《网络安全法》执法案例汇总简析与合规建议
自2017年6月1日正式实施以来,《网络安全法》(以下称“《网安法》”)已经生效一年有余。《网安法》顺应了国家网络空间安全战略的要求,是我国进行网络空间安全管理的基本法律,也是进行网络安全执法的主要依据,其将网络运营者作为主要的规制对象,对网络运营者的义务和责任提出了明确的要求。《网安法》还确立了一系列制度体系,如网络安全等级保护制度、网络信息内容管理制度、关键信息基础设施安全保护制度、个人信息和重要数据出境制度、个人信息保护制度、网络产品和服务管理制度、网络安全事件应急制度等。
在《网安法》所确立的制度体系的基础上,国家互联网信息办公室(以下称“国家网信办”)也会同国家各部委制定了诸多配套法规,为网络运营者落实相关制度提供了依据和方法,明确了责任承担和监管方式。此外,全国信息安全标准化技术委员会(以下称“信安标委”)在《网安法》生效的一年多时间内也针对上述制度制定并公布了众多国家标准(正式稿/征求意见稿)。其中,《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)更是顺应了社会公众对个人信息保护的日趋强烈的期盼,为企业个人信息保护合规整改提供了有力的依据。
为保障上述法律法规的有效落实,国家和各地监管部门也进行了一系列的执法及执法检查工作。本文旨在以表格形式归纳总结《网安法》实施一年多以来的相关执法案例,在分析执法情况的基础上明确执法重点和处罚措施,为企业开展网络安全和数据合规工作提供参考。
执法案例一览表
序号 | 处罚内容 | 相关法条 | 法律责任 | 相关案例 |
1 | 未落实网络安全等级保护制度,未履行网络安全保护义务 | 《网安法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 | 《网安法》 第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 | 1、2017年6月,山西沂州市县两级公安机关网安部门对某省直事业单位网站未采取防范网络攻击技术措施,作出警告和责令改正的处罚; 2、2017年7月20日,广东汕头网警支队对市内某信息科技有限公司三级以上系统未按规定进行网络安全等级测评,作出警告和责令改正的处罚; 3、2017年7月22日,四川宜宾市网安部门对宜宾市翠屏区“教师发展平台”网站未进行定级备案、等级测评造成黑客入侵,作出对直接负责主管人员罚款5000元,对机构罚款10000元的处罚; 4、2017年8月1日,重庆公安局网安总队对市内某科技发展公司未依法留存用户登录相关网络日志,作出警告和责令改正的处罚; 5、2017年8月12日,安徽省公安厅网络安全保卫总队、蚌埠公安局网安支队对怀远县教师进修学校网站未进行网络安全等级备案、等级测评,约谈学校法定代表人、分管县长,对直接负责主管人员罚款5000元,对机构处以15000元罚款; 6、2017年8月30日,哈尔滨市公安局网安支队对方正县农业技术推广中心设立的“方正农业社会化服务平台”未落实网络安全等级保护制度,存在高危漏洞并被黑客入侵后果,作出责令整改,并处罚款20000元的处罚; 7、2017年9月28日,淮南市公安局网安支队对淮南职业技术学院未建立网络安全等级保护制度致使系统储存的四千多名学生身份信息泄露事件,作出警告和责令改正的处罚; 8、2017年10月17日,合肥市高新派出所对区内一家单位的门户网站未落实网络安全保护责任,作出警告和责令改正的处罚; 9、2017年12月12日,长沙市公安局网警支队、浏阳市公安局网安支队对浏阳市烟花爆竹总会网站系统未落实网络安全等级保护义务,作出警告、责令改正的处罚; 10、2018年3月26日,株洲市、区公安网安部门对某教育科技有限公司未落实网络安全等级保护支队,约谈法人代表及网站系统管理员,作出警告并责令改正的处罚。 |
2 | 未履行个人信息保护义务 | 《网安法》 第二十二条 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第四十一、四十二、四十三条关于个人信息的收集、使用、共享的规定 | 《网安法》 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 | 1、2018年1月10日,国家网信办网络安全协调局对媒体报道的“支付宝年度账单事件”,约谈支付宝、芝麻信用有关负责人,要求加强专项整顿; 2、2018年1月11日,工业和信息化部信息通信管理局针对相关手机应用软件存在侵犯用户个人隐私的问题,对百度、支付宝、今日头条进行了约谈,要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。 |
