第四章 网络运行安全制度一般规定(下)——《网络安全法合规讲义》连载5
【编者按】本讲义由上海国瓴律师事务所名誉主任、上海交通大学信息内容分析技术国家工程研究中心网络空间治理研究中心主任、中国科学技术大学知识产权研究院人工智能与网络空间治理研究中心主任寿步教授撰写,是在寿步主编《网络安全法实用教程》(上海交通大学出版社2019年12月版)的基础上,全面收集整理2016年11月网络安全法发布至2024年6月期间的网络安全相关规范性文件,按照网络安全法制度设计的内在结构进行章节划分而编撰的。本讲义分为十章,同时收录2020年以来涉及网络运行安全和网络信息安全的52个案例。本讲义的内容取材于规范性文件或官方媒体,权威性高,实用性强,可供关心网络安全法律问题的读者阅读。连载共13篇。
连载目录
连载目录
5第四章 网络运行安全制度一般规定(下)
6第五章 关键信息基础设施运行安全制度
7第六章 个人信息保护制度(上)
8第六章 个人信息保护制度(中)
9第六章 个人信息保护制度(下)
10第七章 违法信息监管制度
11第八章 数据出境安全管理制度
12第九章 网络安全监测预警与应急处置制度
13第十章 网络安全法律责任制度
第四章 网络运行安全制度一般规定(下)
第四节 网络安全服务活动规范
网络安全法第二十六条规定:“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”
第二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
实践中,其他网络产品和服务提供者、网络运营者出于自身安全管理的需要或者市场竞争的需要,也会自愿委托专业机构来进行认证、检测和风险评估。这些都需要通过认证、检测和风险评估的网络安全服务活动来完成。
此外,基于职责、企业社会责任感、个人兴趣等原因,个人、网络运营者、漏洞关联厂商、漏洞收录组织、漏洞应急组织等也会根据自己对网络安全风险的评估、监测,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。这些活动都为防范网络安全风险发挥了作用。因此,有必要对网络安全的认证、检测、风险评估和发布网络安全信息等活动进行必要的规范。
第五节 禁止危害网络安全的行为
网络安全法第二十七条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
该条规定明确禁止三种行为。该条规定与相关法律法规的在先规定相衔接。下面列举相关法律法规的在先规定。
一、禁止危害网络安全
《刑法》第二百八十五条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【第三款略】
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《刑法》第二百八十六条规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。”
二、禁止为危害网络安全的行为提供程序工具
《刑法》关于提供侵入、非法控制计算机信息系统程序、工具罪的第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
三、禁止为危害网络安全的行为提供帮助
《刑法》关于帮助信息网络犯罪活动罪的第二百八十七条之二规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
第六节 网络安全合作和执法中获取信息的用途限制
一、网络安全合作
网络安全法第二十九条规定:“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。”
二、监督管理部门履责中获取信息的用途限制
网络安全法第三十条规定:“网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。”
网络安全监督管理部门在履行职责过程中不可避免会接触、获取有关个人和组织的各种信息。为了充分保护个人和组织的合法权益,鼓励个人和组织积极配合有关部门开展工作,网络安全法对网信部门和有关部门在履行职责中获取的信息的用途进行了限制,要求这些信息只能用于维护网络安全的需要,不能用作其他用途。
公安部《公安机关互联网安全监督检查规定》第五条规定:“公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。”
第七节 案例介绍
【案例1】2021年1月,大庆市公安局网络警察分局接到某小区物业报警称:该小区地下车库系统遭到黑客入侵,导致地下车库出入口车牌识别系统紊乱,任何车辆均可自由进出,干扰了正常管理秩序,并造成经济损失。经侦查,警方将涉嫌非法控制计算机信息系统案的犯罪嫌疑人徐某和李某抓获。同时,大庆网警分局启动“一案双查”,组织警力对该物业公司进行现场检查。检查中发现,该物业公司不履行网络安全保护义务,未制定网络安全管理制度和操作规程,对车号识别系统未采取任何技术措施和其他必要措施,导致车号识别系统数据被篡改。大庆网警分局依据《网络安全法》第二十一条、第五十九条,对该物业公司给予警告行政处罚并责令限期整改。
