公安部关于《公安机关互联网安全监督检查规定(征求意见稿)》公开征求意见的公告
为贯彻落实《网络安全法》,规范公安机关互联网安全监管工作,督促互联网服务提供者依法落实安全责任义务,保障互联网服务提供者和个人合法权益,经充分调研、广泛征求意见和深入研究论证,我部起草了《公安机关互联网安全监督检查规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式将意见发送至:syjyc@vip.126.com。
3.通过信函方式将意见寄至:北京市东城区东长安街14号网络安全保卫局(邮编:100741)。
4.将意见传真至:010-66262319。
意见反馈截止时间为2018年5月4日。
公安部
2018年4月4日
公安机关互联网安全监督检查规定
(征求意见稿)
第一章 总则
第一条 为加强和规范公安机关互联网安全监督检查工作,防范网络违法犯罪,维护网络安全,保护公民、法人和其他组织合法权益,根据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》等有关法律、行政法规,制订本规定。
第二条 本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规和部门规章规定的网络安全责任义务情况进行的安全监督检查。
互联网上网服务营业场所的监督检查,按照《互联网上网服务营业场所管理条例》有关规定实施。
第三条 互联网安全监督检查,由地市级以上人民政府公安机关网络安全保卫部门组织实施。
第四条 上级公安机关应当对下级公安机关开展互联网安全监督检查的情况进行指导和监督。
第五条 公安机关开展互联网安全监督检查,应当遵守国家有关法律、行政法规和规章规定,保障公民、法人和其他组织的合法权益。
第六条 公安机关及其工作人员对依法履行互联网安全监督检查职责中知悉的个人信息和商业秘密,应当严格保密,不得泄露、出售或者非法向他人提供。
第七条 公安机关对互联网安全监督检查中发现的可能危害国家安全、公共安全、社会秩序的互联网安全风险,应当及时通报有关互联网管理部门。
第二章 检查内容和形式
第八条 互联网安全监督检查由互联网服务提供者网络服务运营机构和联网使用单位网络管理机构所在地公安机关具体负责。互联网服务提供者为个人的,可以由互联网服务提供者经常居住地所在地公安机关具体负责。
对互联网安全监督检查的管辖存在争议的,由共同的上级公安机关指定管辖。
第九条 公安机关可以实施以下互联网安全监督检查:
(一)对履行法定网络安全责任义务情况的监督抽查;
(二)在重大网络安全保卫任务期间的专项检查;
(三)根据需要进行的其他监督检查。
第十条 公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,重点对下列互联网服务提供者和联网使用单位组织开展监督抽查:
(一)开办互联网接入、数据中心、内容分发、域名服务,或者变更互联网服务种类、内容未满一年的;
(二)开办互联网信息服务,或者变更互联网信息服务内容未满一年的;
(三)开设上网服务场所,或者联网单位接入互联网未满一年的;
(四)两年内曾发生过网络安全事件、违法犯罪案件,或者因未履行法定网络安全责任义务被公安机关依法给予行政处罚的。
第十一条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全责任义务的实际情况,重点检查以下内容:
(一)是否办理国际联网备案手续,并报送接入单位和用户基本信息及变更情况;
(二)是否制定网络安全管理制度和操作规程,确定网络安全负责人;
(三)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
(四)是否采取记录并留存用户注册信息和上网日志信息的技术措施,留存时间是否符合法律法规规定;
(五)是否落实网络安全等级保护制度,按照有关标准规范要求,采取管理和技术措施,保护网络、信息系统、数据资源安全;
(六)是否采取在公共信息服务中禁止发布和停止传输违法信息,并保存相关记录的措施;
(七)是否依照国家法律和标准采取为公安机关依法维护国家安全、侦查犯罪、防范调查恐怖活动提供技术支持和协助措施;
(八)是否履行法律法规规定的其他网络安全责任义务。
第十二条 在国家重大网络安全保卫任务期间,公安机关对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,可以组织开展专项检查,并重点检查以下内容:
(一)提供的互联网接入服务、信息服务和上网服务等是否符合网络安全要求;
(二)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定安全管理人员;
(三)是否组织开展网络安全风险评估,并采取相应风险管控措施,堵塞网络安全漏洞隐患;
(四)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
(五)是否依法采取了重大网络安全保卫任务所需要的其他网络安全防范措施。
第十三条 对提供下列服务的互联网服务提供者和联网使用单位,公安机关除监督检查本规定第十一条所列内容外,还应当依法重点检查以下内容:
(一)提供互联网接入服务的互联网服务提供者和联网使用单位,是否记录并留存IP地址及分配使用情况;
(二)提供互联网数据中心服务的互联网服务提供者和联网使用单位,是否记录所提供的主机托管、主机租用和虚拟空间租用用户信息;
(三)提供互联网域名服务的互联网服务提供者和联网使用单位,是否记录网络域名申请、变动,是否对违法域名采取了停止解析措施;
(四)提供互联网信息服务的互联网服务提供者和联网使用单位,是否采取了用户发布信息管理、已发布违法信息消除和防止扩散措施;
