人民網北京4月15日電 (孟植良)隨著網絡信息技術的應用普及覆蓋的擴大,重要網絡與信息系統已成為保障城市運轉和人們生產生活的關鍵基礎設施。然而這些網絡如受到攻擊,極有可能造成動車出軌、飛機墜毀等恐怖性災難。近日,北京市公安局網絡安全保衛總隊針對網絡安全發布典型案例。
關鍵信息基礎設施可分為三類:黨政機關網站、企事業單位網站、新聞網站等的公眾服務類;金融、電子政務、公共服務等的民生服務類以及能源、水利、交通、數據中心、電視廣播等的基礎生產類。這些系統一旦發生網絡安全事件,遭到破壞、喪失功能或者數據泄漏,將會嚴重影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。
習近平總書記指出:“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標”。近年來,針對關鍵信息基礎設施的攻擊和破壞活動不斷發生,這些事件警示我們,關鍵信息基礎設施安全問題不可一日不防。
案例回顧
案例一 未落實網絡安全保護義務被罰款8萬元
警方發現某市水務集團遠程數據監測平臺遭到黑客攻擊,致使網頁被篡改。事件發生后,警方第一時間派出網絡安全應急處置小組到該中心網站所在地進行處置和調查。經查,某市水務集團網絡安全意識淡薄,網絡安全管理制度不健全,網絡安全技術措施落實不到位,未留存6個月以上的網絡日志。
處罰:針對此案,警方依據《網絡安全法》第五十九條第一款之規定,給予該水務集團80000元罰款的行政處罰,同時分別對三個部門相關責任人李某、張某、李某給予15000元、10000元、10000元罰款的行政處罰。
相關法條:
《網安法》第二十一條規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
《網安法》第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
網警提示:落實網絡安全等級保護制度是每個企業應盡的義務,筑牢自身的安全屏障即是保護自已也是為構建社會網絡安全秩序添磚加瓦。
案例二 未履行網絡信息安全審核義務被罰款10萬元
警方檢查中發現,某網站身為從事國際聯網業務的單位,未按照相關法律規定對其用戶發布的信息進行管理,對法律、行政法規禁止發布或者傳輸的信息未立即停止傳輸、采取消除等處置措施,造成網站出現大量網絡招嫖類違法信息的嚴重后果。
處罰:依據《網絡安全法》第47條、第68條規定,對該公司予以罰款10萬元。
相關法條 :
《網安法》第四十七條 網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
《網安法》第六十八條 網絡運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
電子信息發送服務提供者、應用軟件下載服務提供者,不履行本法第四十八條第二款規定的安全管理義務的,依照前款規定處罰。
網警提示:網絡運營者在日常經營過程中,不但要承擔網絡安全義務,更要承擔網絡信息安全審核義務,要對在本平臺發布的信息承擔相應的責任后果。
案例三:未履行公民個人信息保護義務被行政警告
警方工作中發現,某炒股App存在超范圍采集用戶個人信息及手機權限的情況,立即前往該公司進行現場檢查。經檢查,該APP采集用戶個人信息和手機權限時,在獲取讀取手機狀態和身份、發現已知帳戶、攔截外撥電話、開機時自動啟動四項權限中存在超范圍采集用戶個人信息的情況。
處罰:依據《網絡安全法》第41條、第64條規定,對該軟件公司予以警告的行政處罰,責令限期整改。
相關法條:
《網安法》第四十一條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第六十四條:網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
違反本法第四十四條規定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
網警提示:公民個人信息保護已經成為我國當前重要的立法保護要點,網絡運營者千萬不可忽視,只有在日常工作中加強保護意識,才能防止公民信息外泄。
