用户协议

本用户协议(以下称为“本协议”)是上海携程商务有限公司(以下简称“我们”)与登陆、使用携程旅行网安全应急响应中心(Ctrip Security Response Center,CSRC)用户(以下称为“您“)签订的具有约束力的法律文书。

在成为CSRC用户前,请您务必仔细阅读并透彻理解本协议。如对本协议内容有任何疑问,您可向CSRC进行咨询。 如果您不同意本协议或其中任何内容,您应立即停止使用CSRC网站。如果您选择“同意”并继续使用、登陆、浏览CSRC网站(以下简称“本网站”),您的使用行为将被视为对本协议全部内容的认可。

您承诺遵守中华人民共和国法律、法规、规章及其他政府规范性文件的规定,如有违反而造成任何法律后果,您将独立承担所有相应的法律责任。

一、漏洞提交

1.1 通过CSRC平台收集的漏洞是您以研究为目的测试携程旅行网漏洞过程中发现的漏洞。

1.2 在您同意遵守CSRC公告的漏洞收集规则的前提下,我们授权您在不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞。

1.3 对于您向CSRC提交的漏洞,您需要保证研究漏洞的方法、方式、工具及手段的合法性,CSRC对此不承担任何法律责任。

1.4 您同意必须基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。

1.5 您不得为任何非法目的而使用漏洞及漏洞提供的相关信息和CSRC网站的信息,具体地,您不得从事以下活动:

未经允许,对侵入计算机信息网络、干扰网络正常功能、窃取网络数据等;

未经允许,对计算机信息网络功能进行删除、修改或者增加的;

未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具的;

提供技术支持、广告推广、支付结算等帮助危害网络安全的;

其他危害计算机信息网络安全的行为。

如您违反上述行为,我们有权采取注销您的账户等措施,如因您上述行为给我们造成损失的,您应予赔偿。

二、用户守则

2.1 您保证不会利用技术或其他手段破坏、扰乱CSRC网站及影响其他用户使用CSRC网站。

2.2 您应尊重CSRC网站相关知识产权和其他合法权利,并保证在发生侵犯上述权益的违法事件时尽力保护权利所有人免于因该等事件受到影响或损失。

2.3 您使用CSRC网站时将遵从中华人民共和国国家、地方法律法规、行业惯例和社会公共道德,不会利用CSRC网站及相关服务进行存储、发布、传播如下信息和内容:

违反中华人民共和国国家法律法规政策的任何内容(信息);

违反中华人民共和国国家规定的政治宣传或新闻信息;

涉及中华人民共和国国家秘密或安全的信息;

封建迷信或淫秽、色情、下流的信息或教唆犯罪的信息;

博彩有奖、赌博游戏;

违反中华人民共和国国家民族和宗教政策的信息;

妨碍互联网运行安全的信息;

侵害他人合法权益的信息或其他有损于社会秩序、社会治安、公共道德的信息或内容。

2.4 您同时承诺不得为他人发布上述不符合中华人民共和国国家规定或本协议条款约定的信息内容提供任何便利,包括但不限于设置URL链接等。

三、责任范围及责任限制

3.1 我们仅对本协议条款中列明的责任承担范围负责。

3.2 在法律允许的情况下,我们对于与本协议条款有关或由本协议条款引起的任何间接的、惩罚性的损失,不论是如何产生的,也不论是由对本协议条款的违约、还是由侵权造成的,均不负有任何责任,即使事先已被告知此等损失的可能性。

四、商标和知识产权的保护

4.1 除第三方产品或服务外,CSRC本网站上所有内容,包括但不限于著作、图片、资讯、架构、页面设计等相关知识产权(包括但不限于商标权、专利权、著作权、商业秘密等),均为我们或我们的关联公司所有。

4.2 非经我们或我们的关联公司实现书面同意,您不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表对应的知识产权。如侵犯知识产权,您应承担损害赔偿责任。

五、个人隐私保护

5.1 我们非常重视保护您的本网站账号及密码、通讯地址等个人信息,未经您同意,我们不会将其披露给无关的第三方,更不会将其公之于众,但因下列原因而披露给第三方的除外:

基于中华人民共和国国家法律法规的规定而对外披露;

应中华人民共和国国家司法机关及其他有关机关基于法定程序的要求而披露;

在紧急情况,为保护其他用户及第三方人身安全而披露;

经您本人同意或应您的要求而披露。

5.2 我们将使用各种安全技术和程序防止您及其他用户个人信息的丢失、不当使用、未经授权阅览或披露。但您充分理解到:由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全。

