漏洞信息披露和處置自律公約

（2015年6月22日發(fā)布）

第一章　總則

第一條  遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針，為依法維護(hù)國家、企業(yè)和社會公眾互聯(lián)網(wǎng)安全權(quán)益，保障政府和重要信息系統(tǒng)部門信息系統(tǒng)安全，進(jìn)一步規(guī)范國內(nèi)外漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方以及國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱CNCERT）在漏洞信息接收、處置和發(fā)布方面的行為，制定本公約。

第二條  本公約所稱安全漏洞（以下簡稱漏洞）是指信息系統(tǒng)在硬件、軟件、通信協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)過程中或在系統(tǒng)安全策略上存在的缺陷和不足；非法用戶可利用安全漏洞獲得信息系統(tǒng)的額外權(quán)限，在未經(jīng)授權(quán)的情況下訪問或提高其訪問權(quán)，破壞系統(tǒng)，危害信息系統(tǒng)安全。

第三條  本公約所稱政府和重要信息系統(tǒng)部門是指黨政機(jī)關(guān)、軍隊(duì)、公安、安全、保密以及金融、證券、海關(guān)、保險(xiǎn)、能源、稅務(wù)、鐵路、民航、電信等關(guān)系國計(jì)民生的重要行業(yè)領(lǐng)域單位。本公約所稱漏洞平臺是指實(shí)際運(yùn)行并參與接收、發(fā)布、處置信息系統(tǒng)漏洞信息的網(wǎng)站以及網(wǎng)站運(yùn)行管理方的總稱。相關(guān)廠商主要指軟硬件產(chǎn)品生產(chǎn)廠商、互聯(lián)網(wǎng)服務(wù)提供商。信息系統(tǒng)管理方指負(fù)責(zé)運(yùn)行維護(hù)信息系統(tǒng)的歸口單位或主管機(jī)構(gòu)。

第四條  倡議國內(nèi)外漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT加入本公約，從維護(hù)國家、行業(yè)和用戶利益的高度出發(fā)，積極加強(qiáng)自律，共同營造良好的網(wǎng)絡(luò)安全環(huán)境。

第五條  中國互聯(lián)網(wǎng)協(xié)會負(fù)責(zé)監(jiān)督本公約的實(shí)施。中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會作為本公約的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)組織實(shí)施本公約。

第二章　自律條款

第六條  自覺遵守我國有關(guān)互聯(lián)網(wǎng)管理的法律、法規(guī)和政策，自覺維護(hù)國家、行業(yè)和互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全合法權(quán)益。

第七條  漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT應(yīng)協(xié)同一致做好漏洞信息的接收、處置和發(fā)布等環(huán)節(jié)工作，做好漏洞信息披露和處置風(fēng)險(xiǎn)管理，避免因漏洞信息披露不當(dāng)和處置不及時(shí)而危害到國家安全、社會安全、企業(yè)安全和用戶安全。

第八條  CNCERT應(yīng)遵循的自律義務(wù)有：

積極參與漏洞的接收、驗(yàn)證、處置、發(fā)布監(jiān)督，與漏洞平臺建立漏洞歸口處置機(jī)制和信息披露審核聯(lián)動機(jī)制；加強(qiáng)技術(shù)手段建設(shè)，做好漏洞信息威脅和危害的準(zhǔn)確評估；積極建立與政府和重要信息系統(tǒng)部門、行業(yè)單位的處置聯(lián)系渠道，協(xié)同做好漏洞處置監(jiān)督。對重大漏洞風(fēng)險(xiǎn)和攻擊情況及時(shí)跟蹤，必要時(shí)發(fā)布核查和處置情況。

第九條  漏洞平臺應(yīng)遵循的自律義務(wù)有：

建立規(guī)范的漏洞信息接收、處理和發(fā)布流程。對漏洞報(bào)送者提交的信息要進(jìn)行預(yù)先核實(shí)，確保漏洞信息的真實(shí)性和完整性，以便于漏洞驗(yàn)證和核實(shí)；建立信息分發(fā)處理機(jī)制，確保漏洞信息及時(shí)流轉(zhuǎn)到處置環(huán)節(jié)；規(guī)范漏洞信息發(fā)布機(jī)制，建立與CNCERT聯(lián)動的信息審核發(fā)布機(jī)制，加強(qiáng)對漏洞平臺用戶的管理，確保漏洞披露和擴(kuò)散渠道可控可追溯。

