版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於微信公眾號【國瓴合規研究院】
【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第四章 網絡運行安全制度一般規定(下)
第三節 網絡產品和網絡服務的安全保障
一、網絡產品和網絡服務提供者的義務
網絡安全法第二十二條規定:
“【一般安全義務】網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告。
【安全維護義務】網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
【用戶信息保護義務】網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。”
二、網絡關鍵設備和安全專用產品的安全認證、檢測
網絡安全法第二十三條規定:“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重複認證、檢測。”
(一)認證、檢測的範圍
網絡安全法第二十三條所說的安全認證、安全檢測是對網絡關鍵設備和網絡安全專用產品的要求。
《信息安全技術 網絡安全等級保護實施指南》(GB/T 25058-2019)第4.2項“角色和職責”中的第f項規定:網絡安全產品供應商負責按照國家網絡安全等級保護的管理規範和技術標準,開發符合等級保護相關要求的網絡安全產品,接受安全測評;按照等級保護相關要求銷售網絡安全產品並提供相關服務。
國家網信辦、工業和信息化部、公安部、國家認證認可監督管理委員會2017年6月1日發出《關於發布<網絡關鍵設備和網絡安全專用產品目錄(第一批)>的公告》,公布《網絡關鍵設備和網絡安全專用產品目錄(第一批)》,明確應進行安全認證或安全檢測的15類網絡關鍵設備和網絡安全專用產品。其中列出的網絡關鍵設備包括:1路由器、2交換機、3服務器(機架式)、4可編程邏輯控制器(PLC設備);列出的網絡安全專用產品包括:5數據備份一體機、6防火牆(硬件)、7WEB應用防火牆(WAF)、8入侵檢測系統(IDS)、9入侵防禦系統(IPS)、10安全隔離與信息交換產品(網閘)、11反垃圾郵件產品、12網絡綜合審計系統、13網絡脆弱性掃描產品、14安全數據庫系統、15網站恢複產品(硬件)。
(二)認證、檢測的方式
2018年3月15日,國家認證認可監督管理委員會、工業和信息化部、公安部、國家網信辦發布《關於發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)的公告》,共有16家機構入選該名錄。
2018年5月30日,國家認證認可監督管理會、國家網信辦發布《關於網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》。
為落實網絡安全法第二十三條的要求,圍繞國家網信辦、工業和信息化部、公安部、國家認證認可監督管理委員會發布的《網絡關鍵設備和網絡安全專用產品目錄(第一批)》,信安標委秘書處組織測評機構、廠商及相關專家,先後於2019年5月16日和2019年8月14日發布《網絡關鍵設備和網絡安全專用產品相關國家標準要求(征求意見稿)》和《網絡關鍵設備和網絡安全專用產品相關國家標準要求(第二版征求意見稿)》,旨在為15類網絡關鍵設備和網絡安全專用產品的安全認證檢測提供標準支撐。2019年6月4日,工業和信息化部發布《網絡關鍵設備安全檢測實施辦法(征求意見稿)》。這些征求意見稿具體規定了認證、檢測的相關國家標準和實施辦法。
第四節 網絡安全服務活動規範
網絡安全法第二十六條規定:“開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。”
第二十三條規定,網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。
第三十八條規定,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
實踐中,其他網絡產品和服務提供者、網絡運營者出於自身安全管理的需要或者市場競爭的需要,也會自願委托專業機構來進行認證、檢測和風險評估。這些都需要通過認證、檢測和風險評估的網絡安全服務活動來完成。
此外,基於職責、企業社會責任感、個人興趣等原因,個人、網絡運營者、漏洞關聯廠商、漏洞收錄組織、漏洞應急組織等也會根據自己對網絡安全風險的評估、監測,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息。這些活動都為防範網絡安全風險發揮了作用。因此,有必要對網絡安全的認證、檢測、風險評估和發布網絡安全信息等活動進行必要的規範。
第五節 禁止危害網絡安全的行為
網絡安全法第二十七條規定:“任何個人和組織不得從事非法侵入他人網絡、幹擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用於從事侵入網絡、幹擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。”
該條規定明確禁止三種行為。該條規定與相關法律法規的在先規定相銜接。下面列舉相關法律法規的在先規定。
