1月17日山西省人民政府法制办公室发布了《山西省公安机关网络安全管理行政处罚裁量基准(试行)》稿,这应该是目前国内第一个省级政府给出的关于网络安全管理行政处罚的裁量基准,这对按照网络安全法进行相关违法行为处罚具有指导建设性意义,这对如何进行网络安全相关违法行为处罚有了明确的执法细则。今天不得不等摘取了部分和大家紧密相关的违法行为裁量基准,方便大家学习。
第一章 总 则
一、为规范公安机关网络安全管理行政处罚案件办理,根据《中华人民共和国网络安全法》《中华人民共和国行政处罚法》《中华人民共和国计算机信息系统安全保护条例》《山西省计算机信息系统安全保护条例》《信息安全等级保护管理办法》等法律、法规规定,结合我省实际,制定山西省公安机关网络安全管理行政处罚裁量基准。
五、相关行为违反《中华人民共和国计算机信息系统安全保护条例》第九条、《信息安全等级保护管理办法》(公通字【2007】43号)相关规定,属于《中华人民共和国网络安全法》第二十一条第五款规定情形,依照《中华人民共和国网络安全法》第五十九条进行处罚。
七、对违反《中华人民共和国网络安全法》的相关行为,在追究法律责任的同时,依照有关法律、行政法规的规定记入信用档案,并予以公示。违反《中华人民共和国网络安全法》规定,给他人造成损害的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
八、国家机关政务网络的运营者不履行《中华人民共和国网络安全法》规定的网络安全保护义务,公安机关应当通报其上级机关或有关机关对直接负责的主管人员和其他直接责任人员依法给予处分。
第二章 违法行为名称、行政处罚依据及裁量基准
一、未按照网络安全等级保护制度的要求履行安全保护义务
【违法依据】
《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《中华人民共和国计算机信息系统安全保护条例》第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
《信息安全等级保护管理办法》。
【处罚依据】
《中华人民共和国网络安全法》第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
【裁量基准】
违法行为可以直接适用《中华人民共和国网络安全法》第二十一条第(一)(二)(三)(四)款进行处罚的适用以上规定进行处罚。无法直接适用第(一)(二)(三)(四)款的适用第(五)款的规定进行处罚。
1.初次违反规定,且未导致危害网络安全等后果的,责令改正,给予警告;
2.拒不改正或导致危害网络安全等后果的,对运营者处一万元以上五万元以下罚款;对直接负责的主管人员处五千元以上二万元以下罚款;
3.拒不改正且导致危害网络安全等后果的,对运营者处五万元以上十万元以下罚款;对直接负责的主管人员处以二万元以上五万元以下罚款。
二、未按规定履行网络安全事件应急处置义务
【违法依据】
《中华人民共和国网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
【处罚依据】
《中华人民共和国网络安全法》第五十九条,网络运营者不履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
【裁量基准】
1.初次违反规定且未导致危害网络安全等后果的,责令改正,给予警告;
2.拒不改正或导致危害网络安全等后果的,对运营者处一万元以上五万元以下罚款;对直接负责的主管人员处五千元以上二万元以下罚款;
3.拒不改正且导致危害网络安全等后果的,对运营者处五万元以上十万元以下罚款;对直接负责的主管人员处以二万元以上五万元以下罚款。
四、未按规定履行个人信息保护义务
【违法依据】
《中华人民共和国网络安全法》第四十二条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
【处罚依据】
《中华人民共和国网络安全法》第六十四条第一款,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
【裁量基准】
1.初次违反规定且未导致危害网络安全等后果的,责令改正,给予警告并没收违法所得;
2.情节严重的,给予没收违法所得、处违法所得一倍以上五倍以下罚款,没有违法所得的,处十万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上五万元以下罚款;
3.情节特别严重的,给予没收违法所得、处违法所得五倍以上十倍以下罚款,没有违法所得的,处五十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上十万元以下罚款;责令暂停相关业务、停业整顿、关闭网站、建议主管部门吊销相关业务许可证或者吊销营业执照。
七、未按规定履行网络安全配合、支持、协助义务
【违法依据】
《中华人民共和国网络安全法》第四十九条第二款,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
《中华人民共和国网络安全法》第二十八条,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
【处罚依据】
《中华人民共和国网络安全法》第六十九条,网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
【裁量基准】
1.初次违反规定且未导致危害网络安全等后果的,责令改正;
2.情节严重的,处五万元以上二十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上五万元以下罚款;
3.情节特别严重的,处二十万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上十万元以下罚款。
第三章 附 则
一、本基准所称的拒不改正是指未按照公安机关的要求实施整改、非因不可抗力未在规定的期限内完成整改;违反本基准确定的同一类违法行为被给予行政处罚后又违反的。
二、本基准所称的导致危害后果是指因不履行法律义务致使发生网络安全事件、造成损害公民、法人和其他组织合法权益或者危害公共利益和社会秩序的后果。
三、本基准所称的初次是指责任主体第一次违反本基准确定的具体违法行为。
四、本基准所称的国家电子政务网络运营者是指党、国家机关或其他组织开展政务工作所使用的网络的所有者、管理者。
五、本基准所称的情节严(较)重是指行为人的违法行为具有拒不改正或导致危害后果等情形。
六、本基准所称的情节特别严重是指行为人的违法行为具有拒不改正等情形且导致危害后果发生。
七、本基准中“以上”不含本数,“以下”含本数。
之前不得不等说过,不做等保也可以,但是你不要出事情,出了事就很难办。恐怕随着这个违法裁量基准出来,这句话要改改,改成:没有做等保的抓紧去做等保,不要等到主管机关责令你整改,给了你一次改过机会你务必一定要把握住,不然等到主管机关再来找你时,可以以拒不改正的条例,对运营者处一万元以上五万元以下罚款;对直接负责的主管人员处五千元以上二万元以下罚款。就是说只要网络运营者没开展等保工作即使没有出事,也可能被处以罚款等严肃处罚。
山西的网络运营者要特别注意了,这次是山西的地方违法行为裁量基准,但是不得不等预计未来会有更多的各地违法行为裁量基准出来,最终一定会有国家统一的网络安全违法行为裁量基准。我们不必等这些裁量基准逐步落地,我们需要关心的是对照这些行为检查下自己或者自己的单位相关事项是否已经落实做好了,落实好的继续保持并不断优化,没有落实的请抓紧落实。
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。