致敬数据合规元年 | 2018《网络安全法》执法案件大盘点
执法背景
截至目前,于2017年6月1日起生效的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)作为我国网络空间安全管理的基本法律及目前网络安全执法的最主要法律依据,正式实施已逾一年。《网络安全法》以网络运营者为主要规范对象,对网络运营者的网络运行安全、网络信息安全提出了若干制度性管理要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施的安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络安全事件管理制度等。
为保障《网络安全法》的落地实施,国家互联网信息办公室(以下简称“国家网信办”)等相关监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式。同时,全国信息安全标准化技术委员会(以下简称“信安标委”)亦制定并公开了一系列以信息安全技术为规范对象的国家推荐性标准(大部分处于征求意见稿阶段,有部分已正式生效,或者正式发布待实施)。
此外,于2018年11月1日正式生效的《公安机关互联网安全监督检查规定》,系作为公安部门加强对《网络安全法》落实情况的执法监管的重要依据。
上述法律法规,结合《网络安全法》颁布前已经生效的《全国人大常委会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等重要法规,共同构成目前我国网络安全法律保护体系。为确保上述相关法律法规的有效实施,监管部门开始了一系列的执法及执法检查工作。对《网络安全法》的执法状况进行系统分析,有助于企业了解执法部门目前的执法重点和处罚措施,对于企业进行合规工作具有借鉴意义。
除了行政执法以外,《网络安全法》同时与刑事领域密切相关。《网络安全法》对于保障个人信息保护及信息系统安全做出了义务性规定,若相关主体未能遵守相应规定,则可能需承担相应的刑事责任。因此,对《网络安全法》内容相关的刑事案例的关注,有助于企业做好重点领域的刑事合规工作。
本文将以我们发布的2017年《<网络安全法>执法案例汇总及执法重点分析》为基础,结合2018年产生的案例素材以及以往具有典型代表性或者创新性的代表案例,扩充行政执法案例库,丰富刑事典型案例资源,并增补相应的结果分析,全方位、多层次、宽领域地展现《网络安全法》实施至今一年多以来的主要执法案例及多维度分析成果。
一
《网络安全法》行政执法主体
根据《网络安全法》的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。具体而言,网络安全法的行政执法部门主要有国家网信办、工业和信息化部(以下简称“工信部”)、公安部(以下简称“公安部”)、国家保密局、国家密码管理局以及各行业主管部门等。其中,最主要的执法机构为国家网信办、工信部和公安部。
基于条文本身可知,上述执法主体间存在着权责不清、交叉执法的问题;而在具体执法案例中,尽管各部门间对于网络安全监管方向存在初步可感知的差异(见下文“四、《网络安全法》行政执法情况分析”中“(三)主要执法主体”),但仍未有明晰的领域界限,网络安全监管“九龙治水”现象仍然存在。
二
《网络安全法》执法综述
(一) 行政执法案例及监管行动
1.主要行政执法案例
2017年6月《网络安全法》正式生效以来,《网络安全法》行政执法主要处罚案例情况总结见《附件一:<网络安全法>行政执法相关处罚案例》。
2.主要行政监管行动
(1)2017年、2018年两次隐私条款专项工作
隐私条款集中反映了网络运营者对《网络安全法》及相关法律法规在个人信息保护和网络安全管理制度的遵守和落实程度,成为行政执法部门的重要监管点。
在2017年的首次隐私条款专项工作中,由国家网信办、工信部、公安部、信安标委等四部门组成的专家工作组于8月24日对包括:京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等10款网络产品和服务隐私条款在隐私条款内容、展示方式和征得用户同意方式等方面进行评审。9月24日,隐私条款专项工作评审结果公布,微信、淘宝等获评审专家组好评,此外个别产品有待完善[1]。