六、通知送达与变更

6.1 您理解并同意,我们可依据自行判断,通过网页公告、您提供的电子邮件或手机等通讯方式向您发出通知;上述通知于发送之日视为送达。

6.2 您同意,我们有权对本协议的内容进行变更,并以消息或邮件、网页公告等方式予以通知;若您在本协议内容公告变更后继续使用CSRC网站的,表示您已充分阅读、理解并接受修改后的内容,也将遵循修改后的条款内容;若您不同意修改后的协议,您应立即停止使用、登陆、浏览CSRC网站。

七、法律适用与管辖

7.1本协议条款由本协议条款与本网站公示的各项规则组成,特别是关于漏洞收集的规则。本协议条款部分内容被有管辖权的法院认定为违法的,不因此影响其他内容的效力。

7.2本协议条款之效力、解释、变更、执行与争议解决均适用中华人民共和国法律。因本协议条款产生之争议,均应依照中华人民共和国法律予以处理,并提交上海市长宁区人民法院审判。

八、其他

8.1 在您完成注册程序或以其他允许的操作时,您确认您是具备完全民事权利能力和完全民事行为能力的自然人、法人或其他组织(以下统称为“法律主体”)。

8.2 您有责任妥善保管用于登陆本网站服务的用户名、登录密码或验证码等信息保密。您确认,登录后的一切行为均代表您本人意志,并由您本人承担相应的法律后果。

8.3 您了解并同意,必要时我们可能要求您完成账户的实名认证;同时,可能要求您提供更多的身份资料和信息,做进一步的身份认证或资格验证。

8.4 您应当准确填写并及时更新您的联系信息(例如,电子邮件地址、联系电话、联系地址等联系信息),以便我们与您进行有效联系,因通过这些联系方式无法与您取得联系,导致您所产生任何损失或后果的,由您全部承担。

8.5 您理解并同意,我们有权按照中华人民共和国国家司法、行政、安全等机关的要求对个人信息等进行查询、披露。

8.6 我们保留在您违反中华人民共和国国家、地方法律法规规定或违反本协议条款的情况下,中止、终止、注销您在CSRC登陆的权利。您同意并授权我们,如您在CSRC网站有欺诈、侵犯他人合法权益或其他严重违法行为,您的账户信息可能被注销。

English

携程安全应急响应中心

网络安全法普法活动公告

公告编号:

公告来源:CSRC

发布日期:2017-06-01


《中华人民共和国网络安全法》(简称 “网络安全法”)将于2017年6月1日正式实施。《中华人民共和国网络安全法》不仅对网络运营者提出了要求,也对网络安全从业者提出了要求。根据《中华人民共和国网络安全法》规定,现在普遍的白帽子安全测试行为存在着较大的操作过失风险。


正文

       为了帮助白帽子认识到网络安全法的重要性,更好地保障白帽子的权益以及保护白帽子,携程安全应急响应中心(简称CSRC)360安全应急响应中心、爱奇艺安全应急响应中心、滴滴出行安全应急响应中心、、饿了么安全应急响应中心、京东安全应急响应中心、竞技世界安全应急响应中心、联想安全应急响应中心、美丽联合集团安全应急响应中心、陌陌安全应急响应中心、同程安全应急响应中心、途牛安全应急响应中心、网易安全应急响应中心、小米安全中心,微博安全应急响应中心、宜人贷安全应急响应中心、猪八戒网安全应急响应中心、补天漏洞响应平台等多家企业安全应急响应中心(排名不分先后,后简称为 “SRC联盟”联合发起白帽子的网络安全法普法活动。


《中华人民共和国网络安全法》的地址是:

http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm


       其中,需要白帽子特别关注的法律条文如下:

       第十二条  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

       任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

       第十八条  国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。

       第二十条  国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

       第二十六条  开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

       第二十七条  任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

       第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

       第四十六条  任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

       第四十八条  任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。

电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

       第六十二条  违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

       第六十三条  违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

       单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

       违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

       第七十四条  违反本法规定,给他人造成损害的,依法承担民事责任。

违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

       第七十五条  境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

       除以上法律条文外,SRC联盟”呼吁每一位白帽子仔细研读《中华人民共和国网络安全法》,避免在帮助企业进行网络安全检测时因为操作失误造成不必要的风险,也尽量避免进行容易引起误会的操作。SRC联盟”也会尽力维护白帽子的合法权益。

       6月1日,SRC联盟”各成员还将共同上线适用于各企业的用户提交漏洞协议,协议主要内容包括白帽子承诺在对企业进行网络安全检测时不能影响被检测的系统正常运行,不危害系统与平台的数据安全;告知白帽子不规范的行为可能存在的法律风险等。所有参与了漏洞提交的用户均需要同意协议方可继续进行漏洞提交。

       《中华人民共和国网络安全法》是我国第一部网络安全的专门性综合性立法,将给网络安全行业带来新的机遇,希望广大白帽子支持网络安全法普法活动,与SRC联盟”携手建设更安全的互联网。



推荐文章: 1.5倍积分回馈活动   阅读量:7443