北汽车联网产品安全漏洞管理
北汽车联网产品安全漏洞管理
在您提交漏洞信息之前,保证您测试提交漏洞的真实性,保证是您本人测试出结果并且提交,不侵犯他人测试成果。除此之外您还需要通过勾选确认的形式在线签署本《保密承诺函》,请您务必认真阅读、充分理解条款内容后再勾选确认(尤其是以粗体显示并有下划线的条款,请重点阅读)。
请您注意,如果您不同意下列条款内容,请您不要勾选确认,也请不要上传任何漏洞信息。如您勾选确认即表示您已认真阅读、充分理解本《保密承诺函》,也表明您同意按照下列条款要求履行保密义务。具体承诺内容如下:
1、根据《网络产品安全漏洞管理规定》您应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(1)不得在北京汽车集团有限公司及其下属分、子公司(以下简称“北汽”)提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与北汽共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(2)不得发布北汽在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(3)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(4)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(5)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(6)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(7)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(8)法律法规的其他相关规定。
2、本《保密承诺函》中“保密信息”应指:您所获知、已经提交或即将提交的北汽及其关联公司向您披露的全部信息,包括但不限于:(1)您所了解的与本《保密承诺函》内容或北汽有关的,未被公众知晓的任何商务、技术等数据或信息,包括但不限于:计算机软件、源代码、运算法则、技术方案、方法、配方、流程、指标、数据库、研究开发记录、技术报告、检测报告、操作手册、技术文档、相关的函电以及其他技术、商业、财务和产品发展计划、预算、策略等相关的信息; (2)已经、即将向北汽报告、提交的安全漏洞相关信息,包括但不限于安全漏洞名称、安全漏洞类型、安全漏洞危害级别、安全漏洞发现步骤、安全漏洞说明、漏洞证明截图或视频等信息。
上述您所获知、已经提交或即将提交的任何商业、营销、技术、运营数据或其他性质的资料或信息,无论以何种形式或载于何种载体,无论在披露时是否以口头、图像或以书面方式表明,均属于保密信息范围。
3、您同意对上述保密信息承担保密义务,包括但不限于:(1)不以任何方式向公众或向任何第三方披露此等保密信息;(2)未经北汽书面同意不得在任何情形下使用此等保密信息;(3)采取一切合理保密措施和制度,妥善保管该保密信息;(4)不以任何身份以及任何方式对本《保密承诺函》所涉及的安全漏洞信息进行公开或者不公开的评论;(5)不得对保密信息进行复制(包括但不限于书面文件、电子文档、磁盘、CD、电子信息数据或其他任何形式)、反编译、逆向工程、试图破译源代码以及其他潜在信息。如您无法确认某些信息是否为保密信息,您亦应将这些信息作为保密信息进行保护。
4、本《保密承诺函》项下保密义务直至北汽公开保密信息之日止。
5、如果上述保密信息在未经北汽书面同意而被泄露和使用,或您有上述违反保密义务的行为,请您立即书面通知北汽,并协助我们收回保密信息,减少保密信息扩散风险。
6、未经北汽书面同意,您不得针对本《保密承诺函》内容或以北汽名义对外发表言论或进行宣传,且不得对外使用北汽名义、LOGO、商标等内容,否则应向北汽造成的损失,承担足额的赔偿责任并消除影响。
7、您在此确认如违反上述保密义务都将给北汽造成不可挽回的损失和重大的侵害。除所有法定的赔偿外,北汽将有权基于合理的判断而对任何实际或可能发生的违反本《保密承诺函》的行为,向有管辖权人民法院申请禁止令或适当的救济。您同意就违约行为或强制性义务或未经授权使用或披露保密信息行为而对北汽可能受到的全部损失、侵害(包括但不限于律师费用),承担足额的赔偿责任。
8、本《保密承诺函》受中国法律管辖并按中国法律解释。对因本《保密承诺函》项下各方的权利和义务而发生的有关的任何争议,双方应友好协商;协商不成的,均提请北京仲裁委员会按照其仲裁规则进行仲裁。仲裁裁决是终局的,对双方均有约束力。