而在2018年9月5日启动的第二次隐私条款专项工作中,以信安标委为主的专家工作组对40款网络产品和服务的隐私条款进行了评审,其中涉及2017年隐私条款专项工作中的10款产品,以及出行旅游、生活服务、影视娱乐、工具资讯和网络支付5大类等30款新产品。工作组专家指出,今年的专项工作较去年相比,评审对象数量明显增多,首次采用工作按产品类别进行评审,专家评审从面对面转变为背靠背,评审要点也更加细化完善。目前,专项工作的具体成果仍有待公布[2]。
(2)工信部关于电信和互联网企业网络安全的执法检查及网络安全日常监督信息公开
2018年8月13日,工信部向地方通信管理局及相关企事业单位下发《关于开展2018年电信和互联网行业网络安全检查工作的通知》,要求地方部门及企事业单位配合调查,通过定级备案、自查整改、开展抽查等方式,重点关注依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构等网络运行单位建设与运营的网络和系统在落实《网络安全法》等相关规定及可能存在的网络安全风险隐患等情形,并于10月31日前向部网络安全管理局上报检查工作总结报告。目前,各地方部门已按要求进行区域自查并汇总,有待工信部网络安全管理局正式推出整体总结报告。[3]
与此同时,工信部网络安全管理局自2018年起,定期在官网上公开每季度网络安全威胁态势分析与工作综述[4]。总结目前已公开的信息数据,可以发现目前用户数据泄露、网络安全防护漏洞、平台运营故障等网络安全及个人信息安全事件仍旧频发。对此,主管机关加大网络安全执法监督,推进网络安全试点示范项目工作,并通过举办网络安全应急演练、开展移动恶意程序专项治理工作等,实际推动整改进程。
(3)“剑网2018”专项行动启动,对网络转载、短视频、动漫等重点领域开展版权专项整治
2018年7月,国家版权局、国家网信办、工信部、公安部联合开展打击网络侵权盗版“剑网2018”专项行动,将短视频版权专项整治作为专项行动的重点任务,并将短视频平台企业列为专项行动重点监管对象,着力强化对短视频企业的版权监管。9月14日,针对重点短视频平台企业在专项整治中的自查自纠情况和存在的突出版权问题,国家版权局在京约谈了抖音短视频、快手、美拍、秒拍等15家重点短视频平台企业。下一阶段,国家版权局将重点打击短视频领域侵权盗版行为,规范短视频平台企业经营行为,强化版权保护行业自律,推动相关权利人组织与短视频企业建立版权保护合作机制。[5]
(二) 刑事典型案例及工作发展综述
1.刑事典型案例
我们选取了部分与《网络安全法》内容紧密相关的、具有较大影响力或者指导意义的刑事案例。具体可详见《附件二:<网络安全法>相关的刑事典型案例》。
2.主要适用法规
《网络安全法》与《刑法》及相关司法解释在个人信息保护、计算机信息系统安全层面形成了较为明确的内容对应(附表1):
个人信息保护 | 计算机信息系统安全 | |
《网络安全法》 | 第44条 禁止非法获取/对外提供个人信息 | 第27条 禁止危害网络安全 |
《刑法》及相关司法解释 | 第253条之一 【侵犯公民个人信息罪】 | 第285条、第286条 【非法侵入计算机信息系统罪】 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪】 第286条之一【拒不履行信息网络安全管理义务罪】 |
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》 |
附表1:《网络安全法》与《刑法》及相关司法解释对个人信息保护、计算机信息系统安全的规定
3.综合整治行动
(1)工信部、国家网信办、公安部联合部署推进防范打击通讯信息诈骗工作
2018年6月12日,工业和信息化部召开全国视频会议,中央政法委、中央网信办、公安部相关司局专家出席会议,应对当前猖獗的用户通讯信息交易行为及不法分子利用用户通讯信息实施诈骗等现象,联合部署深入推进防范打击通讯信息诈骗工作。目前,上述部门在打击通讯诈骗工作上已取得初步成效[6]。
(2)公安机关重拳打击自媒体“网络水军”违法犯罪
