点击上方蓝色“赛博星人”关注我们
概述:
自2017年6月1日《网络安全法》(以下简称“网安法”)正式实施以来,尽管相应的重要实施细则尚未出台,但各监管部门并未因此迟疑或推迟在全国范围内展开相关执法行动。通过研究我们列出的最近的执法案件,您可对日渐清晰的网安法执法行动的趋势和发展有更好的了解,从而更有针对性地准备自身的网安法合规计划。
执法机关
根据网安法的规定,中国国家互联网信息办公室(以下简称“国家网信办”)具有统筹协调网络安全工作和相关监督管理工作的中心职能。国务院其他主管部门和有关机关依照网安法和有关法律法规的规定,在各自职责范围内负责网络安全保护和监督管理工作,例如国家商用密码管理办公室负责商用密码产品,中国银行业监督管理委员会负责银行业,中国保险监督管理委员会负责保险业,中国民用航空管理局负责航空业,工业与信息技术部负责电信行业等等。除上述行业监管部门以外,公安局也在网安法及有关法律法规授予的权限内开展网络安全执法行动。还有一点值得注意的是不同级别的人民政府(而非仅限于中央或省级人民政府)的有关部门也有网安法执法的必要权限。
从目前的观察来看,似乎是较低级别的政府机关,确切地说,是区县或市级公安局的网络安全部门及省级网信办更积极地开展网安法的执法行动。
“易达目标”
在目前已决定或公布的七例案件中,与未遵守等级保护制度有关的五例案件均由公安局查办,这其中的原因可能有二:(i) 网安法所依据的核心体系是等级保护制度,而以往都是由公安部门负责监管等级保护制度的实施工作;及(ii) 与其他政府机关相比,公安部门在人力、技术手段和调查权限方面拥有更多的资源,尤其是在地方层面。
调查对象相当多样:网络巨头、政府直属单位、科技公司及名人的微信账号均在调查之列。
从被查处的行为可以看出,许多公司未对网安法的合规要求给予足够的重视,因此也未分派足够的资源。监管部门认为,以下所有问题均属于比较容易改正的目标:
(1). 网络信息内容管理薄弱或存在缺陷,网络信息内容包括网络平台自行发布的信息和平台用户发布的信息。目前最轰动的案件当属有关腾讯、新浪和百度对其用户发布的信息监管不力的指控,针对该指控的调查目前仍在持续。根据网安法第四十七条[1]的规定,网络运营者应当加强对其用户发布的信息的管理,发现违禁信息的,应当立即采取处置措施。
(2). 未能满足监管部门的安全性规定,尤其是等级保护制度规定。网安法以及内容更为详细的《信息安全等级保护管理办法》(以下简称“《等级保护管理办法》”)及其授权性规范和国家标准对各个保护等级应当采取的管理制度和技术措施作出了规定。未遵守监管安全规定的,构成对《网络安全法》的公然违反。若违规行为还导致发生资料外泄或网络攻击情形的,后果可能更为严重。
[1]第四十七条:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
双罚制
如以下案件7所示,一旦发现不良信息或信息管理有缺陷的,国家网信办或其地方机构可责令平台运营商停止传输相关信息并关闭涉事用户的账号。未及时响应国家网信办指示的,可能需要按网安法第六十八条的规定承担法律责任,包括给予警告,没收违法所得,对违规实体及个人分别处以罚款,暂停相关业务、关闭网站、吊销相关业务许可证或者吊销营业执照。
最近的网安法执法行动还有一个值得关注的特点:在几乎所有的网安法违规案件中,对涉事公司和直接责任人基本都实行了双罚制,这表示企业所有的“掌门人”,包括决策高管、合规负责人、法务、IT负责人、信息主管及其他有权接触重要信息和个人资料的人员,都可能需要按照网安法等相关法律法规或司法解释的规定承担个人责任。
违规行为如何“浮出水面”
网安法的政府调查一般来自以下四个渠道: (i) 定期检查,(ii) 专项整治行动, (iii) 举报, (iv) 由其他执法机关移送或上级机关指派。下文附件一内也指明了相关案件的曝光渠道。在披露来源渠道的五例案件中,网民举报的有一例,定期检查或专项整治行动过程中发现的有三例,另一例则由国家网络与信息安全信息通报中心(以下简称“通报中心”)通报。[1]
在所有立案渠道中,尤其值得注意的是网民通过政府和网上平台的举报渠道。根据国家网信办的统计,网安法正式实施的当月,全国网络违法和不良信息有效举报量创月度历史新高,达367万件,其中通报中心直接受理的举报65,059件,各地网信办举报部门受理的举报149万件,腾讯、新浪、百度和阿里巴巴等主要平台受理的举报211万件。[2]如何处理或响应举报事件以提高网安法的合规水平成为摆在中国网络运营商面前的首要任务。
[1]网安法实施以来,省公安厅层级也陆续设立了类似的通报中心,以浙江省网络与信息安全信息通报中心为例,类似的通报中心一般具有以下主要职能:
