《网络安全法》施行四周年实践观察(三):执法情况及典型处罚案例
前两期文中,笔者先是从网安法的概要、规范主体和重要制度三个方面展开论述,以此对网安法的基本内容进行了总结;其后笔者从网安法施行后配套立法及配套标准两个方面尽可能对网安法施行后网络安全法律体系的主要规范进行了梳理归纳。
法律的生命力在于实施。网安法施行以来,各权力主体在紧罗密布制定配套规范的同时,相应的执法活动亦在稳步展开:一方面存在服务于特定时期的政策导向,由单部门或多部门在重点治理领域开展重点执法活动,另一方面存在由主管机关开展定期化、常态化网安检查、巡查活动。从网安法施行伊始,每一起网安执法案例均备受关注,到如今网安执法案例的数量激增,已形成一定规模,可见网安法落地所带来的实际影响力正不断扩大,并在潜移默化中发挥着调整和规范网安领域之作用。
有鉴于此,本文作为实践观察系列文章的第三篇,笔者将聚焦于网安法施行以来各部门的执法情况和所披露的典型案例,旨在为读者呈现执行层面的基本情况。
一、权责划分的“横”与“纵”
1.总体安排
总体上,网安法从横与纵两个维度对相应的执法权责进行了划分。横向上牵涉到网安法各特定领域、不同业态在同级别不同职能部门之间的分工;而纵向上,主要牵涉到属地管辖之下同一系统内部上下级的分工。依据《网安法》第8条之规定,国家层面由国家网信部门负责承担协调网络安全工作和相关监督管理之工作,而国务院电信主管部门、公安部门、其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理的具体工作,这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要;地方层面,与国家层面相对应,地方的网信、电信、公安部门是承担网络安全保护和监督管理职责的主要部门,但考虑到地方政府特别是县级政府机构设置与中央有所不同,并且考虑到网络安全工作的广泛性和复杂性,网安法对于地方政府有关部门作了模糊化处理,即按照法律规定所确定县级以上地方人民政府有关部门承担相应的网络安全保护和监察管理职责,为地方政府具体事权安排带来了一定弹性。
2.具体划分
(1)网信部门
2014年2月,党中央成立了中央网络安全和信息化领导小组及其办事机构,即中央网络安全和信息化领导小组办公室作为网信主管部门,并由重新组建的国家互联网信息办公室对外承担具体职责。同年8月,国务院发布《关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,将此前分属各领域有关部门的互联网信息内容管理职责统一授权给国家互联网信息办公室,并由其负责相关监督管理执法。
2018年3月发布的《深化党和国家机构改革方案》将中央网络安全和信息化领导小组改组为委员会,同月发布的《国务院关于机构设置的通知》实现了国家网信办与中央网信办,“一个机构两块牌子,列入中共中央直属机构序列”,至此网信系统内机构整合正式完成。时至今日,网信部门的职责在网安法规定的“统筹协调网络安全工作和相关监督管理工作”的基础上,还包括有统筹协调网络安全保障体系、可信体系建设,协调处理重大突发事件与有关应急工作,负责互联网信息内容管理,负责网络新闻业务和论坛、博客、搜索引擎等具有新闻舆论与社会动员功能业务的日常监管等众多工作。
(2)电信部门
根据国务院确定的职责,工信部作为电信行业主管部门,主要承担电信网、互联网和专用通信网行业管理、信息通信领域网络与信息安全保障体系建设以及网络安全防护、应急管理和处置等职责。从公布的权责清单来看,电信部门依据网安法所履行的职责包括有监管本地区网络运行安全;负责本地区电信网和互联网网络安全应急管理和处置;负责开展本地区电信网和互联网网络安全监测预警、威胁治理、信息通报、网络数据和用户信息安全保护、电话用户实名登记有关工作等。而与网安执法息息相关的处罚权和检查权,权责清单的规定如下表:
①行政处罚
权力事项 | 适用条款 | 处罚条款 | |
1 | 对违反电话用户真实身份信息登记的行为实施处罚 | 第24条第1款 | 第61条 |
2 | 对违反电信和互联网用户个人信息保护的行为实施处罚 | 第22条第3款、第41条至第43条 | 第64条第1款 |
3 | 对违反信息内容管理有关规定的行为实施处罚 | 第12条第2款、第47条、第48条 | 第68~70条 |
