隨著人工智能的發(fā)展，以及移動(dòng)智能設(shè)備不斷普及，各類(lèi)漏洞風(fēng)險(xiǎn)與日俱增，隨之而來(lái)的安全事件也不斷爆發(fā)，為移動(dòng)互聯(lián)網(wǎng)的安全管理敲響了警鐘。同時(shí)，隨著終端系統(tǒng)代碼量的增加，漏洞數(shù)量和攻擊面也隨之增加，使得智能終端操作系統(tǒng)漏洞修補(bǔ)越來(lái)越需要被重視。

    《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。

    為配合該法案的落地實(shí)施，加強(qiáng)和規(guī)范移動(dòng)互聯(lián)網(wǎng)安全漏洞信息發(fā)布與處置工作，維護(hù)公民、法人和其他組織的合法權(quán)益，保障網(wǎng)絡(luò)與信息安全，促進(jìn)行業(yè)健康發(fā)展，移動(dòng)安全聯(lián)盟及時(shí)關(guān)注漏洞問(wèn)題，制定“移動(dòng)安全行動(dòng)計(jì)劃”，促進(jìn)行業(yè)自律。

    2018年7月10日，移動(dòng)安全聯(lián)盟在2018（第十七屆）中國(guó)互聯(lián)網(wǎng)大會(huì)期間，舉辦2018中國(guó)人工智能移動(dòng)安全高峰論壇并啟動(dòng)“移動(dòng)安全行動(dòng)計(jì)劃”。

《移動(dòng)安全聯(lián)盟漏洞信息披露和處置自律公約》簽署儀式

    工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副局長(zhǎng)楊宇燕，電信終端產(chǎn)業(yè)協(xié)會(huì)理事長(zhǎng)、移動(dòng)安全聯(lián)盟理事長(zhǎng)謝毅博士等領(lǐng)導(dǎo)與來(lái)自終端廠商、互聯(lián)網(wǎng)企業(yè)、安全廠商、科研院所的代表共兩百余人見(jiàn)證了行動(dòng)的啟動(dòng)。中國(guó)信息通信研究院、北京大學(xué)、維沃移動(dòng)通信有限公司、北京百度網(wǎng)訊科技有限公司、四川長(zhǎng)虹電器股份有限公司、阿里巴巴網(wǎng)絡(luò)技術(shù)有限公司、三六零科技股份有限公司、珠海市魅族通訊設(shè)備有限公司、北京小米移動(dòng)軟件有限公司、華為技術(shù)有限公司、武漢安天信息技術(shù)有限責(zé)任公司、北京京東世紀(jì)貿(mào)易有限公司、廣東歐珀移動(dòng)通信有限公司、恒安嘉新（北京）科技股份公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司、廈門(mén)美圖移動(dòng)科技有限公司、深圳市金立通信設(shè)備有限公司、北京娜迦信息科技發(fā)展有限公司、中國(guó)電信上海研究院、北京指掌易科技有限公司等20家相關(guān)廠商、檢測(cè)機(jī)構(gòu)作為首批簽約單位共同簽署《移動(dòng)安全聯(lián)盟漏洞信息披露和處置自律公約》。

 “移動(dòng)安全行動(dòng)計(jì)劃”的具體內(nèi)容，主要包括以下三部分內(nèi)容：

    一是移動(dòng)安全聯(lián)盟漏洞處置合作計(jì)劃

    移動(dòng)安全聯(lián)盟推動(dòng)移動(dòng)智能設(shè)備產(chǎn)業(yè)鏈各方各司其責(zé)，協(xié)同完成移動(dòng)智能設(shè)備漏洞的修復(fù)工作，制定《移動(dòng)安全聯(lián)盟漏洞處置合作計(jì)劃》，移動(dòng)安全聯(lián)盟會(huì)同移動(dòng)智能設(shè)備產(chǎn)業(yè)各方，綜合考慮漏洞的危害程度、影響范圍、修復(fù)難度、可利用情況等多方面因素，制定移動(dòng)智能設(shè)備漏洞處置列表，為移動(dòng)智能設(shè)備產(chǎn)業(yè)鏈各方修復(fù)產(chǎn)品漏洞提供便利。

