《网络安全法》执法案件汇总及执法重点分析
《网络安全法》执法案件汇总及执法重点分析
一、《网络安全法》执法背景
于2017年6月1日实施的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)系我国网络空间安全管理的基本法律,亦是目前网络安全执法的最主要法律依据,其以网络运营者为主要规范对象,对网络运营者的网络运行安全、网络信息安全提出了若干制度性管理要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施的安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络安全事件管理制度等。
为保障《网络安全法》的落地实施,国家互联网信息办公室(以下简称“国家网信办”)等相关监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式。同时,全国信息安全标准化技术委员会(以下简称“信安标委”)亦制定并公开了一系列以信息安全技术为规范对象的国家推荐性标准的征求意见稿(其中部分已正式发布待实施)。具体可参见本所于2017年9月21日发布的《<网络安全法>相关配套法律法规和规范性文件梳理》[1]。
为确保上述相关法律法规的有效实施,监管部门开始了一系列的执法及执法检查工作。系统分析一下《网络安全法》的执法状况,有助于企业了解执法部门目前的执法重点和处罚措施,对于企业进行合规工作具有借鉴意义。
二、《网络安全法》执法主体
根据《网络安全法》的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。具体而言,网络安全法的行政执法部门主要有国家网信办、工业和信息化部(以下简称“工信部”)、公安部(以下简称“公安部”)、国家保密局、国家密码管理局以及各行业主管部门等。其中,最主要的执法机构为国家网信办、工信部和公安部。
可以看到,几个行政执法主体间存在着权责不清、交叉执法的现象。正如2017年12月全国人大常委会执法检查组关于检查“一法一决定”[2]实施情况的报告(详情见下文)中指出,网络安全监管“九龙治水”现象仍然存在。
三、《网络安全法》执法综述
(一)《网络安全法》行政执法案例
2017年以来,《网络安全法》行政执法主要处罚案例情况总结见附件。
(二)全国人大常委会执法检查组关于《网络安全法》的执法检查
根据2017年监督工作计划,全国人大常委会执法检查组于2017年8月至10月对“一法一决定”的实施情况进行了检查,并于2017年12月24日发布了《全国人民代表大会常务委员会执法检查组关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》。
根据该报告,2015年以来,国家网信办等部门依法约谈违法违规网站2200余家,取消违法违规网站许可或备案、关停违法网站13000多家,有关网站按照用户服务协议关闭违法违规账号近1000万个,对网上各类违法行为形成有力震慑[3]。
该报告指出了各地在贯彻实施“一法一决定”、维护网络安全方面存在的一些困难和问题,主要包括:网络安全意识亟待增强、网络安全基础建设总体薄弱、网络安全风险和隐患突出、用户个人信息保护工作形势严峻、网络安全执法体制有待进一步理顺、网络安全法配套法规有待完善、网络安全人才短缺等。同时,报告对进一步贯彻实施“一法一决定”提出一些建议,如建议加快完善网络安全法配套法规规章、着力提升网络安全防护能力、进一步加大用户个人信息保护力度、强化网络安全工作统筹协调等。
(三)其他行动
1.四部委“隐私条款评审”
隐私条款专项工作评审自2017年7月26日启动,由国家网信办、工信部、公安部、信安标委等四部门组成的专家工作组于2017年8月24日对包括:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等十款网络产品和服务隐私条款进行评审,评审内容包括隐私条款内容、展示方式和征得用户同意方式等。2017年9月24日,四部门联合公布隐私条款专项工作评审结果,微信、淘宝、滴滴、京东、支付宝等获评审专家组好评,此外个别产品有待完善。[4]
2.百度涉嫌侵害个人信息安全事件
2017年12月11日,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。“手机百度”“百度浏览器”两款手机APP在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围。2018年1月2日,南京市中级人民法院已正式立案。[5]
四、《网络安全法》行政执法情况分析
《网络安全法》正式实施以来,行政执法工作日趋常态化,且趋于频密。就《网络安全法》行政执法的主要执法依据、责任主体、处罚措施、处罚地域简要总结如下:
(一)主要执法依据
根据附件总结的《网络安全法》行政执法案例,主要执法依据如下:
1. 《网络安全法》第21条及59条关于网络安全等级保护制度、网络安全保护义务的规定;
2. 《网络安全法》第56条关于网络安全风险或安全事件的约谈制度的规定;
3. 《网络安全法》第22条第3款、41条、42条、43条、64条关于用户信息/个人信息保护的规定;
4. 《网络安全法》第24条、61条关于网络实名制的规定;
5. 《网络安全法》第47条、50条、68条关于网站发布或传输信息的管理义务的规定;
6. 《网络安全法》第22条、60条关于网络产品和服务的法定要求:不得设置恶意程序、终止提供安全维护等的规定;
7. 《网络安全法》第46条、67条关于设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息的规定。
其中,因未按要求管理用户发布的信息而根据《网络安全法》第47条、50条、68条作出的处罚案例数量最多。
(二)主要责任主体
根据附件总结的《网络安全法》行政执法案例,主要责任主体为网络运营者。根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合附件案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台(比如新浪微博、微信公众平台、百度、今日头条)的运营者;学校、学院及其他事业单位;网络科技/技术公司。
除上述作为主要责任主体的网络运营者之外,利用网络发布违法犯罪活动信息的组织或个人也成为《网络安全法》行政执法的规制对象,如在微信群中转发散布谣言、发布炸药制作方法、传播涉暴力恐怖、宗教极端、民族分裂的文字、图片等个人也会依法承担相应的行政拘留甚至刑事责任。
(三)主要处罚措施
根据附件总结的《网络安全法》行政执法案例,处罚措施集中在责令整改[6]、警告、罚款(包括单位和直接负责人)、责令停产停业(包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册)、行政拘留、刊发道歉声明六类,有单罚亦有并罚。其中最主要的处罚措施为责令整改,在附件总结的30个案例中,有20个案例均涉及责令整改;其次为罚款,对单位的罚款从一万到五十万不等,对未按要求管理用户发布的信息的腾讯公司、新浪微博、百度贴吧的罚款较重,分别给予了两个50万的“最高罚”以及一个“从重罚”。另外,目前对于一些未产生严重后果但存在较大安全风险而引发市场关注的不合规行为,监管部门往往倾向于先行约谈整改。
(四)主要处罚地域
根据附件总结的《网络安全法》行政执法案例,主要处罚地域集中在广东、北京及上海。
注:
[1] 《图解 | <网络安全法>相关配套法律法规和规范性文件梳理》,中伦律师事务所官方网站,2017年9月21日,
http://www.zhonglun.com/content/2017/09-21/1816541110.html
[2] “一法”指《网络安全法》,“一决定”指《全国人大常委会关于加强网络信息保护的决定》。
[3] 《全国人民代表大会常务委员会执法检查组关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》,中国人大网,2017年12月24日,http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm
[4] 《四部委公布隐私条款评审结果 微信淘宝滴滴京东等获肯定》,腾讯科技,2017年9月24日,http://tech.qq.com/a/20170924/033887.htm
[5] 《百度涉嫌侵害公民个人信息安全,南京中院立案调查》,IT时代网,2018年1月5日,
http://www.itxinwen.com/news/news_18150.shtml
[6] 责令整改是否为行政处罚措施在学术界有争议,此处暂列为行政处罚措施。
附件:《网络安全法》行政执法相关处罚案例
(点击以下图片,可放大查阅)
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。