原标题:网络安全法实施两月:至少5省份开出罚单,多因未尽安全义务
8月11日,四川省公安厅网络安全保卫总队官方微信公众号“四川网警巡查执法”发布消息称,该省依法查处违反《网络安全法》较早案:宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。
澎湃新闻(www.thepaper.cn)根据公开报道梳理发现,自今年6月1日《网络安全法》正式实施以来,已至少有广东、山西、重庆、江苏、四川5省份各自开出了当地首张网站违反《网络安全法》的罚单,而违法事由则多涉及未履行网络安全保护义务。
5省公开通报首起违法案例
2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《网络安全法》,对网络空间主权的原则、网络产品和服务提供者的安全义务、个人信息保护规则等作出了详细规定。
2017年7月25日,广东“汕头网警巡查执法”微信公众号通报称,汕头网警支队发现汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至通报时未按规定定期开展等级测评。
汕头警方认为,该公司未按法律规定履行网络安全等级测评义务,遂根据《网络安全法》规定,对该单位给予警告处罚并责令其改正。
同日,山西“忻州网警巡查执法”微信公众号对外公布称,今年6月至7月间,忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。该单位之行为已违反《网络安全法》相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。
8月1日、10日与11日,重庆网警、江苏宿迁网警与四川宜宾网警也相继在微信公众号上公布了各自查处的违法《网络安全法》“较早案”。
重庆公安局网安总队在日常检查中发现,重庆市某科技发展有限公司自《网络安全法》正式实施以来,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为。于是,公安机关根据《网络安全法》相关规定,决定给予该公司警告处罚,并责令限期15日内进行整改。
江苏宿迁市华睿科技有限公司服务器内接入一违法网站被民警发现,民警经勘验取证后,立即传唤该公司法人代表王某,要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录,并根据《网络安全法》规定,给予上述公司警告处罚并要求其立即整改到位。宿城警方正对该违法网站开展进一步侦查。
四川宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。
根据《网络安全法》相关规定,宜宾公安机关决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处1万元罚款,对法人代表唐某某处5000元罚款。
违法行为多涉及未履行网络安全保护义务
公开通报的这五起案例,多因未尽安全保护义务而受罚。何为网络安全义务?
根据《网络安全法》第21条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
具体而言,安全保护义务包括:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施以及法律、行政法规规定的其他义务。
履行安全保护义务为何重要?以网络日志留存为例,重庆网警在其微信公众号中指出,公安机关在办案过程中发现,大量互联网信息安全隐患,和基于此的违法犯罪行为,都是因为访问日志留存规范不健全,违法犯罪分子趁虚而入,较终对用户合法权益造成危害。
“网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证,能够准确、及时查询到不法分子的互联网日志,可为下一步循线追踪,查获不法分子打下坚实基础。”重庆网警表示,遵守“日志留存”的相关规定,对网站运营者本身也有着极其重要的安全防护作用,不仅能够留存历史数据,更为未来可能发生的安全威胁消除了隐患。“正因如此,《网络安全法》严格规范了网络运营者记录并留存网络日志的法定义务。”