4 | 对违反有关规定危害电信网络安全和信息安全的行为实施处罚 | 第3章、第4章 | 第59、60、62、65、66条 |
②行政检查
权力事项 | 适用条款 | |
1 | 对本行政区域内电信业务经营者与互联网信息服务提供者落实网络与信息安全法律要求情况实施监督检查 | 第21条第3项、第28条、第46~ 48条 |
(3)公安部门公安部门主要承担计算机信息系统安全保护、网络安全保卫和监督管理、计算机病毒等防治管理、网络违法犯罪案件查处等职责。2020年新修订的《违反公安行政管理行为的名称及其适用意见》对网安法下公安机关的管理事项进行了如下细化,同时明确对违反以下行政管理行为,“除网安法明确规定由公安机关实施处罚的之外,公安机关实施行政处罚限于公安机关监管范围”。 此外,2018年发布的《公安机关互联网安全监督检查规定》也就公安机关针对互联网服务提供者和联网使用单位安全监督检查作出了明确规定。
权力事项 | 适用条款 | 处罚条款 | |
1 | 网络运营者不履行网络安全保护义务 | 第21条、第25条 | 第59条第1款 |
2 | 关键信息基础设施运营者不履行网络安全保护义务 | 第33条、第34条、第36条、第38条 | 第59条第2款 |
3 | 设置恶意程序 | 第22条第1款、第48条第1款 | 第60条第1项 |
4 | 未按规定告知、报告安全风险 | 第22条第1款 | 第60条第2项 |
5 | 网络运营者不履行身份信息核验义务 | 第24条第1款 | 第61条 |
6 | 未按规定开展网络安全检测、风险评估等活动 | 第26条 | 第62条 |
7 | 违法发布网络安全信息 | 第26条 | 第62条 |
8 | 从事危害网络安全活动 | 第27条 | 第63条 |
9 | 提供危害网络安全活动专门程序、工具 | 第27条 | 第63条 |
10 | 为危害网络安全活动提供帮助 | 第27条 | 第63条 |
11 | 网络运营者、网络产品或者服务提供者不履行个人信息保护义务 | 第22条第3款、第41条至第43条 | 第64条第1款 |
12 | 非法获取、出售、向他人提供个人信息 | 第44条 | 第64条第2款 |
13 | 非法利用信息网络 | 第46条 | 第67条 |
14 | 网络运营者不履行网络信息安全管理义务 | 第47条 | 第68条第1款 |
15 | 电子信息发送、应用软件下载服务提供者不履行网络信息安全管理义务 | 第48条第2款 | 第68条第2款 |
16 | 网络运营者不按公安机关要求处置违法信息 | / | 第69条第1项
|
17 | 网络运营者拒绝、阻碍公安机关监督检查 | / | 第69条第2项
|
18 | 网络运营者拒不向公安机关提供技术支持和协助 | / | 第69条第3项 |
19 | 发布、传输违法信息 | 第12条第2款 | 第70条 |
可以看到,上表所示公安机关承担的行政管理事项基本涵盖了网安法规定的所有违反行为,同时与电信部门权责清单中列举的行政管理事项存在重叠,但考虑到电信部门主要负责电信网、互联网及专用通信网络行业的监督管理,公安部门主要负责公共信息网络的安全监察,故而两部门之间在主管行业、领域内既有错位又有重叠,故而在执法实践中出现两部门以相同事由,相同依据对类似主体作出处罚的情况。当然,诸如针对违反网安法第27条、第44条和第46条以及第74条规定的构成违反治安管理的行为,已由网安法明确规定为公安部门的职责,这部分权力专属于公安部门。
4.其他有关部门信息网络已渗入社会的每一寸土壤,传统行业与互联网融合实现“互联网+”,因此网络运行和信息的安全势必需要一套全行业、全领域的保障和治理体系。网安法很好地回应了这一点,诸如在能源、金融等关键信息基础设施对应领域,充分发挥该领域主管部门在编制、组织实施安全规划,以及指导、监督运行安全保护的作用。其他有关部门的职责一方面可以依据网安法和其他法律、行政法规的规定执行;另一方面还可以通过国家有关规定具体明确。
二、执法情况概览
1.执法形式