2018年以来,公安部组织各地公安机关依法深入开展侦查调查,成功侦破自媒体“网络水军”团伙犯罪案件28起,抓获犯罪嫌疑人67名,关闭涉案网站31家,关闭各类网络大V账号1100余个,涉及被敲诈勒索的企事业单位80余家。在公安部组织指挥下,江苏、北京等多地公安机关先后针对一些重点案件采取收网行动,抓获了一批自媒体“网络水军”涉案人员。截至目前,部分涉案人员已经被人民法院判处有期徒刑,一批重点案件已经被移送起诉,其他案件正在进一步侦办中[7]。
4. 主要工作总结
2018年11月8日,中国最高人民检察院检察长、首席大检察官张军发言表示,中国检察机关作为国家法律监督机关在依法惩治侵犯公民个人信息犯罪、加强个人信息司法保护方面,主要做了以下五方面工作:一是完善个人信息司法保护的法律依据。最高人民检察院会同最高人民法院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已于2017年6月1日正式生效,对个人信息保护类案件的法律适用作了详细的规定。二是依法有效打击侵犯个人信息犯罪。2016年中国检察机关起诉侵犯公民个人信息犯罪1029人,2017年起诉4407人,2018年1-9月起诉3283人,呈明显增长趋势。三是加强对办理侵犯个人信息犯罪案件的指导。最高人民检察院组织编写了《检察机关办理侵犯公民个人信息案件指引》,明确了办理该类案件的诸多实务问题。四是提高办理侵犯个人信息犯罪案件的专业化水平,成立计算机网络犯罪案件检察官办案组。五是探索个人信息保护领域的民事、行政、公益诉讼检察工作,促进全方位司法保护。[8]
三
《网络安全法》行政执法情况分析
《网络安全法》正式实施以来,行政执法工作日趋常态化,且趋于频密。就《网络安全法》行政执法的主要执法依据、责任主体、执法主体、处罚措施、处罚地域简要总结如下[9]:
(一) 主要执法依据
根据附件总结的《网络安全法》行政执法案例,主要执法依据如下表所示(附表2)
序号 | 条目 (《网络安全法》) | 计算机信息系统安全 |
1 | 第21条、第59条 | 网络安全等级保护制度、网络安全保护义务 |
2 | 第56条 | 网络安全风险或安全事件的约谈制度 |
3 | 第22条第3款、第41条、第42条、第43条、第64条 | 个人信息保护 |
4 | 第24条、第61条 | 网络实名制 |
5 | 第47条、第50条、第68条 | 网络用户发布信息管理 |
6 | 第22条、第60条 | 网络产品和服务的法定要求:不得设置恶意程序、终止提供安全维护 |
7 | 第46条、第67条 | 禁止设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息 |
附表2:《网络安全法》行政执法案例的主要执法依据
其中,从执法案例数量上看,因未按要求管理用户发布的信息而根据《网络安全法》第47、50、68条作出的处罚案例,因未落实网络安全等级保护制度,未履行网络安全保护义务而根据《网络安全法》第21、56、59条作出的处罚案例,以及因未履行个人信息保护的法律责任而违反《网络安全法》第22、41、42、43、64条作出的处罚案例,系作为目前工信部、公安部、国家网信办及其地方对应部门已作出的执法案例中前三多的案例类型。
从时间分布来看,2018年发生的行政执法案例较于2017年,更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化。
(二)主要责任主体
根据附件一总结的《网络安全法》行政执法案例,主要责任主体为网络运营者。根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合附件案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台(比如新浪微博、微信公众平台、百度、今日头条)的运营者;网络科技/技术公司;学校、学院及其他事业单位。
从领域分布来看,考虑到网络使用与业务发展的密切程度,案例所涉及的责任主体主要集中于科技、通信传媒、教育等领域,少部分属于电商、政务、酒店服务、快消、农业等领域。在我们收录的行政执法案例中,可以看到2018年与2017年相比,除了科技公司一直属于监管重点外,“网络直播平台”、“电商平台”、“即时通讯平台”等逐步吸引监管关注,涉及领域不断拓宽。
