8月11日,四川省公安廳網絡安全保衛總隊官方微信公眾號“四川網警巡查執法”發布消息稱,該省依法查處違反《網絡安全法》第一案:宜賓市翠屏區“教師發展平臺”網站因網絡安全防護工作落實不到位,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網絡安全事件。
澎湃新聞根據公開報道梳理發現,自今年6月1日《網絡安全法》正式實施以來,已至少有廣東、山西、重慶、江蘇、四川5省份各自開出了當地首張網站違反《網絡安全法》的罰單,而違法事由則多涉及未履行網絡安全保護義務。
5省公開通報首起違法案例
2016年11月7日,十二屆全國人大常委會第二十四次會議表決通過《網絡安全法》,對網絡空間主權的原則、網絡產品和服務提供者的安全義務、個人信息保護規則等作出了詳細規定。
2017年7月25日,廣東“汕頭網警巡查執法”微信公眾號通報稱,汕頭網警支隊發現汕頭市某信息科技有限公司于2015年11月向公安機關報備的信息系統安全等級為第三級,經測評合格后投入使用,但2016年至通報時未按規定定期開展等級測評。
汕頭警方認為,該公司未按法律規定履行網絡安全等級測評義務,遂根據《網絡安全法》規定,對該單位給予警告處罰并責令其改正。
同日,山西“忻州網警巡查執法”微信公眾號對外公布稱,今年6月至7月間,忻州市某省直事業單位網站存在SQL注入漏洞,嚴重威脅網站信息安全,連續被國家網絡與信息安全信息通報中心通報。該單位之行為已違反《網絡安全法》相關規定,忻州市、縣兩級公安機關網安部門對該單位進行了現場執法檢查,依法給予行政警告處罰并責令其改正。
8月1日、10日與11日,重慶網警、江蘇宿遷網警與四川宜賓網警也相繼在微信公眾號上公布了各自查處的違法《網絡安全法》“第一案”。
重慶公安局網安總隊在日常檢查中發現,重慶市某科技發展有限公司自《網絡安全法》正式實施以來,在提供互聯網數據中心服務時,存在未依法留存用戶登錄相關網絡日志的違法行為。于是,公安機關根據《網絡安全法》相關規定,決定給予該公司警告處罰,并責令限期15日內進行整改。
江蘇宿遷市華睿科技有限公司服務器內接入一違法網站被民警發現,民警經勘驗取證后,立即傳喚該公司法人代表王某,要求對提供互聯網接入服務的服務器內涉及法律、行政法規禁止傳輸的信息立即予以停止傳輸、采取消除等處置措施并保存有關記錄,并根據《網絡安全法》規定,給予上述公司警告處罰并要求其立即整改到位。宿城警方正對該違法網站開展進一步偵查。
四川宜賓市翠屏區“教師發展平臺”網站因網絡安全防護工作落實不到位,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網絡安全事件。宜賓網安部門在對事件進行調查時發現,該網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務。
根據《網絡安全法》相關規定,宜賓公安機關決定給予翠屏區教師培訓與教育研究中心和直接負責的主管人員法定代表唐某某行政處罰決定,對翠屏區教師培訓與教育研究中心處1萬元罰款,對法人代表唐某某處5000元罰款。
違法行為多涉及未履行網絡安全保護義務
公開通報的這五起案例,多因未盡安全保護義務而受罰。何為網絡安全義務?
根據《網絡安全法》第21條規定,國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
具體而言,安全保護義務包括:制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;采取數據分類、重要數據備份和加密等措施以及法律、行政法規規定的其他義務。
履行安全保護義務為何重要?以網絡日志留存為例,重慶網警在其微信公眾號中指出,公安機關在辦案過程中發現,大量互聯網信息安全隱患,和基于此的違法犯罪行為,都是因為訪問日志留存規范不健全,違法犯罪分子趁虛而入,最終對用戶合法權益造成危害。
“網絡日志留存是公安機關依法追查網絡違法犯罪的重要基礎和保證,能夠準確、及時查詢到不法分子的互聯網日志,可為下一步循線追蹤,查獲不法分子打下堅實基礎。”重慶網警表示,遵守“日志留存”的相關規定,對網站運營者本身也有著極其重要的安全防護作用,不僅能夠留存歷史數據,更為未來可能發生的安全威脅消除了隱患。“正因如此,《網絡安全法》嚴格規范了網絡運營者記錄并留存網絡日志的法定義務。”
請輸入驗證碼