本文首发于微信公众号“云端数据IP法律观察”(ID:YDdatalaw)
1.前言
6月18日,工信部公布《网络安全漏洞管理规定(征求意见稿)》(下称《征求意见稿》),并向社会公开征求意见至2019年7月18日。
《征求意见稿》作为《网络安全法》的配套法规,其目的在于对《网络安全法》第二十二条、二十五条、二十六条中关于网络安全漏洞(以下简称漏洞)报告和信息发布等行为进行细化规定,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平。
在《网络安全法》发布之前,我国对于漏洞的报告与发布一直都未作出明确的规定,作为第三方漏洞发布平台的“乌云网”也一直游走于法律的灰色地带。而本次《征求意见稿》的发布意在对第三方漏洞发布组织的漏洞发布与报告行为作出更为明确的规定。
所以本文将以“乌云网”的关闭为视角,对《征求意见稿》作出解读。
2.“乌云网”介绍
“乌云网”是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏洞报告。
在2016年7月20日凌晨,随着“乌云网”的创始人之一“方小顿”被逮捕,“乌云网”暂时关闭,直至截稿之日仍未重新开放。
3.“乌云网”如何发现漏洞?
“乌云网”发现漏洞的方式主要是通过其平台的“白帽子”黑客(注:在IT界,“白帽子”指的是正面黑客,他们发现系统安全漏洞,不会恶意去利用,而是公布漏洞,让网络运营者提前修补漏洞。)对某网站或服务器的渗透测试从而发现网络产品、服