    二是移動(dòng)安全聯(lián)盟安全事件應(yīng)急響應(yīng)機(jī)制

    移動(dòng)安全聯(lián)盟聯(lián)合產(chǎn)業(yè)鏈各方建立移動(dòng)智能設(shè)備漏洞快速響應(yīng)機(jī)制。聯(lián)盟負(fù)責(zé)收集移動(dòng)智能設(shè)備漏洞相關(guān)的安全事件，并上報(bào)監(jiān)管部門(mén)。對(duì)于影響較大的安全事件，協(xié)調(diào)技術(shù)檢測(cè)機(jī)構(gòu)及時(shí)發(fā)布檢測(cè)工具，推動(dòng)操作系統(tǒng)供應(yīng)商和設(shè)備廠商進(jìn)行漏洞修補(bǔ)工作，同時(shí)及時(shí)向用戶(hù)發(fā)布安全公告，提醒用戶(hù)及時(shí)更新系統(tǒng)，注意防范。

    三是移動(dòng)安全聯(lián)盟漏洞信息披露和處置自律公約

    移動(dòng)安全聯(lián)盟倡議國(guó)內(nèi)外相關(guān)廠商、檢測(cè)機(jī)構(gòu)共同簽署《移動(dòng)安全聯(lián)盟漏洞信息披露和處置自律公約》，遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針，為維護(hù)用戶(hù)個(gè)人信息安全和合法權(quán)益，保障網(wǎng)絡(luò)與信息安全，促進(jìn)行業(yè)健康發(fā)展，進(jìn)一步規(guī)范國(guó)內(nèi)外相關(guān)廠商、檢測(cè)機(jī)構(gòu)在漏洞信息發(fā)布和處置方面的行為，從維護(hù)國(guó)家、行業(yè)和用戶(hù)利益的高度出發(fā)，積極加強(qiáng)自律，共同營(yíng)造良好的網(wǎng)絡(luò)安全環(huán)境。

附《移動(dòng)安全聯(lián)盟漏洞信息披露和處置自律公約》全文

第一章 總則

第一條 遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針，為維護(hù)用戶(hù)個(gè)人信息安全和合法權(quán)益，保障網(wǎng)絡(luò)與信息安全，促進(jìn)行業(yè)健康發(fā)展，進(jìn)一步規(guī)范國(guó)內(nèi)外相關(guān)廠商、檢測(cè)機(jī)構(gòu)在漏洞信息發(fā)布和處置方面的行為，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)有關(guān)規(guī)定，制定本公約。

第二條 本公約所稱(chēng)移動(dòng)終端安全漏洞（以下簡(jiǎn)稱(chēng)漏洞）是指移動(dòng)終端在硬件、軟件、通信協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)過(guò)程中或在系統(tǒng)安全策略上存在的缺陷和不足；非法用戶(hù)可利用安全漏洞獲得移動(dòng)終端的額外權(quán)限，在未經(jīng)授權(quán)的情況下訪問(wèn)或提高其訪問(wèn)權(quán)，破壞系統(tǒng)，危害信息系統(tǒng)安全。

第三條 本公約所稱(chēng)相關(guān)廠商主要指軟硬件產(chǎn)品生產(chǎn)廠商、互聯(lián)網(wǎng)服務(wù)提供商。檢測(cè)機(jī)構(gòu)指從事移動(dòng)終端安全檢測(cè)相關(guān)業(yè)務(wù)的實(shí)驗(yàn)室或安全公司。

第四條 倡議國(guó)內(nèi)外相關(guān)廠商和檢測(cè)機(jī)構(gòu)加入本公約，從維護(hù)國(guó)家、行業(yè)和用戶(hù)利益的高度出發(fā)，積極加強(qiáng)自律，共同營(yíng)造良好的網(wǎng)絡(luò)安全環(huán)境。