【案例2】2021年2月,广安某单位所使用的智慧政务一体化平台被黑客攻击植入木马病毒,导致系统文件被加密勒索,广安公安机关立即以破坏计算机信息系统立案侦查。通过一案双查发现,该单位未制定内部安全管理制度和操作规程,未采取防范计算机病毒的技术措施,未对重要数据备份和加密,不履行网络安全保护义务。广安公安机关根据《网络安全法》第二十一条、第五十九条,对该单位作出罚款一万元、对单位具体责任人赵某作出罚款五千元的行政处罚。
【案例3】2021年2月,南充公安机关执法检查发现辖区某物业公司安装人脸识别门禁系统,先后收集业主姓名、身份证号码、住址门牌和人脸识别照片等个人信息共计6000余条,该物业公司采集公民个人信息未落实安全技术保护措施,存储公民个人信息电脑未指定专人保管负责,且存在登录密码保存可直接点击登录等网络安全管理漏洞和个人信息泄漏风险。南充公安机关根据《网络安全法》第二十一条、第五十九条,对该物业公司给予警告的行政处罚。
【案例4】2021年3月,广安某单位互联网门户网站被攻击篡改,广安公安机关第一时间督促采取应急处置措施,并立案对该单位遭受攻击事件开展调查,通过工作发现,该单位信息系统未按规定设立防火墙,未安装网络流量监测软件,未记录网站访问日志,未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,网站建设完成至今,未更新安全策略、未落实等级测评等安全防护措施。广安公安机关根据《网络安全法》第二十一条、第五十九条对负有主体责任的该单位作出罚款1万元、对直接责任人作出罚款5千元的行政处罚;对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。
【案例5】2021年3月,绵阳市民姜某某在访问浏览绵阳一网站时发现一则刷单广告,其按照广告内容下载使用APP聊天软件后,被刷单诈骗3万余元。绵阳公安机关在侦办此案时调查发现,受害人访问的网站为绵阳市某单位开办,该网站长期存在大量高危漏洞,前期公安机关已检查通报督促其限期整改,但该单位仍未引起高度重视,未及时维护处置安全隐患,导致网站被不法分子非法入侵,篡改挂载大量诈骗、赌博、色情广告暗链。绵阳公安机关根据《网络安全法》第二十五条、第五十九条,对该单位处以10000元人民币的罚款,并对该单位法人代表李某某处以个人罚款5000元人民币的罚款。
【案例6】2021年3月,大庆网警分局对大庆市某医院进行网络安全监督检查。检查中发现,该医院未按照网络安全等级保护制度的要求到公安机关备案,对网络日志留存不足六个月,对重要系统数据未进行备份。检查中还发现该医院诊疗系统存在无“操作行为和设备运行状态”的日志记录,以及机房无门禁等安全问题。大庆网警分局依据《网络安全法》第二十一条、第五十九条规定,对该医院给予警告行政处罚并责令限期整改。
【案例7】2021年3月,大庆网警分局接上级通报,大庆市某报社网站被黑客入侵,植入木马程序,网站功能瘫痪。调查时发现,该报社因未采取有效防范计算机病毒和网络攻击、侵入的技术措施,对重要数据未进行备份,导致网站重要数据被黑客删除,给打击违法犯罪造成了障碍。大庆网警分局依据《网络安全法》第二十一条、第五十九条,对该报社给予警告行政处罚并责令限期整改。
【案例8】2021年3月26日,山东网安部门在工作中发现,某电商平台近19万条订单数据,包括收件人、联系电话、收货地址、商品信息等,疑似泄露。发现此情后,山东网安部门立即成立调查小组赶赴该电商平台,开展现场勘查、追踪溯源、质询问话等工作。经查,该电商平台共有5台某云服务器,公司内部没有物理机房。在这5台云服务器里,有4台集群服务器、1台源码服务器,购买的是某云负载均衡服务,但未购买任何网络安全设备或云安全服务,也未采取任何安全防护措施,后台管理权限存在弱口令漏洞。就这样,公司的疏漏导致站点集群服务器遭到网络黑客攻击,存放大量用户订单信息的集群服务器数据库被拖库,同时因其负载均衡服务未开启记录功能,无法进一步溯源工作。查明情况后,山东网安部门依据《网络安全法》第二十一条、第五十九条,对该公司作出单位罚款1万元、相关责任人罚款5000元的行政处罚,并责令其限期整改。同时,对网络黑客的非法访问及侵害公民个人信息的行为,网安部门已将其立为刑事案件,同步开展一案双查工作。
【案例9】2021年5月,苏州市公安局高新区分局在对苏州某医院进行检查时发现,该医院未制定内部网络安全规范及管理制度,未按照要求采取防范计算机病毒和危害网络安全行为的技术措施,其业务系统存在严重网络安全隐患,已导致部分公民信息被泄露。同时,该医院运营的APP存在用户隐私协议不完整、超范围获取用户权限、未开通用户账号注销途径等问题。因不履行网络安全保护义务,公安机关根据《网络安全法》第二十一条、第五十九条第一款,对该医院和直接责任人分别处以罚款。因不履行个人信息保护义务,公安机关根据《网络安全法》第二十二条第三款、第四十一条第二款、第六十四条第一款,对该医院给予警告并责令改正。
【案例10】2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《网络安全法》第二十一条、第五十九条,对该院处以责令改正并警告的行政处罚。
