12月22日,有媒体报道称,作为工信部网络安全威胁信息共享平台合作单位,阿里云公司由于发现阿帕奇组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,被工信部暂停作为合作单位6个月。暂停期满后,工信部将根据阿里云公司整改情况,研究恢复其上述合作单位。
从新闻来看,阿里云公司是因为未及时向工信部报告安全漏洞情况,才被叫停合作的。那么,这种未报告的行为性质到底什么呢?是违法行为吗?晓律今天就和大家来说说。
今年7月,工业和信息化部、国家互联网信息办公室、公安部联合印发了《网络产品安全漏洞管理规定》,自9月1日正式施行。主要目的是维护国家网络安全,规范漏洞发现、报告、修补和发布等行为,管理对象是网络产品(含硬件、软件)的提供者、网络运营者以及从事网络安全漏洞发现、收集、发布等活动的组织或个人。作为工信部网络安全威胁信息共享平台合作单位,属于网络产品提供者,是这部《规定》的管理对象,因此有义务就发现的安全漏洞及时向工信部报告。
《规定》第七条第二款还对网络产品提供者提出了漏洞报送的具体时限要求,即应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。同时,我国《网络安全法》第22条第1款也规定了, 网络产品、服务的提供者如果发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。可见,阿里云此次未向主管部门报告网络安全漏洞的行为,确实是违法了。
那么对于这样的违法行为,应该予以怎样的处罚呢?《网络产品安全漏洞管理规定》第22条则明确规定,网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;如果构成《网络安全法》第六十条规定情形的,还将被处以警告,并处最低5万元,最高五十万元的罚款,同时,对直接负责的主管人员还要处一万元以上十万元以下罚款。所以说,此次工信部宣布暂停与阿里云合作6个月,并视阿里云整改情况决定是否恢复合作,是依法办事的体现,彰显了国家机关维护国家网络安全的决心。
如今,网络空间逐步成为世界主要国家展开竞争和战略博弈的新领域。《网络安全法》的出台具有重大意义,它是我国第一部网络安全的专门性综合性立法,是我们维护国家网络主权的法律依据。而《网络产品安全漏洞管理规定》则进一步对网络产品和服务提供者的安全义务有了更加细化的规定,强化了安全审查和报告制度。这些法律和规定,使得所有网络行为都有法可依,有法必依,任何触碰法律底线的行为都将受到法律的制裁。
用户评论