互联网大漏洞(互联网漏洞管理办法)

互联网大漏洞(互联网漏洞管理办法)

1、2021年12月17日，中国工业和信息化部，“工信部”，网络安全管理局，“网安局”，发布《关于阿帕奇42组件重大安全漏洞的网络安全风险提示》，指出公司发现阿帕奇42组件存在远程代码执行漏洞，“阿帕奇漏洞”，并已通报阿帕奇软件基金会，网安局相应发布风险预警。“阿帕奇事件”，

2、平台[1]接到关于阿帕奇漏洞的报告后，采取了一连串行动，包括组织风险分析和研判、通报督促阿帕奇软件基金会及时修补，向行业单位预警风险；并在12月22日对《工业和信息化领域数据安全风险信息报送与共享工作指引，试行，征求意见稿，》公开征求意见。网传该公司在2021年11月24日已将阿帕奇安全漏洞通报给了阿帕奇软件基金会，而延迟至2021年12月9日方才向工信部指定渠道上报，工信部于2021年12月22日对公司作出暂停合作单位身份6个月的处理。该则传闻暂未能找到相应的工信部官方公开发布消息，本文暂不进行讨论。但是，如果网络产品提供者、网络运营者等发现了网络产品安全漏洞，“安全漏洞”，正确处理的“打开”方式应该是什么呢。

3、处理安全漏洞的法律依据。在明确正确“打开”方式之前，需要先明确处理网络安全漏洞的法律依据。《网络安全法》。

4、《网络安全法》早在2016年11月7日发布，2017年6月1日生效，是我国网络安全管理领域的主要法律。该法与生效的《数据安全法》和《个人信息保护法》并称三架马车。《网络安全法》要求“网络产品、服务的提供者&；&；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”[2]；“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

5、”[3]“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定”[4]。简而言之，网络产品、服务的提供者，对于安全漏洞具有及时处置、补救、报告义务。

互联网大漏洞(互联网漏洞管理办法)

1、《网络产品安全漏洞管理规定》。由于《网络安全法》发布较早；且作为一部法律，其规制的范围需要包括网络安全的各方面。

2、因此，《网络安全法》关于安全漏洞处理的规定较为原则，对实践的指导略有欠缺。为此，工信部和国家网信办于2021年7月12日发布了《网络产品安全漏洞管理规定》，“《管理规定》”，该规定已于2021年9月1日生效。《管理规定》主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作[5]。

3、《工业和信息化领域数据安全风险信息报送与共享工作指引，试行，征求意见稿，》，“《指引》”，2021年12月22日，工信部发布了《指引》。《指引》对安全风险信息报送和共享进一步细化，包括组织机构及职责、报送管理、风险信息研判与共享和保障措施。

4、处理安全漏洞的责任主体。根据《管理规定》，安全漏洞的责任主体包括两大类。一，网络产品提供者和网络运营者。首先，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，其对安全漏洞的信息接收、对安全漏洞进行验证并完成漏洞修补、漏洞的报送都承担相应责任。

5、下文将详述其主要义务。二，从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。