新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

不履行网络安全保护义务就要被罚
2019-10-14 15:21:39

开展经营和服务活动

必须履行网络安全保护义务

否则不仅可能影响网络的正常安全运行

构成违法犯罪还将受到法律的制裁


“净网2019”专项活动开展以来,全国各省市公安机关对违法犯罪处罚政治力度可谓之大,也对相关涉事单位及负责人第一时间内作出了对应的处罚。


《网络安全法》相关处罚内容:


“ 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。


关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


关于以上处罚的一些相关注释:


网络运营者是保障网络运行安全的第一责任人,《网络安全法》第二十条、第二十五条对网络运营者的网络安全保护义务作了规定。具体而言,


一是要求网络运营者按照网络安全等级保护制度的要求,采取技术措施和其他必要措施,维护网络运行安全,包括:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取技术措施防范计算机病毒和网络攻击、网络侵入等危害网络安全的行为;监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施以及法律、行政法规规定的其他义务。


二是为及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,要求网络运营者制定网络安全事件应急预案,并在发生网络安全事件时立即启动应急预案,采取补救措施并向有关主管部门报告。


同时,鉴于关键信息基础设施安全对国家安全、经济安全和保障民生的重要作用、相对于一般网络运营者,关键信息基础设施运营者应承担更重的安全保护义务。《网络安全法》第三十三条、第三十四条、第三十六条、第三十八条对关键信息基础设施运营者的网络安全保护义务作了专门规定。具体而言,


一是在建设关键信息基础设施时,关键信息基础设施运营者应确保其性能能够支持业务稳定和持续运行,并且相应的安全技术措施要遵守“三同步”原则,即同步规划、同步建设、同步使用。


二是在运营关键信息基础设施时,不仅要求关键信息基础设施运营者应履行网络安全等级保护制度规定的义务,而且对其提出了更高的要求,包括:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期组织演练;法律、行政法规规定的其他义务。


三是在采购网络产品和服务时,要求关键信息基础设施运营者与网络产品和服务的提供者签订安全保密协议,明确安全和保密义务与责任。


四是要求关键信息基础设施运营者每年至少进行一次安全检测评估并及时将评估情况和改进措施报送相关安全保护部门。为了保证上述安全保护义务的落实,本条对违反上述规定的行为规定了相应的法律责任。


本条第一款是关于网络运营者不履行《网络安全法》第二十一条、第二十五条规定的网络安全保护义务的处罚规定。本款规定的处罚措施包括:


1.责令改正。所谓责令改正,是指有关主管部门要求违法行为人停止违法行为并将其违法行为恢复到合法状态。


2.警告。所谓警告,是指有关主管部门对违法行为人进行训诫,使其认识到其行为的违法性。


3.罚款。对拒不改正或造成危害网络安全等后果的,由有关主管部门对网络运营者处一万元以上十万元以下罚款,并对直接负责的主管人员处五千元以上五万元以下罚款。本款实行的是双罚制,既对网络运营者进行处罚,也对直接负责的主管人员予以处罚。“直接负责的主管人员”是指违法行为的决策人、事后对违法行为予以认可和支持的领导人员、由于疏于管理或放任而对单位违法行为负有不可推卸的责任的领导人员。



本条第二款是关于关键信息基础设施的运营者不履行《网络安全法》第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的处罚规定。


本款规定的处罚措施与第一款相同,包括由有关主管部门责令改正,给予警告;对拒不改正或者造成危害网络安全等后果的,对运营者和直接负责的主管人员处以罚款。本款与前款的区别在于,对关键信息基础设施运营者及其负责人员的罚款处罚重于一般的网络运营者。


本款规定,拒不改正或者导致危害网络安全等后果的处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。这样规定是基于关键信息基础设施的重要地位和关键作用,体现对其实行重点保护。


需要说明的是,本条对处罚部门未作具体规定,对不履行网络安全等级保护制度规定的义务的网络运营者,原则上由等级保护制度的实施机关进行处罚;此外,《网络安全法》授权国务院制定关键信息基础设施安全保护办法,对不履行网络安全保护义务的关键信息基础设施运营者,应依照国务院的规定确定处罚部门。


  • 网络安全
  • 网络安全法
  • 等级保护
  • 网络安全
  • 网络安全法
  • 等级保护