漏洞信息披露和處置自律公約

（2015年6月22日發布）

第一章　總則

第一條  遵照“趨利避害、有效管理、積極引導”的基本方針，為依法維護國家、企業和社會公眾互聯網安全權益，保障政府和重要信息系統部門信息系統安全，進一步規范國內外漏洞平臺、相關廠商、信息系統管理方以及國家計算機網絡應急技術處理協調中心（以下簡稱CNCERT）在漏洞信息接收、處置和發布方面的行為，制定本公約。

第二條  本公約所稱安全漏洞（以下簡稱漏洞）是指信息系統在硬件、軟件、通信協議的設計與實現過程中或在系統安全策略上存在的缺陷和不足；非法用戶可利用安全漏洞獲得信息系統的額外權限，在未經授權的情況下訪問或提高其訪問權，破壞系統，危害信息系統安全。

第三條  本公約所稱政府和重要信息系統部門是指黨政機關、軍隊、公安、安全、保密以及金融、證券、海關、保險、能源、稅務、鐵路、民航、電信等關系國計民生的重要行業領域單位。本公約所稱漏洞平臺是指實際運行并參與接收、發布、處置信息系統漏洞信息的網站以及網站運行管理方的總稱。相關廠商主要指軟硬件產品生產廠商、互聯網服務提供商。信息系統管理方指負責運行維護信息系統的歸口單位或主管機構。

第四條  倡議國內外漏洞平臺、相關廠商、信息系統管理方和CNCERT加入本公約，從維護國家、行業和用戶利益的高度出發，積極加強自律，共同營造良好的網絡安全環境。

第五條  中國互聯網協會負責監督本公約的實施。中國互聯網協會網絡與信息安全工作委員會作為本公約的執行機構，負責組織實施本公約。

第二章　自律條款

第六條  自覺遵守我國有關互聯網管理的法律、法規和政策，自覺維護國家、行業和互聯網用戶的網絡安全合法權益。

第七條  漏洞平臺、相關廠商、信息系統管理方和CNCERT應協同一致做好漏洞信息的接收、處置和發布等環節工作，做好漏洞信息披露和處置風險管理，避免因漏洞信息披露不當和處置不及時而危害到國家安全、社會安全、企業安全和用戶安全。

第八條  CNCERT應遵循的自律義務有：

積極參與漏洞的接收、驗證、處置、發布監督，與漏洞平臺建立漏洞歸口處置機制和信息披露審核聯動機制；加強技術手段建設，做好漏洞信息威脅和危害的準確評估；積極建立與政府和重要信息系統部門、行業單位的處置聯系渠道，協同做好漏洞處置監督。對重大漏洞風險和攻擊情況及時跟蹤，必要時發布核查和處置情況。

第九條  漏洞平臺應遵循的自律義務有：

建立規范的漏洞信息接收、處理和發布流程。對漏洞報送者提交的信息要進行預先核實，確保漏洞信息的真實性和完整性，以便于漏洞驗證和核實；建立信息分發處理機制，確保漏洞信息及時流轉到處置環節；規范漏洞信息發布機制，建立與CNCERT聯動的信息審核發布機制，加強對漏洞平臺用戶的管理，確保漏洞披露和擴散渠道可控可追溯。

第十條  相關廠商和信息系統管理方遵循的自律義務有：

高度重視軟硬件產品漏洞和信息系統漏洞可能對產品用戶和系統用戶可能造成的危害，積極回應CNCERT、漏洞平臺以及漏洞報送者提供的漏洞信息，及時核實確認并提供和發布漏洞補丁或解決方案。應從產品研發、測試和發布等環節加強協同管理，及時應對新出現的漏洞，在產品遠程升級、用戶系統維護方面做好技術準備和主動服務，確保漏洞修復措施的有效性和覆蓋面。積極配合CNCERT作好技術分析和用戶威脅評估，縮短應急響應周期。通過網站、郵件等方式及時披露和推送本單位生產、提供的軟硬件產品的漏洞描述信息或預警信息，并同時向CNCERT報備，以保障產品用戶和系統用戶的知情權和安全利益。