一、禁止危害網絡安全
《刑法》第二百八十五條規定:“違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
違反國家規定,侵入前款規定以外的計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
【第三款略】
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”
《刑法》第二百八十六條規定:“違反國家規定,對計算機信息系統功能進行刪除、修改、增加、幹擾,造成計算機信息系統不能正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。
故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照第一款的規定處罰。”
二、禁止為危害網絡安全的行為提供程序工具
《刑法》關於提供侵入、非法控制計算機信息系統程序、工具罪的第二百八十五條第三款規定:“提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。”
三、禁止為危害網絡安全的行為提供幫助
《刑法》關於幫助信息網絡犯罪活動罪的第二百八十七條之二規定:“明知他人利用信息網絡實施犯罪,為其犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照第一款的規定處罰。
有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。”
第六節 網絡安全合作和執法中獲取信息的用途限制
一、網絡安全合作
網絡安全法第二十九條規定:“國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作,提高網絡運營者的安全保障能力。
有關行業組織建立健全本行業的網絡安全保護規範和協作機制,加強對網絡安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網絡安全風險。”
二、監督管理部門履責中獲取信息的用途限制
網絡安全法第三十條規定:“網信部門和有關部門在履行網絡安全保護職責中獲取的信息,只能用於維護網絡安全的需要,不得用於其他用途。”
網絡安全監督管理部門在履行職責過程中不可避免會接觸、獲取有關個人和組織的各種信息。為了充分保護個人和組織的合法權益,鼓勵個人和組織積極配合有關部門開展工作,網絡安全法對網信部門和有關部門在履行職責中獲取的信息的用途進行了限制,要求這些信息只能用於維護網絡安全的需要,不能用作其他用途。
公安部《公安機關互聯網安全監督檢查規定》第五條規定:“公安機關及其工作人員對履行互聯網安全監督檢查職責中知悉的個人信息、隱私、商業秘密和國家秘密,應當嚴格保密,不得泄露、出售或者非法向他人提供。公安機關及其工作人員在履行互聯網安全監督檢查職責中獲取的信息,只能用於維護網絡安全的需要,不得用於其他用途。”
第七節 案例介紹
一、泰州市凱歌娛樂有限公司網絡運營者不履行網絡安全保護義務案
案例類型:行政處罰
處罰機構:泰州市公安局海陵分局
發文案號:海公(北)行罰決字〔2019〕541號
處罰時間:2019.06.17
相關法條:網絡安全法第二十一條第三項、第五十九條第一款
(一)案情簡介
2019年6月9日21時許,泰州市公安局海陵分局民警對江蘇省泰州市海陵區海陵北路288號一單元304、305、306室、三層二單元301室進行檢查時發現,該單位未按照網絡安全等級保護制度的要求履行安全保護義務,采取監測、記錄網絡運行狀態、網絡安全事件。
(二)處罰結果
對泰州市凱歌娛樂有限公司(阿米哥)責令七日內改正(自2019年6月17日起到2019年6月24日止)並處警告的處罰。
二、宜興市建築安裝工程管理處網絡運營者不履行網絡安全保護義務案
案例類型:行政處罰
處罰機構:宜興市公安局
發文案號:宜公(南)行罰決字〔2019〕2331號
處罰日期:2019.05.14
相關法條:網絡安全法第二十二條第一款、第六十條
(一)案情簡介
2019年以來,宜興市建築安裝工程管理處使用的域名為http://www.xxxx.cn/的宜興市建築業行業協會網站上存在2個SQL注入,存在安全缺陷、風險,發現後未采取補救措施,被查獲。
(二)處罰結果
對宜興市建築安裝工程管理處警告。
三、上海鑫澄電信有限公司與上海市公安局闵行分局公安行政管理糾紛案
案例類型:法院二審判決
審理法院:上海市第一中級人民法院
案號:(2018)滬01行終601號
裁判日期:2018.06.28
相關法條:網絡安全法第八條、第二十四條第一款,《互聯網安全保護技術措施規定》第五條、第十六條,《行政訴訟法》第八十九條第一款第(一)項
(一)案情簡介