(1). 建立与协调小组成员单位和各重要信息系统主管部门间信息通报渠道,接收、汇总来自各成员单位和主管部门的安全信息通报。
(2). 组织专门人员和有关专家,对涉及网络与信息安全信息的性质、危害程度和可能影响范围进行分析、研判和评估。
(3). 跟踪了解国际信息网络安全动态和国内信息安全状况,掌握新出现的计算机病毒、系统漏洞和网络攻击手段等网络安全信息。
(4). 将分析、汇总和研判结果及时报告省委、省政府和省信息化工作领导小组,必要时向社会发布预警信息。
浙江省网络与信息安全信息通报中心的介绍,详见http://www.zjtbzx.gov.cn/zxjj/(仅中文版)
[2]《6月份全国网络违法和不良信息有效举报366.9万件创月度历史新高》新闻稿,详见http://www.cac.gov.cn/2017-07/28/c_1121396352.htm(仅中文版)
建议
最近的网安法执法行动表明网络运营商应当立即采取行动检查并加强自身的网安法合规制度,其中包括:
(a) 对等级保护制度合规状况开展“体检”。对于多数网络运营商而言,要想实现对网安法的合规,其核心和着眼点都是要首先实现对等级保护制度的合规。体检要求网络运营商依照错综复杂的法律、法规、指导方针和国家标准框架对等级保护的现状、管理体系和技术措施进行全新但彻底的检查。随着监管部门日益加大执法力度,建议网络运营商及时将体检的范围从仅针对等级保护制度扩大到整个网安法的合规情况。
(b) 实施应急预案或补救措施。为适应新的信息和网络安全保护制度,公司需要编制并落实新的政策和机制,并(或者)引入新技术或采购新设备,以填补与新制度之间的差距。同时,将所有补救措施及其执行情况记录在案也同样重要。
(a) 与执法部门保持良好沟通。网安法作为一项全新且持续发展的制度,具有相当高的不确定性,这为相关的合规带来极大的挑战,也导致与执法部门保持良好的沟通变得尤为重要。通过制定和落实良好的执法机关沟通方案,公司不仅能够同步掌握执法部门颁布的新规定和合规要求的发展变化,还能帮助公司在调查过程中树立配合执法部门工作的良好形象,使公司做出的澄清和解释更为有效且易于接受。
(b) 准备好迎接新一轮执法行动。需要谨记的是,尽管第一轮执法行动重点关注网络内容管理不善及不遵守等级保护制度的问题,但这并不代表跨境资料流通、特殊网络安全产品和服务的采购等其他核心问题并不重要或不属于监管部门的监管范围。监管体系内的网络运营商应当未雨绸缪,尽早制定更为全面的网安法合规方案,武装好自己,准备迎接即将到来的新一轮的执法行动。
附件一:网安法案件归纳
(如果文字不清晰,请点击大图查看)
[1]可点击http://www.cac.gov.cn/2017-08/11/c_1121467425.htm查阅中文版新闻报道。
[2]可点击http://mp.weixin.qq.com/s/xKKxxEpv0lEBlOlXgqvExQ查阅中文版新闻报道。
[3]可点击http://mp.weixin.qq.com/s/uSWGtNAokGhIAfObrwtvZA查阅中文版新闻报道。
[4]可点击http://mp.weixin.qq.com/s/tFoxqU5SG7yHwIVuIrelrQ查阅中文版新闻报道。
[5]可点击http://mp.weixin.qq.com/s/R0YEfRK3_up2mLC3lVHZRw查阅中文版新闻报道。
[6]可点击http://mp.weixin.qq.com/s/k0MYqkx2bX-8IAZ1Ig-HMQ查阅中文版新闻报道。
[7]可点击http://news.sina.com.cn/gov/2017-06-15/doc-ifyhfnrf9204518.shtml查阅中文版新闻报道。
[8] 包括严肃八卦、毒蛇电影、关爱八卦成长协会、萝贝贝、南都娱乐周刊、芭莎娱乐等公众号
如您想深入讨论上述问题对您业务的影响,欢迎与我们联系:
程伟宾
程伟宾律师事务所
主管
+852 2833 4928
王景
瑞栢律师事务所
高级顾问/纽约州律师
+86 (10) 8540 4630
薛颖
瑞栢律师事务所
高级经理
+86 (10) 85404602
颜国定
网络安全及隐私保护咨询服务
合伙人
155 468 90211
翁泽鸿
网络安全及隐私保护咨询服务
高级经理
186 883 99918
黄磊
网络安全及隐私保护咨询服务
高级顾问
180 263 08123
本文始发于微信公众号(赛博星人):网安法实施半年来执法趋势和未来发展概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论