第十條  相關(guān)廠商和信息系統(tǒng)管理方遵循的自律義務(wù)有：

高度重視軟硬件產(chǎn)品漏洞和信息系統(tǒng)漏洞可能對產(chǎn)品用戶和系統(tǒng)用戶可能造成的危害，積極回應(yīng)CNCERT、漏洞平臺以及漏洞報(bào)送者提供的漏洞信息，及時(shí)核實(shí)確認(rèn)并提供和發(fā)布漏洞補(bǔ)丁或解決方案。應(yīng)從產(chǎn)品研發(fā)、測試和發(fā)布等環(huán)節(jié)加強(qiáng)協(xié)同管理，及時(shí)應(yīng)對新出現(xiàn)的漏洞，在產(chǎn)品遠(yuǎn)程升級、用戶系統(tǒng)維護(hù)方面做好技術(shù)準(zhǔn)備和主動服務(wù)，確保漏洞修復(fù)措施的有效性和覆蓋面。積極配合CNCERT作好技術(shù)分析和用戶威脅評估，縮短應(yīng)急響應(yīng)周期。通過網(wǎng)站、郵件等方式及時(shí)披露和推送本單位生產(chǎn)、提供的軟硬件產(chǎn)品的漏洞描述信息或預(yù)警信息，并同時(shí)向CNCERT報(bào)備，以保障產(chǎn)品用戶和系統(tǒng)用戶的知情權(quán)和安全利益。

第十一條  各方在漏洞信息披露方面應(yīng)遵循“客觀、適時(shí)、適度”三原則：

客觀披露原則。對公開發(fā)布的漏洞信息要進(jìn)行披露審核，漏洞平臺與CNCERT建立披露審核聯(lián)動機(jī)制，確保漏洞信息涉及的目標(biāo)對象、風(fēng)險(xiǎn)情況描述不出現(xiàn)重大偏差；要注重區(qū)分漏洞風(fēng)險(xiǎn)和攻擊事件，對漏洞可導(dǎo)致的潛在風(fēng)險(xiǎn)不能作為網(wǎng)絡(luò)攻擊事件進(jìn)行披露和引導(dǎo)，以免引起媒體輿論和社會公眾的誤讀和恐慌。根據(jù)CNCERT和涉事單位核實(shí)后的情況，漏洞平臺應(yīng)對漏洞信息中出現(xiàn)的不符合事實(shí)的情況進(jìn)行及時(shí)更正。

適時(shí)披露原則。加強(qiáng)CNCERT、漏洞平臺、相關(guān)廠商和信息系統(tǒng)管理方的處置聯(lián)動，在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預(yù)定時(shí)限前不應(yīng)提前公開發(fā)布漏洞相關(guān)信息。針對不同類型漏洞的修復(fù)規(guī)律和所需周期，各方研判后協(xié)商擬定靈活實(shí)際的漏洞公開披露時(shí)間。

適度披露原則。不得披露國家政策法規(guī)和主管部門禁止披露的信息系統(tǒng)漏洞，不得披露違反知識產(chǎn)權(quán)保護(hù)法律法規(guī)及商業(yè)機(jī)密協(xié)定的信息。在漏洞處置完成前，按照披露審核聯(lián)動機(jī)制對可通過公開信息（標(biāo)題、描述等）猜解到具體目標(biāo)系統(tǒng)、攻擊手法的信息進(jìn)行弱化處理，避免相關(guān)漏洞被黑客利用實(shí)施網(wǎng)絡(luò)攻擊。

第十二條  根據(jù)各方自律義務(wù)以及漏洞信息發(fā)布的客觀、適時(shí)、適度等原則，各方在披露涉及政府和重要信息系統(tǒng)部門的信息系統(tǒng)漏洞以及相關(guān)廠商的通用軟硬件漏洞時(shí)應(yīng)進(jìn)行必要的披露弱化處理：

