网络安全法两案

在2017年6月1日《网络安全法》正式施行以后,在广东汕头与重庆分别出现了依据《网络安全法》进行行政处罚的案件:

为了进一步推进网络安全等级保护工作,按照省厅严打整治网络犯罪“安网”专项行动的部署,汕头网警支队对全市网络安全等级保护重点单位进行执法检查。2017年7月20日,检查中发现,汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至今未按规定定期开展等级测评。汕头市某信息科技有限公司之行为已违反《信息安全等级保护管理办法》第十四条第一款和《网络安全法》第二十一条第(五)项规定,构成未按规定履行网络安全等级测评义务。根据《网络安全法》第五十九条第一款规定,依法对该单位给予警告处罚并责令其改正。(来源

重庆市公安局网安总队在日常检查中发现,重庆市首页科技发展有限公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。该公司收到《行政处罚通知书》后,立即编制了《整改方案》并着手实施整改,待整改完成后,公安机关将对其整改情况进行验收。(来源

在汕头的案件中,《网络安全法》第二十一条第(五)项实际上是兜底条款,是“法律、行政法规规定的其他义务。”在《网络安全法》中,等级保护也被列为网络运营者的基本义务。案件中的公司按照第三级进行的报备,根据《信息安全等级保护管理办法》,第三级信息系统应当每年至少进行一次等级测评,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。虽然处罚并不重,但这是我国《网络安全法》适用的第一案。

在重庆的案件中,被处罚对象作为IDC(数据中心),属于网络运营者的范畴,按照《网络安全法》应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

值得留意的是,尽管在《网络安全法》中存在众多的行政执法主体,涉及网信、工信、公安等多个,但目前两起案件都是由公安部门进行的行政处罚,可以预期在未来对公安部门内部的网安部门将在网络安全监管方面扮演重要的角色,会对网络运营者等级保护、日志留存的情况进行定期检查。在《网络安全法》中,对网络运营者有关义务的主管部门并不明确,尤其是对日志留存情况的监督部门在法律中并没有提及(等级保护一直是由公安部门负责)。

鉴于《网络安全法》中的“网络运营者”概念模糊,外延极宽,甚至包括工业控制系统、局域网的所有者、管理者和服务提供者。这两起案件对厘清部门权力、企业(网络运营者)的合规具有重要的参考价值。而与《网络安全法》相关的案件预计也将会越来越多。