此前,我们曾发表过关于企业没有履行网络安全保护和信息安全监管义务而受到处罚的案例,得到网民的广泛关注:
今天来给大家聊一聊,企业为何一定要认真履行网络安全保护和信息安全监管义务,不履行会带来什么严重后果,造成什么损失,我国相关法律法规对此又是如何规定的。
网络运营者为何要承担网络安全保护和信息安全监管义务呢?
网络运营者是网络社会的关键节点,掌握着用户与网络的连接桥梁,网络运营者的行为在很大程度上影响着用户的信息安全,甚至会影响整个网络社会的安全状态。
网络运营者提供的服务具有公共产品的属性,这一属性随着现代信息技术的不断渗透而被强化,其安全状态对整个社会的安全具有重大而深远的影响。
我国在网络政策上主张“谁接入,谁负责”、“谁运营,谁负责”,网络运营者在提供网络服务和产品的过程中获取了经济收益,那么就应当负有相应的防止危害发生的安全保护义务。
在全球网络安全问题日益复杂且严峻的情况下,提升网络运营者的安全意识,明确网络运营者的义务责任,是实现国家安全和社会稳定的必然要求。
划重点
企业作为网络运营者,所掌握、控制的网络资源不是企业私有财产,而是社会公共产品,一旦遭到侵害就是威胁到社会公共安全。有朋友不明白,问:“如果黑客攻击我们的网络,那是贼偷了我,我也是受害者,为什么还要受处罚呢?”
道理是这样的:如果贼偷了个人的东西,那没哪个警察蜀黍会去处罚受害者的。但比如你是银行门卫忘记关门,导致银行被盗,那你说说你该不该受处罚呢?
网络运营者要承担哪些网络安全保护和信息安全监管义务呢?
作为网络运营者,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
网络运营者应履行的义务
网络运行安全义务
网络产品和服务安全义务
关键信息基础设施安全保护义务
公民个人信息保护义务
网络信息安全管理义务
对公安机关的执法协助义务
其他法定义务
但是小企业有能力承担这些网络安全保护和信息安全监管义务吗?
正如上一个问题所回答的,其实《网络安全法》只是对网络运营者提出了一些最基本、最简单的网络安全保护和信息安全监管义务。有些企业不认真落实,导致受到黑客侵害。请大家随我来看看下面的种种不应该:
1、没有安全管理制度和应急预案
江苏泰州某事业单位网络安全意识淡薄,曾因不落实网络安全等级保护制度被责令整改。整改期满后,仍未落实内部管理制度和操作规程,再次遭到黑客攻击破坏,后被泰州网安部门行政处罚并责令停机整顿。
2、没有采取最基本的防病毒、防攻击措施
江苏无锡一上市企业使用的办公系统及网站管理员登陆采用弱口令,且未采取初次登录必须更改密码或强制所设密码强度等保护措施,导致公司存储的用户个人信息极易被黑客采取撞库方式窃取,后依法被无锡网安部门行政处罚。
3、不留存网络日志和重要数据
江苏徐州某网络科技公司经营的自动发卡平台,涉嫌为网络游戏外挂程序提供交易支付和自动发货服务。经查,该公司对犯罪嫌疑人利用其经营的平台兜售游戏外挂程序并不知情,但因疏于对平台管理,未采取必要的安全保护技术措施,未落实重要数据日志备份,导致部分涉案证据灭失,被徐州网安部门依法行政处罚。
4、不及时上报网络安全事件
江苏南通警方在侦办某机械制造有限公司网站遭黑客入侵案时发现,该公司网络安全意识淡薄,管理制度缺失。同时,承担网站运维的某网络技术有限公司明知网站多次遭黑客入侵,未将网站存在的安全缺陷、漏洞等风险及时告知用户和主管部门,且不按规定操作导致日志丢失,被南通网安部门依法行政处罚。
5、拒不配合公安机关调查取证
江苏南通如皋市某单位网站遭黑客攻击植入木马,致使网站跳转为博彩网站。经查,该单位网站管理混乱,技术防护措施薄弱。侦查过程中,为网站提供维护服务的南通某技术公司,在接到警方调取证据通知后,虚与委蛇,推脱应付,甚至采取删除木马病毒文件的方式,拒不向公安机关提供协助,致使相关证据灭失,后被依法行政处罚。
6、故意侵犯用户个人信息
上海某教育科技公司江苏常州分公司运营的一款日语教学APP应用超范围收集用户个人信息,未向用户公开收集、使用个人信息规则,未明示收集使用信息的目的、方式和范围,被常州网安部门依法行政处罚。
不承担网络安全保护和信息安全监管义务可能造成什么后果呢?
随着网络的迅猛发展,网络越来越渗入到生产生活的各个方面,网络安全越来越成为影响国家安全和社会安全的重要因素。网络运营者不履行网络安全保护和信息安全监管义务造成的危害愈发凸显。
1、网站遭黑客攻击篡改
江苏南通某农业科技发展有限公司运营的网站存在重大安全漏洞,管理制度缺失,网络安全意识淡薄,致使犯罪嫌疑人在其网站发布各类招嫖、诈骗广告18000余条。
2、用户信息和重要数据遭泄露
江苏宿迁警方在侦办一起非法买卖新生儿个人信息案件时发现,部分新生儿个人信息系从宿迁某妇幼健康管理平台泄露。经查,平台运营单位安全管理和技术防护措施缺失。
3、影响企业单位正常运营,造成经济损失
江苏某通信技术公司因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致该公司业务管理系统遭受攻击破坏,对其正常业务开展造成较大影响。
4、关键信息基础设备停摆,引发重大安全事故
江苏南通某水利工程管理所主机系统存在3个高风险漏洞,其中主机漏洞1处、弱口令2处。该所运营的港闸为国家大型水闸,承担南通地区697平方公里挡潮排涝、360万亩农田灌溉任务,相关系统被公安部、水利部列入国家关键信息基础设施目录,一旦遭攻击破坏,后果不堪设想。
网络运营者不依法履行义务要负什么样的法律责任呢?
应按照《网络安全法》等行政法律法规承担行政法律责任。网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,符合法定情形的,构成拒不履行信息网络安全管理义务罪,依法承担刑事责任。
依法履行网络安全保护和信息安全监管义务
落实安全措施
是非常重要并且完全可以做到的
有社会责任感的企业
绝不会无设防地让自己客户的
信息数据暴露在危险之下
绝不会忽视网络安全风险隐患
网是菩提树,警似明镜台
措施做到位,何处惹尘埃
图片 | 网络截图
素材 | 江苏网警
编辑 | 宋励/周琪
声明:本文来自公安部网安局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。