自2017年6月1日《网络安全法》实施以来,与其相关的执法行为逐渐走向常态。小编为您盘点了几起较为典型的案件,进一步解读《网络安全法》。
一、腾讯新浪微博等未尽到管理义务 违反《网络安全法》被重罚
腾讯、新浪微博、百度贴吧因违反《网络安全法》遭属地网信办重罚。广东网信办对腾讯公司作出最高罚款的处罚决定;北京网信办对新浪微博作出最高罚款的处罚决定,对百度贴吧作出从重罚款的处罚决定。
2017年8月11日,广东省网信办对腾讯公司微信公众号平台存在用户传播暴力恐怖、虚假信息、淫秽色情等危害国家安全、公共安全、社会秩序的信息问题依法展开立案调查。经查,腾讯公司对其微信公众号平台用户发布的有关法律法规禁止发布的信息未尽到管理义务,其行为违反《网络安全法》第四十七条之规定。根据《网络安全法》第六十八条规定,广东省网信办对腾讯公司作出最高罚款的处罚决定。
近期,北京市网信办依据《网络安全法》就新浪微博对其用户发布传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”未尽到管理义务以及百度贴吧对其用户发布传播“淫秽色情信息、暴力恐怖信息帖文及相关评论信息”未尽到管理义务的违法行为,分别作出行政处罚。
法律依据:《网络安全法》第47条、第68条。
处罚行为:腾讯公司微信公众号平台存在用户传播暴力恐怖、虚假信息、淫秽色情等危害国家安全、公共安全、社会秩序的信息;新浪微博对其用户发布传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”未尽到管理义务;百度贴吧对其用户发布传播“淫秽色情信息、暴力恐怖信息帖文及相关评论信息”未尽到管理义务。
二、四川一网站因未落实网络安全保护制度,存在高危漏洞遭入侵被罚
2017年7月22日,宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据《网络安全法》第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
法律依据:《网络安全法》第21条、第59条。
处罚行为:未落实网络安全等级保护制度,未履行网络安全保护义务
三、宿迁网警成功查处全省首例违反《网络安全法》接入违规网站案
江苏宿迁市华睿科技有限公司服务器内接入一违法网站被民警发现,民警经勘验取证后,立即传唤该公司法人代表王某,要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录,并根据《网络安全法》规定,给予上述公司警告处罚并要求其立即整改到位。
法律依据:《网络安全法》第47、第68条:
处罚行为:提供互联网接入服务的服务器内存在涉及法律、行政法规禁止传输的信息。
《网络安全法》相关法律条款原文及解读:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
解读:本条规定了网络运营者必须履行的义务之一。和“等级安全保护制度”相关。重点在于:
1)确定网络安全责任人,以落实保护责任。这里需要注意的是作为责任人,相应的承担着法律责任。
2)技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品:云盾、WAF等)
3)采用数据库审计、网络审计等手段,采集并记录、分析日志,日志留存不少于六个月。(建议采用专门的安全审计产品:数据库监控与审计系统、网络日志审计系统)
4)在数据安全方面,再次强调了数据分类和数据加密;数据分类的重点是能够帮助责任人自动的识别发现系统中的个人敏感信息和行业敏感信息,和这些信息存储的位置、数据库表和字段,以确定需要保护的内容;数据加密则一直以来就是个难点,其中的关键是在满足保密性的同时还要满足可用性,比较理想的技术手段是“透明数据加密(TDE)”。(建议采用专门的数据加密产品:数据库透明加解密(TDE)系统)
特别提醒:网络运营者和安全责任人:不履行本条义务的,要承担法律责任。
第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
解读:本条款规定了承担对违法信息传播的阻断义务,是网络运营者必须履行的义务之一。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
解读:一是网络运营者是保障网络运行的第一责任人。
1、要求按照网络安全等级保护制定的要求,采取及时措施和其它必要措施,维护网络运行安全。
2、及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险,制定网络安全事件应急预案,并在发生网络安全事件时立即启动应急预案,采取补救措施并向有关主管部门报告。
二是规定处罚措施。网络运营者不履行本法第二十一条、二十五条规定的处罚措施:责令改正、警告、罚款(双罚制:网络运营者及直接负责的主管人员)。对关键信息基础设施运营者及其负责人员的处罚重于一般的网络运营者,由有关主管部门责令改正、给予警告,对拒不改正或者造成危害网络安全等后果的,对运营者和直接负责的主管人员处罚。
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
閱讀更多 玉溪網警巡查執法 的文章