第五條 移動(dòng)安全聯(lián)盟負(fù)責(zé)監(jiān)督本公約的實(shí)施。移動(dòng)安全聯(lián)盟作為本公約的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)組織實(shí)施本公約。

第二章 自律條款

第六條 自覺(jué)遵守我國(guó)有關(guān)互聯(lián)網(wǎng)管理的法律、法規(guī)和政策，自覺(jué)維護(hù)國(guó)家、行業(yè)和互聯(lián)網(wǎng)用戶(hù)的網(wǎng)絡(luò)安全合法權(quán)益。

第七條 相關(guān)廠商和檢測(cè)機(jī)構(gòu)應(yīng)協(xié)同一致做好漏洞信息的發(fā)布、處置等環(huán)節(jié)工作，做好漏洞信息披露和處置風(fēng)險(xiǎn)管理，避免因漏洞信息披露不當(dāng)和處置不及時(shí)而危害到國(guó)家安全、社會(huì)安全、企業(yè)安全和用戶(hù)安全。

第八條 各方在漏洞信息披露方面應(yīng)遵循的原則：

客觀披露原則。對(duì)公開(kāi)發(fā)布的漏洞信息要進(jìn)行披露審核，確保漏洞信息的真實(shí)性和完整性，漏洞信息涉及的目標(biāo)對(duì)象、風(fēng)險(xiǎn)情況描述不出現(xiàn)重大偏差；對(duì)漏洞可導(dǎo)致的潛在風(fēng)險(xiǎn)不能作為安全攻擊事件進(jìn)行披露和引導(dǎo)，以免引起媒體輿論和社會(huì)公眾的誤讀和恐慌。

適時(shí)披露原則。在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預(yù)定時(shí)限前不應(yīng)提前公開(kāi)發(fā)布漏洞相關(guān)信息。針對(duì)不同類(lèi)型漏洞的修復(fù)規(guī)律和所需周期，各方研判后協(xié)商擬定靈活實(shí)際的漏洞公開(kāi)披露時(shí)間。

適度披露原則。不得披露國(guó)家政策法規(guī)和主管部門(mén)禁止披露的漏洞，不得披露違反知識(shí)產(chǎn)權(quán)保護(hù)法律法規(guī)及商業(yè)機(jī)密協(xié)定的信息，不得制作和發(fā)布利用產(chǎn)品漏洞的方法、程序和工具。在漏洞處置完成前，對(duì)可通過(guò)公開(kāi)信息（標(biāo)題、描述等）猜解到具體目標(biāo)系統(tǒng)、攻擊手法的信息進(jìn)行弱化處理，避免相關(guān)漏洞被黑客利用實(shí)施網(wǎng)絡(luò)攻擊。

第九條 相關(guān)廠商在漏洞處置方面應(yīng)遵循的自律義務(wù)：

漏洞修復(fù)和防范。高度重視軟硬件產(chǎn)品漏洞可能對(duì)用戶(hù)可能造成的危害，積極回應(yīng)漏洞平臺(tái)以及漏洞報(bào)送者提供的漏洞信息，及時(shí)核實(shí)確認(rèn)并提供和發(fā)布漏洞補(bǔ)丁或解決方案。對(duì)于需要用戶(hù)采取漏洞修補(bǔ)或防范措施，并且可以向社會(huì)或用戶(hù)公開(kāi)發(fā)布的，應(yīng)當(dāng)及時(shí)將漏洞風(fēng)險(xiǎn)及修補(bǔ)或防范措施向社會(huì)發(fā)布或通過(guò)客服等方式告知所有可能受影響的用戶(hù)，并提供必要的技術(shù)支持。

應(yīng)從產(chǎn)品研發(fā)、測(cè)試和發(fā)布等環(huán)節(jié)加強(qiáng)協(xié)同管理，及時(shí)應(yīng)對(duì)新出現(xiàn)的漏洞，在產(chǎn)品升級(jí)更新方面做好技術(shù)準(zhǔn)備和主動(dòng)服務(wù)，確保漏洞修復(fù)措施的有效性和覆蓋面。

