补天漏洞响应平台

“网络安全法普法活动”公告

发布时间:2017-06-01 14:04:52

  《中华人民共和国网络安全法》(简称 “《网络安全法》”)将于2017年6月1日正式实施。《中华人民共和国网络安全法》不仅对网络运营者提出了要求,也对网络安全从业者提出了要求。根据《中华人民共和国网络安全法》的规定,现在“白帽子”的安全测试行为普遍存在着较大的操作过失风险。

为了帮助“白帽子”认识到《网络安全法》的重要性,更好地保障“白帽子”的权益以及保护“白帽子”,现由补天漏洞响应平台、360安全应急响应中心、爱奇艺安全应急响应中心、滴滴出行安全应急响应中心、饿了么安全应急响应中心、京东安全应急响应中心、竞技世界安全应急响应中心、联想安全应急响应中心、美丽联合集团安全应急响应中心、陌陌安全应急响应中心、同程安全应急响应中心、途牛安全应急响应中心、网易安全应急响应中心、小米安全中心、携程安全应急响应中心、微博安全应急响应中心、宜人贷安全应急响应中心、猪八戒网安全应急响应中心等多家企业安全应急响应中心(排名不分先后,下称“SRC联盟”)联合发起针对“白帽子”安全测试行为的“网络安全法普法活动”。

《中华人民共和国网络安全法》的浏览网址是:http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

其中,需要“白帽子”特别关注的法律条文如下:

第十二条  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十八条  国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。

第二十条  国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

第二十六条  开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

第二十七条  任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第四十六条  任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

第四十八条  任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。

电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

第六十二条  违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条  违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

第七十四条  违反本法规定,给他人造成损害的,依法承担民事责任。

违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第七十五条  境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

除以上法律条文外,“SRC联盟”呼吁每一位“白帽子”仔细研读《中华人民共和国网络安全法》,避免在帮助企业进行网络安全检测时因为操作失误造成不必要的风险,也尽量避免进行容易引起误会的操作。“SRC联盟”也会尽力维护“白帽子”的合法权益。

6月1日,“SRC联盟”各成员还将共同上线适用于各企业的《用户提交漏洞协议》(简称“协议”),协议主要内容包括“白帽子”承诺在对企业进行网络安全检测时不能影响被检测系统的正常运行、不危害系统与平台的数据安全,告知“白帽子”不规范的行为可能存在的法律风险等。所有参与了漏洞提交的用户均需要同意协议方可继续进行漏洞提交。《中华人民共和国网络安全法》是我国第一部网络安全领域的专门性综合性法律,将给网络安全行业带来新的机遇,希望广大“白帽子”支持“网络安全法普法活动”,与“SRC联盟”携手建设更安全的互联网。