综合当前披露的信息来看,网安领域的执法活动通过日常监控、定期巡查、随机抽检、行业检查、专项行动等多种形式开展。值得关注的是,近年来多次展开的由网信部门牵头,公安部门、通信部门及其他行业主管部门针对网络空间内多种违法及侵权行为共同开展的专项执法行动,已初具规模。这其中较为代表的包括以全面取缔网络违法犯罪行为及网络灰黑产业等为目标的“净网行动”,以全面管制、处理网络各种违法信息及有害信息为目标的“清朗”行动,以全面管制、取缔网络各种侵害版权行为及盗版行为为目标的“剑网”行动,以打击网络市场违法行为,保护消费者和经营者合法权益等为目标的“网剑行动”,以及针对App违法违规收集使用个人信息专项治理等。由网信办居中统筹协调,多部门联合执法的专项行动既符合网安法对执法工作安排的初衷,又能将结合行业特点和技术手段相结合,发挥各部门专长及联动、集中治理的优势。
2.执法数据
涉及网安法的执法数据,有关机关一般会通过通报公告、定期发布以及政府信息公开的方式向社会公众发布。
网信部门在公示执法数据时,一般采取通报公告和定期发布的方式,而不直接公开行政处罚的对象、内容和结果。例如,根据中央网信办每季度会对全国网信系统的执法结果进行盘点并于公众号“网信中国”发布,截至2020年4季度,全国各级网信行政执法基本数据如下表所示:
约 谈 | 警 告 | 暂停更新 | 取消违法网站许可或备案 | 移送司法机关相关案件线索 | 平台关闭各类违法违规账号群组 | |
2018 | 1497 | 738 | 297 | 6417 | 1177 | 约232万 |
2019 | 2767 | 2174 | 384 | 11767 | 1572 | 约73.7万 |
2020 | 4282 | 4551 | 1994 | 18489 | 7550 | 约15.8万 |
各级公安部门、电信部门除发布通报披露执法数据外,还会采取政府信息公开对所处理案件的经过进行披露。相较于简要的数字统计和个案通报,这样的做法在提供执法大数据的同时,对于具体认知和理解实践中主管机关如何适用网安法开展相关执法活动大有裨益。当然,鉴于各地对于政府信息公开的程度不一,笔者对信息公开程度较高的浙江省通过行政处罚结果信息公开平台所公示的案例(2017年6月1日网安法施行至今)进行收集,并简单统计了数据。
违反行为 | 处罚件数 | 执法机关 | |
1 | 网络运营者不履行网络安全保护义务 | 4604 | 公安部门 |
2 | 关键信息基础设施运营者不履行网络安全保护义务 | 0 | / |
3 | 设置恶意程序 | 0 | / |
4 | 未按规定告知、报告安全风险 | 3 | 公安部门 |
5 | 网络运营者不履行身份信息核验义务 | 6 | 公安部门 |
6 | 未按规定开展网络安全检测、风险评估等活动 | 2 | 公安部门 |
7 | 违法发布网络安全信息 | 9 | 公安部门 |
8 | 从事危害网络安全活动 | 28 | 公安部门 |
9 | 提供危害网络安全活动专门程序、工具 | 8 | 公安部门 |
10 | 为危害网络安全活动提供帮助 | 11 | 公安部门 |
11 | 网络运营者、网络产品或者服务提供者不履行个人信息保护义务 | 269 | 公安部门 |
12 | 非法获取、出售、向他人提供个人信息 | 54 | 公安部门 |
13 | 非法利用信息网络 | 96 | 公安部门 |
14 | 网络运营者不履行网络信息安全管理义务 | 199 | 公安部门 |
15 | 电子信息发送、应用软件下载服务提供者不履行网络信息安全管理义务 | 1 | 公安部门 |
16 | 网络运营者不按公安机关要求处置违法信息 | 1 | 公安部门 |
17 | 网络运营者拒绝、阻碍公安机关监督检查 | 0 | / |
18 | 网络运营者拒不向公安机关提供技术支持和协助 | 0 | / |
19 | 发布、传输违法信息 | 4 | 公安部门 |
由于电信部门实行省级以上垂直领导体制,因此地方通信管理局一般在其自有官网进行行政处罚信息公示。以浙江省通信管理局为例,仅有“北京息壤传媒文化有限公司违反《中华人民共和国网络安全法》为信息不真实用户提供互联网接入服务”一起案件涉及网安法的直接适用。而公示信息相对较多的上海市通信管理局,自网安法施行以来共公布适用网安法处罚案件10起,其中违反第41条收集、使用个人信息7起,违反第22条未对其产品或服务的安全漏洞风险采取整改措施2起,违反第24条未要求用户提供真实身份信息1起,处罚对象均为互联网行业企业。由此可见电信部门执法主要面向主管行业内企业,而公安部门则在公共领域的日常执法中起到了至关重要的作用。
三、典型处罚案例
