【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第四章 网络运行安全制度一般规定(下)
第三节 网络产品和网络服务的安全保障
一、网络产品和网络服务提供者的义务
网络安全法第二十二条规定:
“【一般安全义务】网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
【安全维护义务】网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
【用户信息保护义务】网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
二、网络关键设备和安全专用产品的安全认证、检测
网络安全法第二十三条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
(一)认证、检测的范围
网络安全法第二十三条所说的安全认证、安全检测是对网络关键设备和网络安全专用产品的要求。
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)第4.2项“角色和职责”中的第f项规定:网络安全产品供应商负责按照国家网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照等级保护相关要求销售网络安全产品并提供相关服务。
国家网信办、工业和信息化部、公安部、国家认证认可监督管理委员会2017年6月1日发出《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》,公布《网络关键设备和网络安全专用产品目录(第一批)》,明确应进行安全认证或安全检测的15类网络关键设备和网络安全专用产品。其中列出的网络关键设备包括:1路由器、2交换机、3服务器(机架式)、4可编程逻辑控制器(PLC设备);列出的网络安全专用产品包括:5数据备份一体机、6防火墙(硬件)、7WEB应用防火墙(WAF)、8入侵检测系统(IDS)、9入侵防御系统(IPS)、10安全隔离与信息交换产品(网闸)、11反垃圾邮件产品、12网络综合审计系统、13网络脆弱性扫描产品、14安全数据库系统、15网站恢复产品(硬件)。
(二)认证、检测的方式
2018年3月15日,国家认证认可监督管理委员会、工业和信息化部、公安部、国家网信办发布《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,共有16家机构入选该名录。
2018年5月30日,国家认证认可监督管理会、国家网信办发布《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》。
为落实网络安全法第二十三条的要求,围绕国家网信办、工业和信息化部、公安部、国家认证认可监督管理委员会发布的《网络关键设备和网络安全专用产品目录(第一批)》,信安标委秘书处组织测评机构、厂商及相关专家,先后于2019年5月16日和2019年8月14日发布《网络关键设备和网络安全专用产品相关国家标准要求(征求意见稿)》和《网络关键设备和网络安全专用产品相关国家标准要求(第二版征求意见稿)》,旨在为15类网络关键设备和网络安全专用产品的安全认证检测提供标准支撑。2019年6月4日,工业和信息化部发布《网络关键设备安全检测实施办法(征求意见稿)》。这些征求意见稿具体规定了认证、检测的相关国家标准和实施办法。
第四节 网络安全服务活动规范
网络安全法第二十六条规定:“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”
第二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
实践中,其他网络产品和服务提供者、网络运营者出于自身安全管理的需要或者市场竞争的需要,也会自愿委托专业机构来进行认证、检测和风险评估。这些都需要通过认证、检测和风险评估的网络安全服务活动来完成。
此外,基于职责、企业社会责任感、个人兴趣等原因,个人、网络运营者、漏洞关联厂商、漏洞收录组织、漏洞应急组织等也会根据自己对网络安全风险的评估、监测,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。这些活动都为防范网络安全风险发挥了作用。因此,有必要对网络安全的认证、检测、风险评估和发布网络安全信息等活动进行必要的规范。
第五节 禁止危害网络安全的行为
网络安全法第二十七条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
该条规定明确禁止三种行为。该条规定与相关法律法规的在先规定相衔接。下面列举相关法律法规的在先规定。
一、禁止危害网络安全
《刑法》第二百八十五条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【第三款略】
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《刑法》第二百八十六条规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。”
二、禁止为危害网络安全的行为提供程序工具
《刑法》关于提供侵入、非法控制计算机信息系统程序、工具罪的第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
三、禁止为危害网络安全的行为提供帮助
《刑法》关于帮助信息网络犯罪活动罪的第二百八十七条之二规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
第六节 网络安全合作和执法中获取信息的用途限制
一、网络安全合作
网络安全法第二十九条规定:“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。”
二、监督管理部门履责中获取信息的用途限制
网络安全法第三十条规定:“网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。”
网络安全监督管理部门在履行职责过程中不可避免会接触、获取有关个人和组织的各种信息。为了充分保护个人和组织的合法权益,鼓励个人和组织积极配合有关部门开展工作,网络安全法对网信部门和有关部门在履行职责中获取的信息的用途进行了限制,要求这些信息只能用于维护网络安全的需要,不能用作其他用途。
公安部《公安机关互联网安全监督检查规定》第五条规定:“公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。”
