撰稿 | 流苏

编辑 | 图图

2017年6月1日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式实施,为执法活动提供了有力依据。纵观2018执法案例,机关、事业单位、企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审核、网络产品和服务等五个方面。

为确保相关法律法规的有效实施,监管部门开始了一系列的执法及执法检查工作。安在(AnZer_SH)对2018年《网络安全法》执法案例进行盘点,有助于企业了解执法部门目前的执法重点和处罚措施,对于企业进行合规工作具有借鉴意义。对于网络安全从业者而言,了解《网络安全法》执法情况,有助于避开企业网络、信息安全的雷区,完善企业自身网络安全防御体系。

在这一年中,网络安全法律及配套制度逐步完善,逐渐形成了综合法律、单行条例及标准指引的立体规范体系。

其中,《网络安全法》与《刑法》及相关司法解释在个人信息保护、计算机信息系统安全层面形成了较为明确的内容对应。具体如下图所示。

在诸多案例中,《网络安全法》主要执法依据如下图所示

在执法单位方面,《网络安全法》的行政执法部门主要有国家网信办、工业和信息化部(以下简称“工信部”)、公安部(以下简称“公安部”)、国家保密局、国家密码管理局以及各行业主管部门等。其中,最主要的执法机构为国家网信办、工信部和公安部。

尽管目前尚未有明确的规定或指引告知各个执法部门的主要执法范围,但根据2018网络安全相关案例来看,各部门大致执法点如下图所示。

对于企业而言,主要责任主体为网络运营者。根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合附件案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台(比如新浪微博、微信公众平台、百度、今日头条)的运营者;网络科技/技术公司;学校、学院及其他事业单位。

处罚措施除了常规的约谈及督促整改以外,整改要求不断细化,还包括出现高额罚款、产品下架、服务平台限期停止服务,情节严重者甚至要承担刑事责任,

以下为企业违反《网络安全法》相关案例,按时间顺序排列。

一月

1月11日,工业和信息化部信息通信管理局针对相关手机应用软件存在侵犯用户个人隐私的问题,对百度、支付宝、今日头条进行了约谈,要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。

1月12日,新乡市封丘县图书馆网站遭到黑客攻击,致使网页被篡改。经查,封丘县图书馆未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,致使网站遭到攻击。封丘县公安局依据《网络安全法》第五十九条第一款规定,对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚;并建议依法依规追究相关人员责任。

1月27日,国家网信办指导北京市网信办针对新浪微博对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、民族歧视等违法违规有害信息的严重问题约谈该企业负责人,责令其立即自查自纠,全面深入整改。

1月31日,国家网信办指导广东省网信办对UC头条持续传播炒作导向错误、低俗色情信息等问题,约谈该企业负责人,责令立即停止违法违规行为,自查自纠,切实整改,全面清理网上违法违规信息,健全信息内容管理长效机制,杜绝类似情况再次发生。

二月

2月2日,因未切实履行主体责任,疏漏平台账号管理;北京市网信办责令微博对娱姬小妖、项娱大帅、娱姬小咖等8个微博账号,百度对“全明星通讯社”、“星探妖妖”等百度百家号予以永久关闭。

2月12日,贵州省互联网信息办公室会同有关部门依法关闭了10家传播淫秽色情、非法博彩等信息的违法违规网站。经查,“大香蕉”“清纯女优影院”“深夜福利视频”等5家网站传播淫秽色情内容;“韦德国际娱乐城”“澳门在线娱乐”等3家网站传播非法博彩信息;“绥阳工会新闻网”等2家网站假冒机关事业单位官方网站传播虚假信息。上述网站严重违反《网络安全法》《互联网信息服务管理办法》等有关法律法规,依法予以关闭。

三月

3月26日,湖南省公安厅网技总队在对网站的检查中发现湖南工贸技师学院网站存在重大安全隐患,而此网站的建设及技术维修提供商,湖南中科智谷教育科技有限公司仍未落实网络安全等级保护制度,未履行网络安全保护义务。根据《网络安全法》第21条、第25条、第59条第一款的规定,决定给予湖南中科智谷教育科技有限公司行政警告处罚。

3月29日,郑州市金水区某单位网站遭到非法攻击,致网站被篡改,造成严重不良影响。郑州市公安局网安部门调查后,根据《网络安全法》之规定,依法对该单位罚款3万元,对网络维护的直接责任人罚款5千元。

四月

4月8日,因在客户权益、产品宣传及个人信息保护等方面存在违规行为,支付宝收到18万元罚单。中国人民银行杭州中心支行根据《非金融机构支付服务管理办法》,对其处罚款3万元;根据《中华人民共和国消费者权益保护法》,对产品宣传与个人信息保护两项违法行为,分别给予警告,并处罚款10万元、5万元。罚款合计18万元。

4月10日,河南某公司存在Weblogic反序列漏洞,可致大量公民个人信息泄露,并且该公司未经用户同意违法违规收集、留存大量公民个人信息,未采取技术措施和其他必要措施确保相关公民个人信息安全,未按规定留存相关的网络日志不少于6个月。根据《网络安全法》之规定,依法对该公司罚款5万元、对直接责任人董某罚款1万元。

4月27日,“上海爆料城”网站违规发布大量时政类新闻信息,传播虚假不实信息,严重扰乱互联网信息传播秩序,社会影响恶劣。根据《网络安全法》《互联网信息服务管理办法》等法律法规,上海市网信办会同上海市通信管理局依法注销“上海爆料城”网站备案,停止网站接入并将其域名列入黑名单,停止域名解析。