第十一條  各方在漏洞信息披露方面應遵循“客觀、適時、適度”三原則：

客觀披露原則。對公開發布的漏洞信息要進行披露審核，漏洞平臺與CNCERT建立披露審核聯動機制，確保漏洞信息涉及的目標對象、風險情況描述不出現重大偏差；要注重區分漏洞風險和攻擊事件，對漏洞可導致的潛在風險不能作為網絡攻擊事件進行披露和引導，以免引起媒體輿論和社會公眾的誤讀和恐慌。根據CNCERT和涉事單位核實后的情況，漏洞平臺應對漏洞信息中出現的不符合事實的情況進行及時更正。

適時披露原則。加強CNCERT、漏洞平臺、相關廠商和信息系統管理方的處置聯動，在相關方未接收到漏洞信息、完成漏洞處置前或預定時限前不應提前公開發布漏洞相關信息。針對不同類型漏洞的修復規律和所需周期，各方研判后協商擬定靈活實際的漏洞公開披露時間。

適度披露原則。不得披露國家政策法規和主管部門禁止披露的信息系統漏洞，不得披露違反知識產權保護法律法規及商業機密協定的信息。在漏洞處置完成前，按照披露審核聯動機制對可通過公開信息（標題、描述等）猜解到具體目標系統、攻擊手法的信息進行弱化處理，避免相關漏洞被黑客利用實施網絡攻擊。

第十二條  根據各方自律義務以及漏洞信息發布的客觀、適時、適度等原則，各方在披露涉及政府和重要信息系統部門的信息系統漏洞以及相關廠商的通用軟硬件漏洞時應進行必要的披露弱化處理：

（一）政府和重要信息系統部門信息系統漏洞披露。做好涉事信息系統標題及其他可見描述信息的模糊指代處理，如：“某部委某業務系統”、“XX省某廳門戶網站”；涉及數量級別、用戶私密信息字段描述的詞語表述應進行弱化處理，如：去掉“數千萬”、“身份證、銀行卡、口令、手機號、社保信息”等數量和信息屬性字段；公開漏洞詳細信息時做好權限管理，不應向公眾直接公開漏洞測試入口信息，如：IP、域名、URL等。

（二）通用軟硬件漏洞披露。各方不得披露涉及知識產權、有商業合同保護的產品測試結果以及產品源代碼信息；遵循協商處置披露原則，優先處置涉及政府和重要信息系統部門用戶的漏洞，在未完成約定處置流程前，各方應禁止披露漏洞利用代碼信息。

第十三條  相關單位和從業者應共同防范和抵制漏洞信息的不當傳播，積極舉報和反對通過黑客地下產業購買、交易漏洞的行為，反對非法侵入或破壞他人信息系統。

第三章　公約執行

第十四條  中國互聯網協會網絡與信息安全工作委員會負責組織實施本公約，負責向公約簽署單位傳遞互聯網安全管理的法規、政策及行業自律情況，及時向政府主管部門反映，組織實施相關自律工作，并對簽署單位遵守本公約的情況進行督促檢查。

第十五條  公約簽署單位之間發生爭議時，應從維護國家、行業和用戶利益出發，本著協商原則解決爭議，也可以請求公約執行機構進行調解。

第十六條  公約簽署單位接受社會和簽署單位的監督，對違反本公約的，任何其他單位和個人均有權向公約執行機構進行檢舉，請求公約執行機構進行調查；公約執行機構也可以直接進行調查，并將調查結果公布。

第十七條  公約成員單位違反本公約，造成不良影響，經查證屬實的，由公約執行機構視不同情況給予在內部通報或取消公約簽署單位資格的處理。

第十八條  本公約所有簽署單位均有權對公約執行機構執行本公約的合法性和公正性進行監督，有權向執行機構的主管部門檢舉公約執行機構或其他工作人員違反本公約的行為。

第四章　附則

第十九條  本公約經公約發起單位法定代表人或其委托的代表簽字后生效，并在生效后的30日內由中國互聯網協會委托網絡與信息安全工作委員會向社會公布。

第二十條  本公約生效期間，由公約執行機構發起動議，本公約三分之二以上成員單位同意，可以對本公約進行修訂。

第二十一條  本公約內容與國家有關政策法規和政府主管部門規定不一致的，從其規定。

第二十二條  相關單位接受本公約的自律規則，均可以申請加入本公約；本公約成員單位也可以退出本公約，并通知公約執行機構；公約執行機構定期公布加入及退出本公約的單位名單。

第二十三條  本公約由中國互聯網協會網絡與信息安全工作委員會負責解釋。

第二十四條  本公約自公布之日起施行。