3 | 未落实真实身份信息认证 | 《网安法》 第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 | 《网安法》 第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 1、2017年8月9日,北京、天津两市网信办对BOSS直聘网站发布违法违规信息、用户管理出现重大疏漏问题,依法约谈其法人,责令立即整改; 2、2017年8月17日,浙江省网信办对虾米音乐网存在违法违规账号注册等问题,作出暂停新用户注册7天的处罚; 3、2017年9月,广东省通信管理局对深圳市三人网络科技有限公司未要求用户提供真实身份信息提供网络电话服务,存在被利用于从事信息通信诈骗活动的安全隐患的问题,作出责令该公司立即整改,罚款五万元,停业整顿,关闭网站的处罚; 4、2017年9月,广东省通信管理局对阿里云计算有限公司为用户提供网络接入服务未落实真实身份信息登记和网站备案相关要求的问题,责令该公司立即整改,切实落实网站备案真实性核验要求; |
4 | 未履行网络信息内容审核义务 | 《网安法》 第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。 | 《网安法》 第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 1、2017年8月11日,广东省网信办对腾讯公司微信公众号平台存在用户传播暴力恐怖、虚假信息、淫秽色情等危害国家安全、公共安全、社会秩序的信息问题,作出最高罚款的处罚决定; 2、2017年8月17日,北京市网信办、规划国土委对58同城、赶集网、百度等网站违法违规发布“大棚房”租售信息的行为,下达了行政执法检查记录,责令网站落实整改; 3、2017年8月17日,浙江网信办对同花顺金融网、配音秀网存在导向不正、低俗恶搞等有害信息进行行政处罚,作出责令全面开展专项检查、暂停有关系统运行,严肃追究有关人员责任的处罚; 4、2017年9月,广东省通信管理局对广州荔支网络技术有限公司发现用户利用其平台发布和传播违法有害信息未立即停止传输,防止信息扩散,保存有关记录并向主管部门报告的问题,作出警告和责令立即整改的处罚,要求该公司切实落实信息服务管理责任; 5、2017年9月25日,北京市网信办就新浪微博对其用户发布传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”未尽到管理义务以及百度贴吧对其用户发布传播“淫秽色情信息、暴力恐怖信息帖文及相关评论信息”未尽到管理义务的违法行为,分别对新浪微博作出最高罚款的处罚决定,对百度贴吧作出从重罚款的处罚决定。 6、2017年10月15日,天津市网信办与河北区网信办依法约谈龙之声(天津)科技发展有限公司法人,对龙之声网疏于管理、未严格执行有关规定,导致网站注册用户长期发布违法违规信息的情形提出严厉批评,并责令其立即整改。 7、2017年11月14日,荔城警方网安大队对福建某文化传媒有限公司旗下的“莆田某论坛”出现大量违规信息的问题,作出警告和责令立即改正的处罚; 8、2017年11月17日,咸阳市网信办对微信公众号“直播咸阳”“掌上咸阳”“乾县逗事”“微淳化”发布的虚假不实信息的问题,对“直播咸阳”“掌上咸阳”进行了约谈并作出了停止更新10天、限期整改的处理,若整改不力或出现反复,将依法依规进一步严肃查处,同时责成乾县、淳化网信部门分别对微信公号“乾县逗事”“微淳化”实施约谈,作出了停止更新7天、限期整改等相应处理,待整改完毕、经网信部门验收合格后方可恢复运营的处理; 9、2017年12月29日,北京市网信办对今日头条、凤凰新闻客户端持续传播色情低俗信息,违规提供互联网新闻信息服务等问题,分别约谈两家企业负责人,责令立即停止违法违规行为,深入自查自纠,全面清理违规内容,杜绝类似情况再次发生; 