五月

5月12日,浙江省网信办会同杭州市网信办就微信公众号“二更食堂”发布低俗文章一事约谈该公众号主要负责人,要求全面清理违规有害信息,严肃处理有关责任人,并限时提交整改报告,同时,“二更食堂”公众号被微信平台封号7天。

5月14日,上海市通信管理局官网发布了《关于对上海连尚网络科技有限公司行政处罚的通告》;上海连尚网络科技有限公司即WiFi万能钥匙的所属公司。根据《网络安全法》第四十一条和第六十四条,上海市通信管理局对连尚网络做出了处罚决定,责令改正并处罚款人民币贰拾伍万圆。

六月

6月1日,针对“美拍”网络直播短视频平台传播涉未成年人低俗不良信息的问题,国家网信办会同广电总局、文化和旅游部、属地网信办依法依规联合约谈“美拍”相关负责人,依据《网络安全法》第四十七条,对美拍提出严肃批评,责令全面整改。

6月6日,北京市网信办、市工商局针对抖音在搜狗搜索引擎投放的广告中出现侮辱英烈内容问题,依法联合约谈查处抖音、搜狗,责令网站立即清除相关违法违规内容并进行严肃整改。

七月

7 月 8 日,山东破获一起特大侵犯公民个人信息案,共抓获犯罪嫌疑人 57 名,打掉涉案公司 11 家,查获公民信息数据 4000 GB、数百亿条。其中,国内知名大数据公司、新三板上市公司“数据堂”涉案。8 个月内,涉案企业日均传输公民个人信息 1 亿 3 千万余条,累计传输数据压缩后约为 4000GB 左右,公民个人信息达数百亿条,数据量巨大。此外,据办案人员表示,该案涉案的 11 家公司中,三家公司涉嫌单位犯罪,甚至有 4 名博士生、博士后涉案。

7月24日,温州“快视频”平台因传播低俗庸俗、荒诞惊悚等不良短视频内容,违反了《网络安全法》《互联网信息服务管理办法》有关规定,国家互联网信息办公室依法对其做出主频道内容停止更新15天、APP无限期下架等处罚。

7月25日,北京市网信办、市公安局针对脉脉匿名版块存在用户匿名发布谣言侮辱诽谤他人,侵犯他人名誉、隐私等合法权益的问题,依法联合约谈脉脉相关负责人。因违反了《网络安全法》第12条、第47条,脉脉被责令其限期关闭匿名发布信息功能,加强用户管理,全面整改。

八月

洛阳市北控水务集团远程数据监测平台遭到黑客攻击,致使网页被篡改。经查,洛阳市北控水务集团网络安全意识淡薄,网络安全管理制度不健全,网络安全技术措施落实不到位,未留存6个月以上的网络日志。洛阳市公安局长春路分局依据《网络安全法》第五十九条第一款规定,给予洛阳市北控水务集团80000元罚款的行政处罚,同时分别对三个部门相关责任人李某、张某、李某给予15000元、10000元、10000元罚款的行政处罚。

九月

9月21日下午,北京网信办、北京市住建委针对58集团旗下58同城、赶集网、安居客等产品未能有效履行平台监管责任,出现大量违法违规的房源信息和“黑中介”内容,违反《网络安全法》第四十七条规定,依法约谈58集团主要负责人,责令立即开展专项整治,整治期间暂停其网站所有北京房源信息发布。

十月

10月15日,北京市网信办针对360doc个人图书馆未能有效履行平台监管责任,导致平台上长期大量存在严重违法违规信息,违反《网络安全法》第四十七条规定,依法约谈360doc个人图书馆的主要负责人,责令立即开展专项整治进行全面整改,整治期间网站停止服务。

十一月

11月14日,国家网信办会同有关部门约谈腾讯微信、新浪微博等自媒体,针对自媒体账号存在的一系列乱象问题,开展了集中清理整治专项行动。对于微信、新浪微博等平台主体责任缺失,疏于管理,放任野蛮生长,造成种种乱象,提出严重警告。此外,百度、腾讯、新浪、今日头条、搜狐、网易、UC头条、一点资讯、凤凰、知乎等自媒体平台也被约谈。

十二月

近日,上海佰集信息科技有限公司运营的“简书网”在未获得互联网新闻信息服务资质的情况下,违规登载新闻信息,且内容导向存在偏差,扰乱网络信息传播秩序。上海市网信办依据《网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》等法律法规,约谈“简书网”负责人,责令其停止违法违规行为;依据调查结果对上海佰集信息科技有限公司作出罚款的处罚决定。

12月27日,江西福圣元生物科技有限公司的网站被人篡改为境外赌博网站。民警调查后发现,公司更改官网域名后,未对原官网域名进行注销,也未在互联网备案平台上进行更正。德兴市公安局依据《网络安全法》第五十九条规定,网安大队对江西福圣元生物科技有限公司进行行政警告处罚,并下达了《信息系统安全等级保护限期整改通知书》。

后记

近年来,随着“中央网络安全和信息化领导小组”的成立,习总书记发表“4·19”重要讲话以及《网络安全法》的颁布、实施,网络安全的重要性不断提高。“没有网络安全就没有国家安全,没有信息化就没有现代化”已深入人心。

和2017年相比较,2018执法案例更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化。此外,2018年,相关单位参与执法行动的频率更高、覆盖范围更广。

此外,除却作为主要责任主体的网络运营者之外,利用网络发布违法犯罪活动信息的组织或个人也成为《网络安全法》行政执法的规制对象,如在微信群中转发散布谣言、传播涉暴力恐怖、民族分裂等信息也将依法承担相应的责任。

 

声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。