【案例11】2021年12月1日,国家网信办负责人约谈豆瓣网主要负责人、总编辑,针对近期豆瓣网及其账号屡次出现法律、法规禁止发布或者传输的信息,情节严重,依据《网络安全法》等法律法规,责令其立即整改,严肃处理相关责任人。北京市互联网信息办公室即对豆瓣网运营主体北京豆网科技有限公司依法予以共计150万元罚款的行政处罚。2021年1月至11月,国家互联网信息办公室指导北京市互联网信息办公室,对豆瓣网实施20次处置处罚,多次予以顶格50万元罚款,共累计罚款900万元。
【案例12】2021年12月上旬,国家网信办负责人约谈新浪微博主要负责人、总编辑,针对近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息,情节严重,依据《网络安全法》《未成年人保护法》等法律法规,责令其立即整改,严肃处理相关责任人。
【案例13】2021年,浙江金华网警在日常巡查中发现,当地某红木家具企业网站被篡改成非法网站。经查,该公司未按照《网络安全法》要求履行网络安全保护义务,没有制定内部安全管理制度和操作规程,网站无防护措施,日常无人管理。4月1日,公安机关依法对该公司给予行政警告的处罚。
【案例14】2022年3月,上饶公安机关工作发现某医院自动向关注该医院微信公众号用户推送医院财务数据查询链接,造成医院财务数据泄露的风险。经调查,该院委托技术公司对医院收费系统远程维护时,因管理不严、操作失误导致该事件发生,存在未按规定向有关主管部门报告等违法行为。上饶公安机关根据《网络安全法》第二十一条、第二十五条、第五十九条,对该医院给予10万元罚款,对直接负责人处5千元罚款处罚。
【案例15】2022年4月,网安部门前往桂林某网络有限责任公司进行网络安全检查时发现:该公司为荔浦市某单位开发的某APP,在未取得用户同意的情况下获取了手机精准定位、存储空间、电话、相机、通信录等7项权限,并收集用户注册信息4万余条,且数据未经过加密存储处理。针对该网络公司超范围收集个人信息和不履行网络安全义务的违法行为,网安部门依据《网络安全法》对其做出警告的行政处罚,并责令限期整改。
【案例16】2022年4月,网安部门前往桂林某网络科技有限公司进行网络安全检查时发现:该公司开发使用的某接亲婚庆APP,收集用户注册信息13万余条,存储了用户车辆注册信息和驾驶人员信息5万余条,且数据未经过加密存储处理,该公司未落实网络安全责任,未明确网络安全负责人,未落实网络安全等级保护制度,未采用相关网络安全防护技术措施。针对该网络公司超范围收集个人信息和不履行网络安全义务的违法行为,网安部门依据《网络安全法》对其做出警告的行政处罚,并责令限期整改。
【案例17】2022年4月,网安部门前往桂林某网络科技有限公司进行网络安全检查时发现:该公司开发使用的某影音类APP,在未取得用户同意的情况下获取了手机位置信息、存储空间、录音、电话、相机、麦克风等8项权限,该APP后台存储了用户手机号码信息3万余条,且数据未经过加密存储处理,该公司未落实网络安全责任,未明确网络安全负责人,未落实网络安全等级保护制度,未采用相关网络安全防护技术措施。针对该网络公司超范围收集个人信息和不履行网络安全义务的违法行为,网安部门依据《网络安全法》对其做出警告的行政处罚,并责令限期整改。
【案例18】2022年7月13日,江西抚州南丰县公安局网安大队对辖区某小区物业公司开展个人信息保护专项检查。工作发现该单位智能安防系统在收集业主个人信息时存在多项网络安全隐患,其中包括未制定内部网络安全管理制度及操作流程,未按照要求采取防范计算机病毒和网络攻击、网络侵入等危害网络安全的技术措施。依据《网络安全法》第二十一条、第二十五条、第五十九条,南丰县公安局依法对该物业公司予以行政警告处罚并责令限期整改。
【案例19】2022年7月20日,江西抚州崇仁县公安局网安大队对巴山镇某小区物业公司开展网络安全执法检查。经检查发现,该物业公司未制定网络安全内部管理制度,收集业主个人数据的信息系统无专人负责,未制定网络安全事件应急预案,对相关工作人员也从未进行网络安全专业技能培训。依据《网络安全法》第二十一、五十九条,崇仁县公安局依法对该物业公司予以行政警告处罚并责令限期整改。
【案例20】2022年7月,吉安公安机关工作发现辖区内江西永丰某网络科技有限公司运营网站的“友情链接”中一个链接为境外色情网站。经查,该公司安全管理责任制度落实不到位,未监测网络运行状态,造成该网站传播淫秽色情信息。吉安公安机关根据《网络安全法》第二十一条、第五十九条,对该公司处1万元罚款处罚。
【案例21】2023年2月,一则“西安环卫网”疑似变成淫秽色情网站的微博引起了社会各界的广泛关注。在相关部门辟谣的同时,西安高新网安部门根据线索,依法对该网站注册的主体公司展开网络安全执法检查。检查发现,西安市高新区某公司2013年注册该网站并上线后,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全的技术措施。2015年网站暂停使用后也未注销,导致网页被不法分子篡改为黄色网站。事发后,西安高新网安部门立刻开展工作,在追查不法网站来源的同时,指导该涉事公司关停服务器、消除隐患漏洞、对网站进行注销管理。同时,依据《网络安全法》第二十一条、第五十九条,该单位不履行网络安全保护义务,西安高新警方给予该单位警告的行政处罚并责令其整改。