10、2018年1月11日,上海市网信办对万豪国际集团在中文版会员邮件和APP注册页面将港澳台和西藏列为“国家”的行为,责令万豪国际集团从当日18时起将官方中文网站、中文版APP自行关闭一周,开展全面自查整改,彻底清理违法违规信息,及时向社会公布事件调查结果和处置情况; 11、2018年1月12日,上海市网信办对zara、美敦力官网中将台湾成为“国家”的情况,向上述网站的运营主体发出《互联网站整改通知书》,责令两家网站立即更改违法违规内容,并于当日18时前刊发致歉声明; 12、2018年1月14日,北京市网信办就“百万赢家”活动将香港、台湾作为国家列入答题问题依法约谈花椒直播相关负责人,责令全面整改; 13、2018年1月27日,国家网信办指导北京市网信办针对新浪微博对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、民族歧视等违法违规有害信息的严重问题约谈该企业负责人,责令其立即自查自纠,全面深入整改; 14、2018年1月31日,国家网信办指导广东省网信办对UC头条持续传播炒作导向错误、低俗色情信息等问题,约谈该企业负责人,责令立即停止违法违规行为,自查自纠,切实整改,全面清理网上违法违规信息,健全信息内容管理长效机制,杜绝类似情况再次发生; 15、2018年4月4日,国家网信办依法约谈“快手”和今日头条旗下“火山小视频”相关负责人,提出严肃批评,责令全面进行整改; 16、2018年5月12日,浙江省网信办会同杭州市网信办就微信公众号“二更食堂”发布低俗文章一事约谈该公众号主要负责人,要求全面清理违规有害信息,严肃处理有关责任人,并限时提交整改报告,同时,“二更食堂”公众号被微信平台封号7天; 17、2018年6月1日,针对“美拍”网络直播短视频平台传播涉未成年人低俗不良信息的问题,国家网信办会同广电总局、文化和旅游部、属地网信办依法依规联合约谈“美拍”相关负责人,提出严肃批评,责令全面整改; 18、2018年6月6日,北京市网信办、市工商局针对抖音在搜狗搜索引擎投放的广告中出现侮辱英烈内容问题,依法联合约谈查处抖音、搜狗,责令网站立即清除相关违法违规内容并进行严肃整改; |
5 | 网络产品和服务不符合法定要求 | 《网安法》 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 | 《网安法》 第六十条 违反本法第二十二条第一款、第二款,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款 | 1、2017年9月19日,广东省通信管理局对广州市动景计算机科技有限公司提供的UC浏览器只能云加速产品服务存在安全缺陷和漏洞风险未能及时全面检测修补的问题,责令其立即整改,采取补救措施,并要求其开展通信网络安全防护风险评估,建立新业务上线前安全评估机制和已上线业务定期核查机制,对已上线网络产品服务进行全面检查,排除安全风险隐患,避免类似事件再次发生。 |
执法案例简析与合规建议
《网安法》的实施为执法活动提供了有力依据,政府机关、事业单位、企业、个人的违法违规的触网行为均可得到有效规制与追责,各地网信办、公安网警部门牵头进行的行政执法活动也日趋频繁化、常态化。纵观执法案例一览表,机关、事业单位、企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审核、网络产品和服务等五个方面。
一、网络安全等级保护
自《网安法》第二十一条确立网络安全等级保护制度以来,相关网络运营者一直对如何具体落实该制度存在疑惑。从执法案例也可看出,企事业单位未能及时落实定级备案、等级测评以及技术保护措施导致系统存在漏洞是遭致行政处罚的主要原因。为细化网络安全等级保护制度的内容,公安部于2018年6月27日发布了《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),其中就网络运营者的安全保护义务进行了详尽的规定。
根据《等保条例》,除《网安法》第二十一条已经明确的内容外,网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评制度。因此,企事业单位应从人员管理、系统硬件、内控等多个方面着手进行合规整改,消除高危漏洞,减少行政执法处罚风险[1]。
二、个人信息保护