网安法的法律责任部分规定了丰富的处罚措施,包括警告、罚款(包括单位和直接负责人)、没收违法所得、责令停产停业(包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册)、吊销相关业务许可证或者吊销营业执照、行政拘留等六类。这些处罚措施为网络安全执法活动提供了充足的依据,大大提高了执法效率和执法效果。同时,《网络安全法》还规定了约谈制度,可以对网络运营者的法定代表人或者主要负责人进行约谈,但选择约谈的结果便是公众无法把握网安法具体适用的过程。
网安法施行四周年,从中央到地方的各级网信部门、公安部门、电信部门等有关部门公示,已积攒了大量的处罚案例。笔者无力对相关案例进行逐一统计,但就目前接触到的部分处罚案例来看,网安违法行为主要包括未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取数据分类和重要数据备份、未对安全漏洞风险采取整改措施(以上均属于不履行网络安全保护义务的行为)、未验证用户身份信息、未履行个人信息保护义务等,涉及《网络安全法》所规定的各项重要制度;从处罚措施来看,警告、罚款和责令整改是依据《网络安全法》处罚的常见手段,几乎所有执法案例中都使用了这三种处罚措施;而从处罚背景来看,除有关部门主动开展的执法检查活动外,部分案件则源于处罚对象发生漏洞攻击、重要信息泄露等网络安全事件。鉴于处罚数量庞大且各地公示程度不一,以下笔者将按照网安法项下规范主体的具体义务,对一些典型案例简要提炼。
1.网络运营者未履行网络安全保护义务
(1)未进行网络安全等级保护的定级备案、等级测评
宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。据此网安部门决定给予翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
(2)未制定内部安全管理制度及操作流程、违反日志留存义务
郑州新郑市公安局网安部门在工作中发现,郑州某中等专业学校信息系统遭到黑客攻击。经查,该校不履行网络安全保护义务,未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月。新郑警方依据《中华人民共和国网络安全法》第59条规定,对该校给予10000元罚款的行政处罚,对该校网络安全负责人给予5000元罚款的行政处罚。
(3)未实施预防技术措施
网安部门检查时发现,北京市朝阳区某建设公司财务报表管理系统未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击并植入了非法信息,且无法对黑客进行追踪溯源。北京市公安局朝阳分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定,给予该建设公司罚款十万元的行政处罚;给予公司安全负责人罚款五万元的行政处罚。
(4)发生危害网络安全的事件时,未立即启动应急预案及采取相应补救措施
中移铁通有限公司北京分公司未全面履行法律义务,网站网页被境外黑客入侵篡改未及时处置,北京市通信管理局对其处以一万元罚款,并对直接负责的主管人员处五千元罚款。
2. 网络运营者未履行身份信息核验义务
(1)宿迁警方在侦办一起黑客攻击案件时发现,宿迁某传媒广告有限公司运营的论坛管理制度和技术保护措施缺失,未履行用户真实身份信息核验义务,向没有提供真实身份信息的31万余名论坛注册用户提供互联网服务。宿迁警方依据网安法第24条、第61条规定,对该公司予以罚款5万元,对公司负责人予以罚款1万元。
(2)北京市通信管理局网站发布的行政处罚决定书,河北星外通信设备科技有限公司为未提供真实身份信息的网站提供相关网络服务被处五万元罚款。
3.关键信息基础设施运营者未落实安全保护义务
(1)未制定安全管理制度和操作规程,未有效采取技术措施等
南通市公安局港闸分局民警在例行检查中发现南通市九圩港水利工程管理所的水闸自动化开关系统有3个高风险漏洞,其中主机漏洞1个、弱口令2个,容易被不法分子攻击控制权限,存在严重安全隐患。九圩港闸为国家大型水闸,主要承担着360万亩农田的引水灌溉、697平方公里流域面积的排涝和工业、生活用水的供水,水闸自动化开关系统被公安部、水利部列入国家关键信息基础设施目录。经查,该水利工程管理所未制定与网络运营相关的内部安全管理制度和操作规程,未有效采取防范计算机病毒和网络攻击、网络侵入等技术措施。依据《网络安全法》第21条、第34条、第59条规定,港闸警方对该水利工程管理所予以警告,责令限期整改,落实网络安全等级保护制度。
