2015年6月19日，國內32家單位在北京共同簽署了《中國互聯網協會漏洞信息披露和處置自律公約》（以下簡稱公約），這是首次以行業自律的方式共同規范漏洞信息的接收、處置和發布方面的行為。此次漏洞公約簽約儀式由工業和信息化部網絡安全管理局、中國互聯網協會指導，中國互聯網協會網絡與信息安全工作委員會（秘書處設在國家互聯網應急中心，CNCERT）主辦。

隨著互聯網的迅速發展和普及，網絡安全事件日益增多,其中信息系統存在高危漏洞已經成為誘發網絡安全事件的重要因素。例如，近年來媒體不斷披露的網站數據和用戶信息泄露事件大多是由于信息系統存在漏洞造成的。根據國家信息安全漏洞共享平臺（CNVD）收錄的情況，近三年來新增通用軟硬件漏洞的數量年均增長20%左右，漏洞數量呈現現快速增長趨勢。關鍵基礎設施和重要信息系統存在漏洞會帶來極大的安全隱患，一旦被黑客利用，不僅可能威脅到網絡數據和用戶個人信息的安全，甚至可能會危害整個信息系統的安全運行。

近幾年，國內民間漏洞平臺開始出現并迅速發展，對于調動社會力量發現漏洞隱患，及時提醒和督促漏洞所屬單位修補漏洞、防范風險，避免漏洞信息地下擴散等具有積極的意義。為發揮這些漏洞平臺的積極作用，工業和信息化部指導CNCERT與烏云、補天、漏洞盒子等多家民間漏洞平臺建立了工作聯系，重點處置涉及黨政機關、重要行業單位的漏洞信息。CNCERT近三年從各漏洞平臺上接收和處置的涉及黨政機關、重要行業單位漏洞信息超過1.3萬起，及時協助相關單位排除了安全隱患。但是，民間漏洞平臺在發揮積極作用的同時，在漏洞披露方面也帶來一些問題。例如：披露漏洞之前未及時通知涉事單位、披露信息過于詳細容易被黑客組織利用、漏洞信息描述不準確或漏洞披露信息夸大造成社會恐慌等等，對漏洞信息的披露亟待進一步規范。同時，對漏洞的處置也有待各方共同努力，提高應急響應和處置效率，降低漏洞對黨政機關、行業單位和用戶的造成的威脅和經濟損失。

為依法維護國家、企業和社會公眾互聯網安全權益，保障政府和重要信息系統部門信息系統安全，進一步規范國內外漏洞平臺、相關廠商、信息系統管理方以及CNCERT在漏洞信息接收、處置和發布方面的行為，遵照“趨利避害、有效管理、積極引導”的基本方針，中國互聯網協會網絡與信息安全工作委員會在廣泛征求相關黨政機關部門和行業單位意見的基礎上，牽頭制定了公約。公約規定了CNCERT、漏洞報告平臺以及軟硬件生產廠商、信息系統管理方在漏洞披露和處置方面的責任和自律條款，提出漏洞信息披露的“客觀、適時、適度”三原則，同時要求各方加強協同配合，積極做好漏洞的驗證、評估、修復和用戶的主動響應工作。公約強調要遵守國家政策和法律法規，重點做好涉及政府和重要信息系統部門的漏洞披露和處置工作，同時也要積極保障用戶的漏洞知情權和安全利益。公約倡議舉報和反對通過黑客地下產業購買、交易漏洞的行為，反對非法侵入或破壞他人信息系統，共同防范和抵制漏洞信息的不當傳播。

工業和信息化部網絡安全管理局副局長李學林在簽約儀式上致辭。李學林指出，對漏洞信息的管理，既需要政府主管部門加強監督，同時也要發揮行業自律的作用。在當前有關法律法規還不健全的情況下，本次由中國互聯網協會網絡與信息安全工作委員會牽頭制定的漏洞信息披露和處置自律公約，可進一步發揮漏洞平臺、軟硬件廠商、信息系統管理方和CNCERT的協同作用，對于加強漏洞信息管理，保障國家、行業和用戶的網絡安全利益具有重要的現實意義。他希望參與簽署自律公約的相關單位，能嚴格落實公約要求，在實踐中不斷完善公約內容，更好地服從和服務于國家網絡安全工作的需要，為營造安全有序的網絡環境做出積極的貢獻。

工業和信息化部、人力資源和社會保障部、水利部、銀監會、證監會、國家能源局等政府部門單位以及銀行、電信運營商、非經營性互聯單位、民間漏洞報告平臺、互聯網企業、安全企業、軟硬件廠商等近40家單位出席本次簽約儀式。