2017年7月6日,被上訴人上海市公安局闵行分局(以下簡稱“公安闵行分局”)下屬網絡安全保衛支隊對某樓進行網絡安全隱患檢查,發現2017年7月6日負責網絡接入業務的代理商即上訴人上海鑫澄電信有限公司(以下簡稱“鑫澄公司”)在為該樓部分企業提供互聯網接入服務的過程中,存在未與相關企業簽署接入協議,未要求相關企業提供實名信息的情況。2017年7月12日,公安闵行分局作出滬公闵(網安)責通字[2017]0003號《責令限期整改通知書》,認定鑫澄公司存在為用戶辦理網絡接入時未要求用戶提供真實身份信息的違法行為,根據網絡安全法第六十一條之規定,責令鑫澄公司立即予以改正。在2017年7月27日前改正或整改完畢,並將結果函告公安闵行分局,在期限屆滿之前,鑫澄公司必須在與用戶簽訂協議或者確認提供服務時,要求用戶提供真實身份信息。公安闵行分局於當日向鑫澄公司送達了《責令限期整改通知書》。
鑫澄公司不服,訴至原審法院,請求判決撤銷上述責令限期整改通知。一審法院判決駁回鑫澄公司的訴訟請求。
鑫澄公司上訴稱:被上訴人作出責令限期整改通知時並無任何證據能證明上訴人實施了涉案違法行為。請求二審法院撤銷原判,改判支持上訴人的訴訟請求。
被上訴人公安闵行分局辯稱:其已經提供證據證明上訴人存在為用戶辦理網絡接入時未要求用戶提供真實身份信息的違法行為。請求二審法院駁回上訴,維持原判。
(二)法院認為
根據網絡安全法第八條、公安部《互聯網安全保護技術措施規定》第五條、第十六條的規定,公安機關應當依法對轄區內互聯網服務提供者和聯網使用單位安全保護技術措施的落實情況進行指導、監督和檢查。因此,被上訴人公安闵行分局具有作出本案被訴責令限期整改通知的行政職權。本案中,上訴人鑫澄公司在為某樓的用戶辦理網絡接入服務時,未要求用戶提供真實身份信息,該事實有被上訴人提供的檢查筆錄、辦案民警出具的工作情況等證據證明,亦有辦理網絡接入的用戶提交的書面說明和上訴人提交的與用戶簽訂的鑫澄電信通信產品接入服務合同等證據印證,主要證據充分,基本事實清楚。上訴人的上述行為違反了網絡安全法第二十四條第一款的規定,被上訴人根據該法第六十一條的規定,對上訴人作出責令限期整改通知,符合網絡安全的法律規定,執法程序亦無不當。因此,原審判決並無不當,本院可予維持。
(三)裁判結果
駁回上訴,維持原判。
四、李某某與中國移動通信集團遼寧有限公司大連分公司電信服務合同糾紛案
案例類型:法院一審判決
審理法院:遼寧省大連市中山區人民法院
案號:(2017)遼0202民初1797號
裁判日期:2017.06.05
相關法條:網絡安全法第二十四條
(一)案情簡介
2004年7月,原告李某某以每五年更新一次的警官證登記注冊被告中國移動通信集團遼寧有限公司大連分公司提供的移動電話服務,此後原告還辦理了公安V網大客戶,同時由於原告的良好使用信譽,被告給予原告較高的信譽等級。2016年12月,原告發現電話突然無法正常使用,諮詢10086,被答複“可能是由於機主信息登記不全,需補充登記”。原告於2017年1月初去被告大紡營業廳辦理信息補充登記業務被告知:該電話號碼已經被銷號,只能辦理複裝業務並且不能恢複到原有的資費套餐、V網大客戶及信譽等級等。原告同意辦理先行複裝,然而被告設備系統無法識別原告軍人身份證完成複裝。原告遂先後三次通過10086客服、遼寧移動官網投訴,被告一直無法解決。案發前原告對被告的電話提醒業務並未及時查看。
原告提起訴訟,請求判令:1.被告恢複原告電話號碼包括正常使用(資費套餐)、V網大客戶及信譽等級等原有權益;2.被告升級系統保證現役軍人的合法通信權益,並向原告書面道歉;3.本案訴訟費由被告承擔。
被告辯稱:被告對在網老客戶實名登記不符合法律相關規定的,已履行補登記的通知義務。如原告滿足工信部的身份驗證要求,可以再辦理入網登記、V網大客戶及信譽等級等原有權益,不同意其他請求。
(二)法院認為
網絡安全法第二十四條第一款規定,用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。2004年7月,原告以每五年需要更新一次的警官證登記入網辦理移動電話,依據有關規定需要辦理補登記。被告通過短信的方式告知原告進行實名補登記,已履行通知、告知義務。原告對被告的電話提醒業務未及時查看。涉案電話號碼銷戶是原告未按通知規定的時間內辦理補登記手續導致的後果,並非被告侵害原告的合法通信權益。原告的訴訟請求,於法無據,不予支持。
(三)裁判結果
駁回原告李某某的訴訟請求。
五、杭州蜂享科技有限公司未制定網絡安全事件應急預案案
案例類型:行政處罰
處罰機構:餘杭區公安分局
發文案號:餘公(網)行罰決字[2018]11460號
處罰時間:2018.03.28
相關法條:網絡安全法第二十五條、第五十九條
(一)案情簡介
2018年03月27日8時35分,餘杭區網警大隊在工作中發現杭州市餘杭區倉前街道杭州蜂享科技有限公司未履行網絡安全保護義務,未制定網絡安全事件應急預案,導致網絡數據被竊取、篡改。
(二)處罰結果
給予杭州蜂享科技有限公司警告處罰。
六、王某某破壞計算機信息系統案
案例類型:行政處罰
處罰機構:海門市公安局
發文案號:海公(網)行罰決字〔2018〕1614號
處罰時間:2018.09.27
相關法條:網絡安全法第二十七條、第六十三條第一款
(一)案情簡介
2018年1月30日、1月31日,王某某在網絡攻擊平臺“scy.087.com.cn”分四次購買共計500元的DDOS攻擊服務套餐,對一公司網站進行DDOS攻擊,後王某某於2018年9月20日被公安機關查獲。
(二)處罰結果
給予王某某行政拘留三日的處罰。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複