邓勇 | 从Apache安全漏洞事件看《网络产品安全漏洞管理规定》的理解与适用

近期,关于阿里云因为安全漏洞上报问题被工信部网络安全管理局暂停安全威胁信息共享平台合作单位6个月的新闻成为热点。该新闻里提到的《网络产品安全漏洞管理规定》(以下简称《管理规定》)由工业和信息化部、国家互联网信息办公室和公安部于2021年7月12日联合发布,2021年9月1日正式实施。

阿里云成为该《管理规定》实施以来影响最大的新闻主角,本文借此探讨一下对《管理规定》的理解与适用。

一、 上位法依据是《网络安全法》

《管理规定》第一条开宗明义“为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。”;所以《管理规定》的上位法依据其实是从2017年6月1日起施行的《网络安全法》第二十二条第一款关于“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”的规定。

《管理规定》由工信部、国家网信办和公安部联合发布,从制定机关的构成上看,符合《网络安全法》第八条关于“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”的规定。

《管理规定》第三条对三部门的职责分工加以明确,分别是网信办负责“统筹协调”网络产品安全漏洞管理工作、工信部负责“综合管理”并承担“电信和互联网行业”网络产品安全漏铜监督管理、公安部负责网络产品安全漏铜“监督管理”依法打击利用安全漏洞实施的犯罪活动。根据上述分工,《管理规定》也明确了报送安全漏洞信息的主管部门是“工业和信息化部网络安全威胁和漏洞信息共享平台”。

从法律层级上看,《管理规定》应该属于“部门规章”一类。

二、 受规制的主体对象有三类

《管理规定》第二条规定“中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。”,这条就列明了应当遵守《管理规定》的主体有以下三类:

  • 一是境内的网络产品提供者
  • 二是境内的网络运营者
  • 三是境内网络产品安全漏洞收集平台(即从事网络产品安全漏洞发现、收集、发布等活动的组织或个人)

对于上述三类主体范围应该如何划分,《管理规定》并没有给出明确指引。

而如果查看《网络安全法》全文,会发现《网络安全法》在规制主体方面,使用最多的是“网络运营者”这个概念,分别在第九条(原则条款)、第三章(网络运行安全)、第四章(网络信息安全)和第五章(监测预警与应急处置)以及第六章(法律责任)里被大量提及,并在第七十六条第三项中给出了“是指网络的所有者、管理者和网络服务提供者”的明确定义。

除此之外,《网络安全法》还在第二十二条里使用了“网络产品、服务的提供者”的表述,更细致地说,这一表述应该是包含了“网络产品提供者”和“网络服务提供者”这两类主体概念,而其中的“网络服务提供者”可视为属于“网络运营者”的子概念,故“网络运营者”并不包括“网络产品提供者”。所以在《管理规定》中,网络产品提供者是与网络运营者相平行的概念。

三、 负有报送义务的仅有“网络产品提供者”

那么是不是上述三类主体都对产品安全漏洞负有报告义务呢?答案是否定的。

根据《管理规定》第七条关于“网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等……”的规定可知,只有“网络产品提供者”才负有在2日内向工信部网络安全威胁和漏洞信息共享平台报送漏洞信息的义务,网络运营者和网络产品安全漏洞收集平台并不在应当报送的主体之列。

根据《管理规定》第八条的规定,网络运营者在发现安全漏洞后的义务是对漏洞进行验证并完成修补;根据《管理规定》第十条第二款的规定,鼓励网络产品安全漏洞收集平台向官方平台报送产品安全漏洞信息。所以这两类主体都没有报送安全漏洞的义务。

有鉴于此,是否能被确定为属于“网络产品提供者”是确定是否负有报送产品安全漏洞义务的关键前提,如果仅仅是“网络运营者”或是“网络产品安全漏洞收集平台”的主体身份是没有报送义务的。

但需要强调的是,在现实世界中,同一主体很可能兼具多重身份,也就是说作为“网络运营者”的身份与“网络产品提供者”的身份并不矛盾,“网络运营者”或“网络产品安全漏洞收集平台” 同时也可能是“网络产品提供者”,而具备前两者的身份并不必然导致安全漏洞报送义务就可以不必履行了。所以对主体身份的识别就显得十分关键,目前这一权力应当是由行政主管部门来行使。

四、 未履行报送义务的法律责任

根据《管理规定》第十二条的规定“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。”

而《网络安全法》第六十条规定的是“违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:(一)设置恶意程序的;  (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;(三)擅自终止为其产品、服务提供安全维护的”。

所以“责令改正,给予警告”是首要处罚措施,只有在拒不改正或是导致危害网络安全等后果时,才能处以罚款的处罚措施。

五、 关于向境外提供安全漏洞信息的规定

《管理规定》第九条规定“从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:……(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供”。

这条规定有三个特征需要注意:

  • 一是主体方面指向的是“网络产品安全漏洞收集平台”,那如果不是漏洞收集平台是不是就不受这条的规制了?也不尽然,我国《网络安全法》还规定了“关键信息基础设施的运营者”如果需要向境外提供个人信息和重要数据的,是需要提前进行安全评估的,而网络产品安全漏洞信息很可能属于《信息安全技术 数据出境安全评估指南》(征求意见稿)里重要数据识别指南里涉及的“通信领域”里的“A.5.2 运行维护类数据”或是“A.5.3 安全保障类数据”的范畴,所以针对安全漏洞信息的出境行为应该更为审慎,需要多维度评估;
  • 二是禁止提供的是“未公开的网络产品漏洞信息”,已合法公开的不在此列;
  • 三是禁止提供的例外对象是“网络产品提供者”,也就是说出现安全漏洞的网络产品“提供者”是被排除在禁止提供的范围以外的,但对这条的理解也同时应当考虑上述“关键信息基础设施的运营者”的“重要数据”出境安全评估的影响,才能尽量做到合法合规。

另外需要补充的一点是,根据《网络安全法》第二十二条的规定,需要“及时告知用户并向有关主管部门报告”的主体是“网络产品、服务的提供者”,也就是“网络产品提供者”和“网络服务提供者”都负有报告义务。

那为何《管理规定》中没有规定“网络服务提供者”负有报送义务?是遗漏了吗?仔细查看可发现,《管理规定》的全称是《网络产品安全漏洞管理规定》,也就是从规制范围上已经限定了对象只是“网络产品”的安全漏洞,而针对“网络服务”的安全漏洞报送问题,不排除后续可能会以另行制定部门规章的方式来加以明确。

作者:邓勇

编辑:Sharon


分享到微博
分享到微信
    分享到领英