免损害发生。《管理规定》第九条规定[9]，为安全漏洞的发布划出了红线。

（1）不早于补救措施发布

任何组织和个人都应在补救措施发布后，或者在与相关网络产品提供者共同评估协商并经工信部、公安部组织评估后发布安全漏洞信息。

（2）不在特殊时期发布

在国家举办重大活动期间拟发布安全漏洞信息的，应当事先未经公安部同意。

（3）不提早向境外发布

安全漏洞信息公开前，需要向境外提供的，仅可向相应的网络产品提供者提供，不得向境外其他主体提供。

发布内容包括四个“不得”和一个“应当”。

四个“不得”主要是：不得包括安全漏洞细节；不得夸大安全漏洞的危害和风险；不得利用安全漏洞从事违法活动；不得发布利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

一个“应当”是：发布安全漏洞时，应当同步发布修补或者防范措施。

声明

本文旨在法规之一般性分析研究或信息分享，不构成对具体法律的分析研究和判断的任何成果，亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容，请联系作者(fanxiaojuan@zhonglun.com); 未经作者同意，不得转载或引用本文的任何内容。