网络安全漏洞将何去何从——简析《网络安全漏洞管理规定（征求意见稿）》

一、 监管对象、主管机构

《网络安全法》第22条规定，网络产品、服务的提供者……发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

《管理规定》明确的监管对象包括网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织（以下简称“第三方组织”）或个人（第2条），主管机构为工信部、公安部和有关行业主管部门（第4条）。

二、 网络安全漏洞处置流程

《管理规定》要求网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后，应当按照相应的时间采取漏洞修补或防范措施并向社会或用户发布（第3条）。

与原国家标准相比，《管理规定》并没有沿用其详细的漏洞管理生命周期流程，对于漏洞发现、接受等问题进行详细规范，调整了原标准规定的处理时间表，并且区别网络产品和网络服务、系统提供者漏洞修补或防范措施期限中规定的漏洞修补或防范措施期限。

《管理规定》所规定的具体流程如下：

三、 第三方组织向社会发布漏洞信息

《网络安全法》第25条要求，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

而《管理规定》明确，第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则（第6条）。第三方组织应当加强内部管理，履行管理义务，防范漏洞信息泄露和内部人员违规发布漏洞信息（第7条）。

特别的，此前主要收集、发布漏洞信息的中国信息安全测评中心下设的国家信息安全漏洞库，或是国家计算机网络应急技术处理协调中心下设的国家信息安全漏洞共享平台也将会被视为第三方组织，需要遵守第三方组织发布漏洞的规定（第10条）。

四、 法律责任

《管理规定》第8条规定，网络产品、服务提供者和网络运营者未按规定采取漏洞修补或防范措施并向社会或用户发布的，由工信部、公安部等有关部门按职责依据《网络安全法》第56条、第59条、第60条等规定组织对其进行约谈或给予行政处罚。

另，第9条规定，第三方组织违反规定向社会发布漏洞信息，由工信部、公安部等有关部门组织对其进行约谈，或依据《网络安全法》第62条、第63条等规定给予行政处罚；构成犯罪的，依法追究刑事责任；给网络产品、服务提供者和网络运营者造成经济或名誉损害的，依法承担民事责任。

五、 我们的观察

《管理规定》作为规范性文件，在《网络安全法》的体系下，直接明确了网络产品、服务提供者和网络运营者和第三方组织对于网络安全漏洞的处理要求，明确了法律责任。对于企业将如何在实践中做到合规处理网络安全漏洞，我们将持续关注。