（一）政府和重要信息系統(tǒng)部門信息系統(tǒng)漏洞披露。做好涉事信息系統(tǒng)標(biāo)題及其他可見描述信息的模糊指代處理，如：“某部委某業(yè)務(wù)系統(tǒng)”、“XX省某廳門戶網(wǎng)站”；涉及數(shù)量級別、用戶私密信息字段描述的詞語表述應(yīng)進(jìn)行弱化處理，如：去掉“數(shù)千萬”、“身份證、銀行卡、口令、手機(jī)號、社保信息”等數(shù)量和信息屬性字段；公開漏洞詳細(xì)信息時(shí)做好權(quán)限管理，不應(yīng)向公眾直接公開漏洞測試入口信息，如：IP、域名、URL等。

（二）通用軟硬件漏洞披露。各方不得披露涉及知識產(chǎn)權(quán)、有商業(yè)合同保護(hù)的產(chǎn)品測試結(jié)果以及產(chǎn)品源代碼信息；遵循協(xié)商處置披露原則，優(yōu)先處置涉及政府和重要信息系統(tǒng)部門用戶的漏洞，在未完成約定處置流程前，各方應(yīng)禁止披露漏洞利用代碼信息。

第十三條  相關(guān)單位和從業(yè)者應(yīng)共同防范和抵制漏洞信息的不當(dāng)傳播，積極舉報(bào)和反對通過黑客地下產(chǎn)業(yè)購買、交易漏洞的行為，反對非法侵入或破壞他人信息系統(tǒng)。

第三章　公約執(zhí)行

第十四條  中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會負(fù)責(zé)組織實(shí)施本公約，負(fù)責(zé)向公約簽署單位傳遞互聯(lián)網(wǎng)安全管理的法規(guī)、政策及行業(yè)自律情況，及時(shí)向政府主管部門反映，組織實(shí)施相關(guān)自律工作，并對簽署單位遵守本公約的情況進(jìn)行督促檢查。

第十五條  公約簽署單位之間發(fā)生爭議時(shí)，應(yīng)從維護(hù)國家、行業(yè)和用戶利益出發(fā)，本著協(xié)商原則解決爭議，也可以請求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)解。

第十六條  公約簽署單位接受社會和簽署單位的監(jiān)督，對違反本公約的，任何其他單位和個(gè)人均有權(quán)向公約執(zhí)行機(jī)構(gòu)進(jìn)行檢舉，請求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)查；公約執(zhí)行機(jī)構(gòu)也可以直接進(jìn)行調(diào)查，并將調(diào)查結(jié)果公布。

第十七條  公約成員單位違反本公約，造成不良影響，經(jīng)查證屬實(shí)的，由公約執(zhí)行機(jī)構(gòu)視不同情況給予在內(nèi)部通報(bào)或取消公約簽署單位資格的處理。

第十八條  本公約所有簽署單位均有權(quán)對公約執(zhí)行機(jī)構(gòu)執(zhí)行本公約的合法性和公正性進(jìn)行監(jiān)督，有權(quán)向執(zhí)行機(jī)構(gòu)的主管部門檢舉公約執(zhí)行機(jī)構(gòu)或其他工作人員違反本公約的行為。

第四章　附則

第十九條  本公約經(jīng)公約發(fā)起單位法定代表人或其委托的代表簽字后生效，并在生效后的30日內(nèi)由中國互聯(lián)網(wǎng)協(xié)會委托網(wǎng)絡(luò)與信息安全工作委員會向社會公布。

第二十條  本公約生效期間，由公約執(zhí)行機(jī)構(gòu)發(fā)起動議，本公約三分之二以上成員單位同意，可以對本公約進(jìn)行修訂。

第二十一條  本公約內(nèi)容與國家有關(guān)政策法規(guī)和政府主管部門規(guī)定不一致的，從其規(guī)定。

第二十二條  相關(guān)單位接受本公約的自律規(guī)則，均可以申請加入本公約；本公約成員單位也可以退出本公約，并通知公約執(zhí)行機(jī)構(gòu)；公約執(zhí)行機(jī)構(gòu)定期公布加入及退出本公約的單位名單。

第二十三條  本公約由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會負(fù)責(zé)解釋。

第二十四條  本公約自公布之日起施行。