除上述作为主要责任主体的网络运营者之外,利用网络发布违法犯罪活动信息的组织或个人也成为《网络安全法》行政执法的规制对象,如在微信群中转发散布谣言、发布炸药制作方法、传播涉暴力恐怖、宗教极端、民族分裂的文字、图片等个人也会依法承担相应的行政拘留甚至刑事责任。
(三) 主要执法主体
在我们收录整理的主要执法案例中,可以看到相比2017年,工信部(及其地方所属的通信管理局)以及各级网信办在2018年组织、参与执法行动的频率更高、覆盖范围更广。各网络运营者需密切关注他们的监管执法动向。
尽管目前尚未有明确的规定或指引告知各个执法部门的主要执法范围,但从上述网络安全相关法律制度案例下参与执法的部门分布来看,可初步把握网信办、工信部及公安部的执法关注点(附表3):
部门 | 执法关注点 |
国家网信办 (及地方网信办) | 检查网络运营者是否按要求管理用户发布的信息 是否落实网络实名制 |
工信部 (及地方通信管理局) | 主要关注电信行业公司相关电信证照管理及电信行业发展秩序 包括对电信行业个人信息保护的监管,如各种社交应用软件的个人信息使用及保护情况 |
公安部 (及地方公安机关网警队伍) | 主要关注网络安全运行管理制度相关问题,核查网络运营者是否落实网络安全等级保护制度以及履行网络安全保护义务等 侧重点在于打击与网络安全及个人信息保护有关的违法、犯罪行为 |
附表3:网信办、工信部及公安部的执法关注点
需注意,上述分析结果仅为就本报告统计情况的初步观点,不作为对上述执法主体执法领域划分的推论。随着《网络安全法》相关执法工作的深入落实以及相关案例的增加,相信上述执法主体的执法范围将进一步清晰,我们也将持续关注。
(四) 主要处罚措施
根据附件总结的《网络安全法》行政执法案例,处罚措施集中在责令整改[10]、警告、罚款(包括单位和直接负责人)、责令停产停业(包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册)、行政拘留、刊发道歉声明六类,有单罚亦有并罚。其中最主要的处罚措施为责令整改,在附件总结的53个案例中,有43个案例均涉及责令整改;其次为罚款,对单位的罚款从一万到五十万不等,对未按要求管理用户发布的信息的腾讯公司、新浪微博、百度贴吧的罚款较重,分别给予了两个50万的“最高罚”以及一个“从重罚”。另外,目前对于一些未产生严重后果但存在较大安全风险而引发市场关注的不合规行为,监管部门往往倾向于先行约谈整改。
其中,在2018年,除了常规的约谈及督促整改以外,执法机关对于存在问题的企业所提出的整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。可以看到,执法机关一方面在不断加强执法力度,另一方面也通过更为因地制宜的整改措施,以查促改,推动国内网络运营秩序及环境的健康发展。
(五) 主要处罚地域
在附件收录53个《网络安全法》行政执法案例中,广东与北京分别以9个占据各省排行第一,上海与浙江紧随其后。随着《网络安全法》及配套法规的深入落实,2018年的执法案例已覆盖更多省份及地区。在一年半的执法实践中,除上述东部省份外,安徽、山西、四川、重庆、宁夏、陕西、新疆等中西部地区也有执法案例发生。可见,目前网络安全执法范围已基本覆盖全国。
附件一:《网络安全法》行政执法相关处罚案例
为更清晰展现《网络安全法》自正式实施以来的相关执法案例,综合把握执法情况发展脉络及典型案例,在本期汇总整理的行政执法相关处罚案例中,我们在收录2017年主要执法案例外,重点关注2018年起由国家层面机关以及各地地方主管机关采取的主要执法检查行动和处罚案例。基于本文汇总分析的案例成果,可以初步感知,2018年发生的执法行动较于2017年下半年的案例,存在着以下显著特征:
关注的法律问题层面:执法案例更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化;
执法主体层面:工信部(及其地方所属的通信管理局)以及各级网信办参与执法行动的活跃度提升;
执法对象层面:除了一直属于监管重点的科技公司外,网络直播平台、电商平台、即时通讯平台等受监管关注的频度不断提升,执法对象涉及领域不断拓宽;
处罚措施层面:除了常规的约谈及督促整改以外,整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。
