工业和信息化部国家互联网信息办公室公安部2021年7月12日施行

各省、自治区、直辖市和新疆生产建设兵团工业和信息化部门、网信办、公安厅（局）、各省、自治区、直辖市通信管理局中央政府：

现发布《网络产品安全漏洞管理规定》，自2021年9月1日起施行。

工业和信息化部、国家互联网信息办公室、公安部

2021 年 7 月 12 日

网络产品安全漏洞管理规定

第一条 为规范网络产品安全漏洞的发现、报告、修复和发布，防范网络安全风险，根据《中华人民共和国网络安全法》，制定本规定。

第二条 中华人民共和国境内网络产品（包括硬件和软件）的提供者、网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。

第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合治理工作，承担电信、互联网行业网络产品安全漏洞的监督管理工作。公安部负责网络产品安全漏洞的监督管理，依法打击利用网络产品安全漏洞的违法犯罪活动。

相关主管部门加强跨部门协调，实现网络产品安全漏洞信息实时共享，对重大网络产品安全漏洞风险进行联合评估处置。

第四条 任何组织和个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；提供技术支持、广告推广、支付结算等协助。

第五条 网络产品提供者、网络运营者、网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，并将网络产品安全漏洞信息接收日志保存不少于6个月。

第六条鼓励有关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理释放，引导和支持产品用户采取预防措施：

(一）发现或获悉所提供的网络产品存在安全漏洞后，应立即采取措施1, 计算机网络的安全是指，组织安全漏洞验证，评估安全漏洞的危害程度和影响范围；漏洞，相关产品应立即通知供应商。

（二）相关漏洞信息应在2日内提交至工信部网络安全威胁与漏洞信息共享平台，提交内容应包括产品名称、型号、版本、漏洞信息网络产品安全漏洞、技术特点、危害及影响范围等。

（三）网络产品安全漏洞应及时修补，产品用户（包括下游厂商）需要采取软件、固件升级等措施时，网络产品安全漏洞风险及修补方式应及时修复。及时通知可能受到影响的产品用户，并提供必要的技术支持。

工业和信息化部网络安全威胁与漏洞信息共享平台同时向国家网络与信息安全信息通报中心和国家计算机网络应急技术处置协调中心报告相关漏洞信息。

鼓励网络产品提供者对提供的网络产品建立安全漏洞奖励机制，对发现并报告提供的网络产品安全漏洞的组织或个人给予奖励。

第八条 网络运营者发现或者获悉其网络、信息系统和设备存在安全漏洞后，应当立即采取措施核实，及时完成安全漏洞修复工作。

第九条 从事网络产品安全漏洞发现和收集工作的组织或者个人，应当通过网络平台、媒体、会议、竞赛等原则，向社会公开网络产品安全漏洞信息，并遵守下列规定：

（一）在网络产品提供者提供网络产品安全漏洞修补措施之前，不得发布漏洞信息；认为需要提前发布的，应当与相关网络产品提供者评估协商，并上报国家安全部工业和信息化，公安部报告经工业和信息化部、公安部组织评估后发布。

（二）网络运营商使用的网络、信息系统和设备的安全漏洞详情，请不要公开。

（三）不得故意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息进行恶意炒作或进行诈骗、敲诈勒索等违法犯罪活动。

（四）不得发布或提供专门用于利用网络产品安全漏洞的程序和工具从事危害网络安全的活动。

（五）发布网络产品安全漏洞时，应同时发布修复或预防措施。

（六）国家重大事件期间，未经公安部同意，不得发布网络产品安全漏洞信息。

（七）请勿向网络产品提供者以外的境外组织或个人提供未公开的网络产品安全漏洞信息。

（八）法律法规的其他相关规定。

第十条 任何组织或者个人建立网络产品安全漏洞收集平台，应当向工业和信息化部备案。工业和信息化部应当及时向公安部、国家互联网信息办公室通报相关漏洞采集平台，并公布通过备案的漏洞采集平台。

鼓励发现网络产品安全漏洞的组织或个人向工业和信息化部网络安全威胁与漏洞信息共享平台、国家网络和信息安全信息通报中心漏洞平台、国家计算机网络应急技术处置协调中心报告中国信息安全漏洞平台评估中心漏洞库上报网络产品安全漏洞信息。

第十一条 从事网络产品安全漏洞发现和收集工作的组织应当加强内部管理，采取措施防止信息泄露和网络产品安全漏洞非法发布。

第十二条 网络产品提供者未按照本规定采取补救措施或者报告网络产品安全漏洞的1, 计算机网络的安全是指，由工业和信息化部、公安部按照各自职责进行处理；构成犯罪的，依法追究刑事责任。符合本条规定情形的，依照规定处罚。

第十三条 网络运营者未按照本规定采取网络产品安全漏洞修复或者预防措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，从其规定。被惩罚。

第十四条 违反本规定收集、发布网络产品安全漏洞信息的，由工业和信息化部、公安部依照各自职责依法处理；构成犯罪的，依法追究刑事责任。依照本条规定处罚。

第十五条利用网络产品安全漏洞从事危害网络安全活动的，或者为他人利用网络产品安全漏洞从事危害网络安全活动提供技术支持的，由公安机关依法处理；构成犯罪的，依法追究刑事责任。有第六十三条规定情形的，依照规定处罚；构成犯罪的，依法追究刑事责任。

第十六条 本规定自2021年9月1日起施行。