醉翁之意在「安全」? 中國新法條要求所有發現的 0-Day 及重要漏洞兩天內通報政府

- 軒仔 - 2021-07-19

近日,中國互聯網信息辦公室 (CAC) 發佈新的披露規定,當中要求何發現電腦系統、網絡產品中的重大漏洞的安全研究人員,必須在提交報告兩天內向政府相關部份披露這些漏洞。

當中的第四條指出,禁止任何組織或個人,利用這些安全漏洞從事危害網絡安全的活動,且不得非法收集、出售、發佈網絡產品安全漏洞訊息。除此之外,新規定還禁止將漏洞披露給產品製造商以外的「境外組織或個人」,而於公佈漏洞應同時發佈修復或預防措施。另外第九條第三則指出,不得故意誇大安全漏洞的危害及風險,不得利用這些漏洞進行惡意炒作或詐騙、敲詐勒索等違法犯罪活動。

從是次的新規定的字義看來,主要目的是維護國家網絡安全及重要網絡系統的安全與穩定。