个人信息保护一直是各大网络运营者亟待处理的重要合规问题,自南方都市报2017年与《网安法》同时发布1000家常用网站、APP的用户信息保护政策透明度排名至执法案例一览表所列的“支付宝年度账单事件”,个人信息保护无时不刻牵动着社会公众的关注。因此,信安标委的《个人信息安全规范》值得重视,其编号虽显示为国家推荐标准,但在实践中,无论是2017年网信办、工信部、公安部等四部门开展的隐私政策评审工作,还是“支付宝年度账单事件”,监管机关都强调了《个人信息安全规范》的准据效力。
结合执法案例一览表,目前个人信息保护的痛点在于个人信息共享与转让的合规性。根据《个人信息安全规范》,在委托第三方处理个人信息时,除委托行为本身不得超出个人信息主体授权同意的范围之外,个人信息控制者应当开展个人信息安全影响评估[2],并采取合同约定责任义务、审计等方式对受托者进行监督,保证准确记录和保存受托者处理个人信息的情况。同时个人信息控制者应当向个人信息主体告知共享、转让个人信息的目的、数据接收方类型,涉及个人敏感信息的,还应当告知敏感信息的类型、数据接收方的身份和安全能力等,在事先征得个人信息主体明示同意后方可共享或转让[3]。此外,个人信息控制者需准确记录和保存个人信息共享和转让情况,承担因共享、转让个人信息对信息主体合法权益造成损害的法律责任。因并购、重组等发生控制主体变更的,应当单独向个人信息主体告知有关情况[4]。
三、网络信息内容审核
根据执法案例一览表,因未按要求对用户发布的信息进行内容审核而根据《网络安全法》第47条、50条、68条作出的处罚案例数量最多。根据2011年修订的《互联网信息服务管理办法》,其要求互联网信息服务提供者不得发布、传播违法违规信息,否则可由公安或国安机关依照《中华人民共和国治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚[5]。在构建内容审核制度时,网络运营者应从以下两个方面进行完善。
首先,完善信息内容监管反馈机制。网络运营者在日常运营过程中应当构建积极的反馈机制。第一,密切关注行政主管机关的书面通知,强化与行政及网信部门的沟通机制,积极寻求相关部门的意见和指导,加强对相关规章制度的理解;第二,完善用户举报机制,设立便捷的消费者建议与反馈渠道,配备专人责任咨询与投诉的处理,一旦接到通知或举报应当做到主动对所涉的信息内容进行监管和检查,如有违法违规电子信息立即停止提供服务,同时采取技术措施予以消除,必要时进行上报。
其次,落实人员管理培训。对于网络运营者而言,第一,应当加强对其平台发布的信息内容的审核责任,必要时可聘请第三方机构提供协助;第二,应当制定内部安全管理制度及操作规程,确立信息安全负责人,有条件的,可定期对内部从业人员进行网络安全法律教育和培训。
四、网络产品和服务
在部分案例中,网络产品和服务存在安全缺陷和漏洞风险未能及时全面检测修补是造成处罚的主要原因,此外,网络安全风险评估同样不可或缺。
根据2017年6月1日发布的《网络产品和服务安全审查办法(试行)》,网络产品和服务安全审查的主体是国家网信办会同有关部门成立的网络安全审查委员会,由其聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估,其中第三方评价机构由国家依法认定[6]。对于需要进行评价的网络产品和服务以及官方认可的第三方评价机构范围,建议网络运营者参照《网络关键设备和网络安全专用产品目录(第一批)》和《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》的内容,根据自身使用的路由器、交换机、PLC设备、IDS、IPS等不同设备对接相应认证检测机构。安全审查的重点包括:网络产品和服务的安全性、可控性,以及被非法控制、干扰和中断运行的风险;产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险以及其他可能危害国家安全的风险等[7]。
注释:
[1] 《网络安全等级保护条例(征求意见稿)》第20条
[2] 《信息安全技术 个人信息安全影响评估》第8.2 a)
[3] 《信息安全技术 个人信息安全影响评估》第8.2 b)
[4] 《信息安全技术 个人信息安全影响评估》第8.3 a)
[5] 《互联网信息服务管理办法》第二十条
[6] 《网络产品和服务安全审查办法(试行)》第六条
[7] 《网络产品和服务安全审查办法(试行)》第四条
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com