漏洞應(yīng)急響應(yīng)。建立快速應(yīng)急響應(yīng)機(jī)制，通過(guò)網(wǎng)站、郵件等方式及時(shí)披露和推送本單位生產(chǎn)、提供的軟硬件產(chǎn)品的漏洞描述信息或預(yù)警信息，并同時(shí)向主管部門(mén)報(bào)備，以保障產(chǎn)品用戶(hù)和系統(tǒng)用戶(hù)的知情權(quán)和安全利益。

第十條 相關(guān)單位和從業(yè)者應(yīng)共同防范和抵制漏洞信息的不當(dāng)傳播，積極舉報(bào)和反對(duì)通過(guò)黑客地下產(chǎn)業(yè)購(gòu)買(mǎi)、交易漏洞的行為，反對(duì)非法侵入或破壞他人信息系統(tǒng)。

第三章 公約執(zhí)行

第十一條 移動(dòng)安全聯(lián)盟負(fù)責(zé)組織實(shí)施本公約，負(fù)責(zé)向公約簽署單位傳遞互聯(lián)網(wǎng)安全管理的法規(guī)、政策及行業(yè)自律情況，及時(shí)向政府主管部門(mén)反映，組織實(shí)施相關(guān)自律工作，并對(duì)簽署單位遵守本公約的情況進(jìn)行督促檢查。

第十二條 公約簽署單位之間發(fā)生爭(zhēng)議時(shí)，應(yīng)從維護(hù)國(guó)家、行業(yè)和用戶(hù)利益出發(fā)，本著協(xié)商原則解決爭(zhēng)議，也可以請(qǐng)求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)解。

第十三條 公約簽署單位接受社會(huì)和簽署單位的監(jiān)督，對(duì)違反本公約的，任何其他單位和個(gè)人均有權(quán)向公約執(zhí)行機(jī)構(gòu)進(jìn)行檢舉，請(qǐng)求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)查；公約執(zhí)行機(jī)構(gòu)也可以直接進(jìn)行調(diào)查，并將調(diào)查結(jié)果公布。

第十四條 公約成員單位違反本公約，造成不良影響，經(jīng)查證屬實(shí)的，由公約執(zhí)行機(jī)構(gòu)視不同情況給予在內(nèi)部通報(bào)或取消公約簽署單位資格的處理。

第十五條 本公約所有簽署單位均有權(quán)對(duì)公約執(zhí)行機(jī)構(gòu)執(zhí)行本公約的合法性和公正性進(jìn)行監(jiān)督，有權(quán)向執(zhí)行機(jī)構(gòu)的主管部門(mén)檢舉公約執(zhí)行機(jī)構(gòu)或其他工作人員違反本公約的行為。

第四章 附則

第十六條 本公約經(jīng)公約發(fā)起單位法定代表人或其委托的代表簽字并加蓋公章后生效，并在生效后的30日內(nèi)由移動(dòng)安全聯(lián)盟向社會(huì)公布。

第十七條 本公約生效期間，由公約執(zhí)行機(jī)構(gòu)發(fā)起動(dòng)議，本公約三分之二以上成員單位同意，可以對(duì)本公約進(jìn)行修訂。

第十八條 本公約內(nèi)容與國(guó)家有關(guān)政策法規(guī)和政府主管部門(mén)規(guī)定不一致的，從其規(guī)定。

第十九條 相關(guān)單位接受本公約的自律規(guī)則，均可以申請(qǐng)加入本公約；本公約成員單位也可以退出本公約，并通知公約執(zhí)行機(jī)構(gòu)；公約執(zhí)行機(jī)構(gòu)定期公布加入及退出本公約的單位名單。

第二十條 本公約由移動(dòng)安全聯(lián)盟負(fù)責(zé)解釋。

第二十一條 本公約自公布之日起施行。