以下是《网络安全法》自2017年6月1日生效以来主要的行政执法相关处罚案例一览表:
点击图片查看大图
附件二:《网络安全法》相关的部分刑事典型案例
随着现代通讯技术和互联网技术的快速发展,公民个人信息极易泄露并被用于交易,计算机信息系统的安全性随时经受考验。为保障互联网环境下公民个人信息及计算机信息系统的安全,《网络安全法》第44条、第27条分别对这两部分的安全保障义务进行规定,并分别与《刑法》第253条之一、第285-286条予以对应。尽管目前,在公开的判决书内公开援引、提及《网络安全法》的情况相对较少,但由于上述条款的对应,使得任何个人及组织均需重视并遵守《网络安全法》的相关要求,避免刑事责任的承担。
本附件主要收录与《网络安全法》条款内容明确相关的、涉个人信息保护及信息系统安全的部分刑事典型案例,以2018年发生及作出判决的案例为主,并辅以部分之前已被最高人民法院、最高人民检察院收录在典型案例或者指导案例中的案例(包括《网络安全法》生效以前发生,但内容与《网络安全法》密切相关的案例),以展现上述领域较为常见或者具有创新性的案例场景。
以下是《网络安全法》相关的部分刑事典型案例情况表:
点击图片查看大图
注:
[1] 《四部委公布隐私条款评审结果 微信淘宝滴滴京东等获肯定》,腾讯科技, http://tech.qq.com/a/20170924/033887.htm
[2] 2018年隐私条款专项工作专家评审会议召开,全国信息安全标准化技术委员会官网,https://www.tc260.org.cn/front/postDetail.html?id=20181208190627
[3] 工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知,中华人民共和国工业和信息化部网络安全管理局官网,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c6314622/content.html
[4] 具体可参见 中华人民共和国工业和信息化部网络安全管理局-网络安全态势 版块,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057734/index.html
[5] “剑网2018”专项行动启动 对网络转载、短视频、动漫等重点领域开展版权专项整治,中国政府网,http://www.gov.cn/xinwen/2018-07/17/content_5306954.htm
[6] 工业和信息化部部署深入推进防范打击通讯信息诈骗工作,中华人民共和国工业和信息化部网络安全管理局官网,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057732/c6298677/content.html
[7] 公安机关重拳打击自媒体“网络水军”违法犯罪,中华人民共和国公安部官网,2018年12月8日,http://www.mps.gov.cn/n2253534/n2253535/c6320656/content.html
[8] 张军:中国检察机关在依法惩治侵犯公民个人信息犯罪、加强个人信息司法保护上做了五方面工作,最高人民检察院官网,http://www.spp.gov.cn/spp/gjwzb/201811/t20181108_398256.shtml
[9] 本文对于《网络安全法》行政执法的相关要素分析是基于2017年6月1日《网络安全法》正式生效以来的行政执法情况,涵盖本文收录的2017年下半年及2018年发生的主要行政执法案例。
[10] 责令整改是否为行政处罚措施存有争议,此处暂列为行政处罚措施。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
长按识别图中二维码,可查阅该合伙人简历详情。
输12
吴佳蔚 律师
北京办公室 知识产权部
薛泽涵 律师
北京办公室 知识产权部
作者往期文章推荐:
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》
《China's New Measures (draft) on Data Cross-border Transmission》
点击“阅读原文”,可查阅该新闻官网版。