2025年5月,公安網安部門在“護網—2025”專項工作中發現,某具有交互式信息發佈功能的網絡產品安全漏洞發現、收集平臺掌握了某網絡產品存在安全漏洞,但在網絡產品提供者發佈安全漏洞修補措施前,公開了該漏洞細節信息及利用該漏洞從事危害網絡安全活動的程序和工具。
公安機關依據《網絡安全法》,對該平臺運營者予以行政處罰,並責令整改。
網警提示
《網絡安全法》第二十六條規定,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定,並在第六十二條規定相應法律責任。
《網絡產品安全漏洞管理規定》第九條規定,從事網絡產品安全漏洞發現、收集的組織或者個人通過網絡平臺、媒體、會議、競賽等方式向社會發佈網絡產品安全漏洞信息的,應當遵循必要、真實、客觀以及有利於防範網絡安全風險的原則,並遵守以下規定:
(一)不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發佈漏洞信息;認爲有必要提前發佈的,應當與相關網絡產品提供者共同評估協商,並向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估後進行發佈。
(二)不得發佈網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況。
(三)不得刻意誇大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。
(四)不得發佈或者提供專門用於利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具。
(五)在發佈網絡產品安全漏洞時,應當同步發佈修補或者防範措施。
(六)在國家舉辦重大活動期間,未經公安部同意,不得擅自發佈網絡產品安全漏洞信息。
(七)不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供。
(八)法律法規的其他相關規定。
素材 | 北京網警