(五)提供互联网内容分发服务的互联网服务提供者和联网使用单位,是否记录了内容分发网络与内容源网络链接对应情况;
(六)提供互联网上网服务的互联网服务提供者和联网使用单位,是否采取了符合公共安全行业技术标准的网络与信息安全保护技术措施。
第三章 检查程序
第十四条 互联网安全监督检查可以采取现场检查或者远程检测的方式进行。
第十五条 公安机关对互联网服务提供者和联网使用单位开展互联网安全监督现场检查,监督检查人员不得少于二人,并应当出示人民警察证和《执法检查通知书》。
第十六条 公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞等网络安全风险隐患,可以开展远程检测。
第十七条 公安机关开展互联网安全监督检查可以根据需要采取以下措施:
(一)进入营业场所、机房、办公场所以及其他监督检查需要进入的场所;
(二)会见被检查对象的负责人或者网络安全管理相关人员,要求对检查事项做出说明;
(三)查阅、调取与网络安全监督检查相关的信息;
(四)查看网络安全保护技术措施运行情况;
(五)利用检查工具开展现场或远程检测。
第十八条 公安机关利用检查工具开展现场检查或远程检测,应当告知被检查对象或者公开检查事项,不得干扰、破坏被检查对象网络的正常运行。
公安机关开展现场检查或远程检测可以委托由省级以上公安机关授权的网络安全服务机构提供技术支持。在现场检查或远程检测中,公安机关应当监督网络安全服务机构落实安全管理与保密责任。
第十九条 公安机关开展现场检查,应当制作检查记录,并由两名以上检查人员和被检查对象负责人或者网络安全管理人员签名。被检查对象负责人或者网络安全管理人员对检查记录有异议的,应当允许其作出说明;拒绝签名的,检查人员应当在检查记录中注明。
公安机关开展远程检测,应当制作并留存检查记录,并由两名以上检查人员在检查记录上签名。网络安全服务机构的工作人员参与远程检测的,应当一并在检查记录上签名。
第二十条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有网络安全风险隐患,但显著轻微的,可以口头责令整改,并在检查记录上注明;发现有违法行为,但情节轻微或者未造成后果的,可以依法约谈相关负责人要求采取措施消除隐患,限期进行整改。
第二十一条 公安机关应当对被检查对象整改情况进行核查。
第二十二条 检查收集的资料、制作的各类文书等材料,应当立卷存档。涉密文档按照国家有关规定单独存档和管理。
第二十三条 公安机关应当建立并落实网络安全监督检查工作制度,自觉接受互联网服务提供者、联网使用单位的监督。
公安机关在依法履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第四章 法律责任
第二十四条 互联网服务提供者和联网使用单位有下列违法行为,造成危害网络安全等后果或者拒不改正的,公安机关可以根据不同情况依法给予行政处罚:
(一)未制定网络安全管理制度和操作规程,未确定网络安全负责人的,依照《网络安全法》第五十九条第一款的规定予以处罚;
(二)未采取防范计算机病毒和网络攻击、网络侵入等技术措施的,依照《网络安全法》第五十九条第一款的规定予以处罚;
(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《网络安全法》第五十九条第一款的规定予以处罚;
(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《网络安全法》第六十一条的规定予以处罚;
(五)未依法采取在公共信息服务中禁止发布和停止传输违法信息及保存相关记录措施的,依照《网络安全法》第六十八条的规定予以处罚;
(六)拒不为公安机关依法维护国家安全、侦查犯罪提供技术支持和协助的,依照《网络安全法》第六十九条第三项的规定予以处罚。
互联网服务提供者和联网使用单位拒不为公安机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的,由公安机关依照《反恐怖主义法》第八十四条第一项的规定予以处罚。
第二十五条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,应当依照《网络安全法》第六十四条第二款的规定予以处罚。
第二十六条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的,应当依照《网络安全法》第六十条第一项的规定予以处罚。
第二十七条 互联网服务提供者和联网使用单位拒绝、阻碍公安机关互联网安全监督检查的,应当依照《网络安全法》第六十九条第二项的规定予以处罚。
第二十八条 受公安机关委托提供技术支持的网络安全服务机构及其工作人员,在工作中干扰、破坏被检查对象网络正常运行的,依照《网络安全法》第六十三条的规定予以处罚;泄露、出售、非法提供在工作中获悉的个人信息,依照《网络安全法》第六十四条第二款的规定予以处罚,构成犯罪的,依法追究刑事责任。
前款规定的机构及人员侵犯被检查对象的商业秘密,构成犯罪的,依法追究刑事责任。
第二十九条 公安机关及其工作人员在互联网安全监督检查中,玩忽职守、滥用职权、徇私舞弊的,对直接负责的主管人员和其他直接责任人员应当依法给予处分;构成犯罪的,依法追究刑事责任。
公安机关及其工作人员将在依法履行互联网安全监督检查职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五章 附则
第三十条 本规定所称“以上”、“内”皆包括本数或者本级。
第三十一条 本规定自X年X月X日起施行。
附件:公安机关网络安全执法检查通知书式样
声明:本文来自公安部,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。