自2017年6月1日《網絡安全法》實施以來,與其相關的執法行為逐漸走向常態。小編為您盤點了幾起較為典型的案件,進一步解讀《網絡安全法》。
一、騰訊新浪微博等未盡到管理義務 違反《網絡安全法》被重罰
騰訊、新浪微博、百度貼吧因違反《網絡安全法》遭屬地網信辦重罰。廣東網信辦對騰訊公司作出最高罰款的處罰決定;北京網信辦對新浪微博作出最高罰款的處罰決定,對百度貼吧作出從重罰款的處罰決定。
2017年8月11日,廣東省網信辦對騰訊公司微信公眾號平臺存在用戶傳播暴力恐怖、虛假信息、淫穢色情等危害國家安全、公共安全、社會秩序的信息問題依法展開立案調查。經查,騰訊公司對其微信公眾號平臺用戶發佈的有關法律法規禁止發佈的信息未盡到管理義務,其行為違反《網絡安全法》第四十七條之規定。根據《網絡安全法》第六十八條規定,廣東省網信辦對騰訊公司作出最高罰款的處罰決定。
近期,北京市網信辦依據《網絡安全法》就新浪微博對其用戶發佈傳播“淫穢色情信息、宣揚民族仇恨信息及相關評論信息”未盡到管理義務以及百度貼吧對其用戶發佈傳播“淫穢色情信息、暴力恐怖信息帖文及相關評論信息”未盡到管理義務的違法行為,分別作出行政處罰。
法律依據:《網絡安全法》第47條、第68條。
處罰行為:騰訊公司微信公眾號平臺存在用戶傳播暴力恐怖、虛假信息、淫穢色情等危害國家安全、公共安全、社會秩序的信息;新浪微博對其用戶發佈傳播“淫穢色情信息、宣揚民族仇恨信息及相關評論信息”未盡到管理義務;百度貼吧對其用戶發佈傳播“淫穢色情信息、暴力恐怖信息帖文及相關評論信息”未盡到管理義務。
二、四川一網站因未落實網絡安全保護制度,存在高危漏洞遭入侵被罰
2017年7月22日,宜賓市翠屏區“教師發展平臺”網站因網絡安全防護工作落實不到位,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網絡安全事件。宜賓網安部門在對事件進行調查時發現,該網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務。根據《網絡安全法》第五十九條第一款之規定,決定給予翠屏區教師培訓與教育研究中心和直接負責的主管人員法定代表唐某某行政處罰決定,對翠屏區教師培訓與教育研究中心處一萬元罰款,對法人代表唐某某處五千元罰款。
法律依據:《網絡安全法》第21條、第59條。
處罰行為:未落實網絡安全等級保護制度,未履行網絡安全保護義務
三、宿遷網警成功查處全省首例違反《網絡安全法》接入違規網站案
江蘇宿遷市華睿科技有限公司服務器內接入一違法網站被民警發現,民警經勘驗取證後,立即傳喚該公司法人代表王某,要求對提供互聯網接入服務的服務器內涉及法律、行政法規禁止傳輸的信息立即予以停止傳輸、採取消除等處置措施並保存有關記錄,並根據《網絡安全法》規定,給予上述公司警告處罰並要求其立即整改到位。
法律依據:《網絡安全法》第47、第68條:
處罰行為:提供互聯網接入服務的服務器內存在涉及法律、行政法規禁止傳輸的信息。
《網絡安全法》相關法律條款原文及解讀:
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
解讀:本條規定了網絡運營者必須履行的義務之一。和“等級安全保護制度”相關。重點在於:
1)確定網絡安全責任人,以落實保護責任。這裡需要注意的是作為責任人,相應的承擔著法律責任。
2)技術層面需要採取防病毒、入侵檢測等手段保護網絡安全。(建議採用專門的網絡安全產品:雲盾、WAF等)
3)採用數據庫審計、網絡審計等手段,採集並記錄、分析日誌,日誌留存不少於六個月。(建議採用專門的安全審計產品:數據庫監控與審計系統、網絡日誌審計系統)
4)在數據安全方面,再次強調了數據分類和數據加密;數據分類的重點是能夠幫助責任人自動的識別發現系統中的個人敏感信息和行業敏感信息,和這些信息存儲的位置、數據庫表和字段,以確定需要保護的內容;數據加密則一直以來就是個難點,其中的關鍵是在滿足保密性的同時還要滿足可用性,比較理想的技術手段是“透明數據加密(TDE)”。(建議採用專門的數據加密產品:數據庫透明加解密(TDE)系統)
特別提醒:網絡運營者和安全責任人:不履行本條義務的,要承擔法律責任。
第四十七條 網絡運營者應當加強對其用戶發佈的信息的管理,發現法律、行政法規禁止發佈或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
解讀:本條款規定了承擔對違法信息傳播的阻斷義務,是網絡運營者必須履行的義務之一。
第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
解讀:一是網絡運營者是保障網絡運行的第一責任人。
1、要求按照網絡安全等級保護制定的要求,採取及時措施和其它必要措施,維護網絡運行安全。
2、及時處置系統漏洞、計算機病毒、網絡攻擊、網絡入侵等安全風險,制定網絡安全事件應急預案,並在發生網絡安全事件時立即啟動應急預案,採取補救措施並向有關主管部門報告。
二是規定處罰措施。網絡運營者不履行本法第二十一條、二十五條規定的處罰措施:責令改正、警告、罰款(雙罰制:網絡運營者及直接負責的主管人員)。對關鍵信息基礎設施運營者及其負責人員的處罰重於一般的網絡運營者,由有關主管部門責令改正、給予警告,對拒不改正或者造成危害網絡安全等後果的,對運營者和直接負責的主管人員處罰。
第六十八條 網絡運營者違反本法第四十七條規定,對法律、行政法規禁止發佈或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
電子信息發送服務提供者、應用軟件下載服務提供者,不履行本法第四十八條第二款規定的安全管理義務的,依照前款規定處罰。
閱讀更多 玉溪網警巡查執法 的文章