(2)未建立安全培训和考核制度,没有对信息安全进行等级保护等
三河市公安局行宫东大街派出所民警在对三河某燃气有限公司进行网络安全检查时发现,该单位未建立安全培训和考核制度,没有对信息安全进行等级保护,未落实网络安全保护责任。三河市警方根据《中华人民共和国网络安全法》第33条、第34条、第36条、第38条和第59条规定,依法对该公司警告处罚。[i]
4. 网络运营者未采取保障个人信息安全的技术措施和其他必要措施
(1)未经用户同意收集使用个人信息
上海福满家便利有限公司所运营管理的“Fa米家”移动互联网App应用违法违规收集使用个人信息;App应用未经用户同意收集使用个人信息。据此,上海市通信管理局责令该公司改正并处五万元罚款。
(2)未采取保障个人信息安全的技术措施和其他必要措施
上海某科技有限公司在为云南某公司开展短信网关项目的开发、建设、维护时,未严格落实网络安全保护工作的要求。在对短信网关系统升级时,未及时发现程序漏洞,以至于部分客户短信在传输过程中以明文形式呈现。负责该公司系统维护的员工浦某注意到了这一点后,利用工作便利和程序漏洞,获取公民个人信息实施犯罪,共盗刷50余名受害者的银行卡6万余元。失职公司本身已违反网安法第42条第2款之规定,不按规定采取技术措施和其他必要措施,未确保其收集的个人信息安全、导致信息泄露。据此,云南省昆明市西山区公安分局对该公司处98万元的罚款。直接负责该项目的主管人员孙某被处以2万元罚款。[ii]
5. 网络运营者未履行网络信息安全管理义务
接公安部通报线索,“浴血XX”游戏中部分用户ID存在违法有害内容。经查,苏州某游戏公司在运营手机游戏“浴血XX”期间疏于管理,百余个游戏用户ID存在违法有害内容,造成恶劣影响,情节严重。苏州警方依据 《网络安全法》 第47条、第68条规定,对该游戏公司予以罚款10万元。
6. 拒不向公安机关提供技术支持和协助
南通如皋市公安在侦查某网站过程中,向为网站提供维护服务的南通某技术公司发出调取证据通知,该公司采取删除文件等方式,拒不向公安机关提供协助,致使相关证据灭失。据此,该公安部门依据第28条、第69条规定,对南通某技术公司予以罚款5万元,对具体责任人予以罚款1万元。
四、结语
“没有网络安全就没有国家安全,没有信息化就没有现代化”,这一经典论断在当前复杂多变的国际环境下,显得尤为振聋发聩。就在成稿前夕,网络安全审查办公室发布了对“滴滴出行”以及“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查的公告,这也是《网络安全审查办法》这一配套规范正式施行1年来,网络安全审查执法活动首次进入公众视野,标志着一直较为缺位,针对关键信息基础设施运营者的执法工作也正在逐步由条文落地实践。可以想见,随着网络安全法律体系不断完善,执法工作不断深入,网安法对企业的合规要求将会日趋严格。
有业界人士指出“网安法乃是一部企业迎难而上,顺势而为的‘自适应’规则体系”,企业合规经营不仅是就既有的法律要求予以符合的过程,也是贯穿法律、组织、管理到技术的全态符合的过程,网安法施行的这四年,已为主管机关积累了执法经验,同时也为企业合规提供了正反面教材。就目前而言,企业应针对网安法及配套规范的具体要求,未雨绸缪早做准备。笔者初涉网安法领域未久,一些浅见尚不成熟,望与各位读者共同探究。
[i] https://mp.weixin.qq.com/s/pG3X7JC4uxa_XYp_Pmvdag
[ii] https://mp.weixin.qq.com/s/dxrGBlr0Ovq7c_jvCx7pBg
自贸区数据跨境新探索—以生物医药领域为切入口简评天津自贸区数据出境负面清单及上海自贸区数据跨境一般数据清单
如何正确理解《规范和促进数据跨境流动规定(征求意见稿)》
新冠疫情防控政策由“乙类甲管”变更为“乙类乙管”后的劳动管理问题解析
《公司法》修订草案主要看点—从“董事会中心主义”的角度
交易相对方存在破产清算风险时,债权人企业如何应对?
个人信息保护法角度下的职场监控问题
《个人信息保护法》若干重点问题解说
《网络安全法》施行四周年实践观察(三):执法情况及典型处罚案例