第七节 案例介绍
一、泰州市凯歌娱乐有限公司网络运营者不履行网络安全保护义务案
案例类型:行政处罚
处罚机构:泰州市公安局海陵分局
发文案号:海公(北)行罚决字〔2019〕541号
处罚时间:2019.06.17
相关法条:网络安全法第二十一条第三项、第五十九条第一款
(一)案情简介
2019年6月9日21时许,泰州市公安局海陵分局民警对江苏省泰州市海陵区海陵北路288号一单元304、305、306室、三层二单元301室进行检查时发现,该单位未按照网络安全等级保护制度的要求履行安全保护义务,采取监测、记录网络运行状态、网络安全事件。
(二)处罚结果
对泰州市凯歌娱乐有限公司(阿米哥)责令七日内改正(自2019年6月17日起到2019年6月24日止)并处警告的处罚。
二、宜兴市建筑安装工程管理处网络运营者不履行网络安全保护义务案
案例类型:行政处罚
处罚机构:宜兴市公安局
发文案号:宜公(南)行罚决字〔2019〕2331号
处罚日期:2019.05.14
相关法条:网络安全法第二十二条第一款、第六十条
(一)案情简介
2019年以来,宜兴市建筑安装工程管理处使用的域名为http://www.xxxx.cn/的宜兴市建筑业行业协会网站上存在2个SQL注入,存在安全缺陷、风险,发现后未采取补救措施,被查获。
(二)处罚结果
对宜兴市建筑安装工程管理处警告。
三、上海鑫澄电信有限公司与上海市公安局闵行分局公安行政管理纠纷案
案例类型:法院二审判决
审理法院:上海市第一中级人民法院
案号:(2018)沪01行终601号
裁判日期:2018.06.28
相关法条:网络安全法第八条、第二十四条第一款,《互联网安全保护技术措施规定》第五条、第十六条,《行政诉讼法》第八十九条第一款第(一)项
(一)案情简介
2017年7月6日,被上诉人上海市公安局闵行分局(以下简称“公安闵行分局”)下属网络安全保卫支队对某楼进行网络安全隐患检查,发现2017年7月6日负责网络接入业务的代理商即上诉人上海鑫澄电信有限公司(以下简称“鑫澄公司”)在为该楼部分企业提供互联网接入服务的过程中,存在未与相关企业签署接入协议,未要求相关企业提供实名信息的情况。2017年7月12日,公安闵行分局作出沪公闵(网安)责通字[2017]0003号《责令限期整改通知书》,认定鑫澄公司存在为用户办理网络接入时未要求用户提供真实身份信息的违法行为,根据网络安全法第六十一条之规定,责令鑫澄公司立即予以改正。在2017年7月27日前改正或整改完毕,并将结果函告公安闵行分局,在期限届满之前,鑫澄公司必须在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。公安闵行分局于当日向鑫澄公司送达了《责令限期整改通知书》。
鑫澄公司不服,诉至原审法院,请求判决撤销上述责令限期整改通知。一审法院判决驳回鑫澄公司的诉讼请求。
鑫澄公司上诉称:被上诉人作出责令限期整改通知时并无任何证据能证明上诉人实施了涉案违法行为。请求二审法院撤销原判,改判支持上诉人的诉讼请求。
被上诉人公安闵行分局辩称:其已经提供证据证明上诉人存在为用户办理网络接入时未要求用户提供真实身份信息的违法行为。请求二审法院驳回上诉,维持原判。
(二)法院认为
根据网络安全法第八条、公安部《互联网安全保护技术措施规定》第五条、第十六条的规定,公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。因此,被上诉人公安闵行分局具有作出本案被诉责令限期整改通知的行政职权。本案中,上诉人鑫澄公司在为某楼的用户办理网络接入服务时,未要求用户提供真实身份信息,该事实有被上诉人提供的检查笔录、办案民警出具的工作情况等证据证明,亦有办理网络接入的用户提交的书面说明和上诉人提交的与用户签订的鑫澄电信通信产品接入服务合同等证据印证,主要证据充分,基本事实清楚。上诉人的上述行为违反了网络安全法第二十四条第一款的规定,被上诉人根据该法第六十一条的规定,对上诉人作出责令限期整改通知,符合网络安全的法律规定,执法程序亦无不当。因此,原审判决并无不当,本院可予维持。
(三)裁判结果
驳回上诉,维持原判。
四、李某某与中国移动通信集团辽宁有限公司大连分公司电信服务合同纠纷案
案例类型:法院一审判决
审理法院:辽宁省大连市中山区人民法院
案号:(2017)辽0202民初1797号
裁判日期:2017.06.05
相关法条:网络安全法第二十四条
(一)案情简介
2004年7月,原告李某某以每五年更新一次的警官证登记注册被告中国移动通信集团辽宁有限公司大连分公司提供的移动电话服务,此后原告还办理了公安V网大客户,同时由于原告的良好使用信誉,被告给予原告较高的信誉等级。2016年12月,原告发现电话突然无法正常使用,咨询10086,被答复“可能是由于机主信息登记不全,需补充登记”。原告于2017年1月初去被告大纺营业厅办理信息补充登记业务被告知:该电话号码已经被销号,只能办理复装业务并且不能恢复到原有的资费套餐、V网大客户及信誉等级等。原告同意办理先行复装,然而被告设备系统无法识别原告军人身份证完成复装。原告遂先后三次通过10086客服、辽宁移动官网投诉,被告一直无法解决。案发前原告对被告的电话提醒业务并未及时查看。
原告提起诉讼,请求判令:1.被告恢复原告电话号码包括正常使用(资费套餐)、V网大客户及信誉等级等原有权益;2.被告升级系统保证现役军人的合法通信权益,并向原告书面道歉;3.本案诉讼费由被告承担。
被告辩称:被告对在网老客户实名登记不符合法律相关规定的,已履行补登记的通知义务。如原告满足工信部的身份验证要求,可以再办理入网登记、V网大客户及信誉等级等原有权益,不同意其他请求。
(二)法院认为
网络安全法第二十四条第一款规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务。2004年7月,原告以每五年需要更新一次的警官证登记入网办理移动电话,依据有关规定需要办理补登记。被告通过短信的方式告知原告进行实名补登记,已履行通知、告知义务。原告对被告的电话提醒业务未及时查看。涉案电话号码销户是原告未按通知规定的时间内办理补登记手续导致的后果,并非被告侵害原告的合法通信权益。原告的诉讼请求,于法无据,不予支持。
(三)裁判结果
驳回原告李某某的诉讼请求。
五、杭州蜂享科技有限公司未制定网络安全事件应急预案案
案例类型:行政处罚
处罚机构:余杭区公安分局
发文案号:余公(网)行罚决字[2018]11460号
处罚时间:2018.03.28
相关法条:网络安全法第二十五条、第五十九条
(一)案情简介
2018年03月27日8时35分,余杭区网警大队在工作中发现杭州市余杭区仓前街道杭州蜂享科技有限公司未履行网络安全保护义务,未制定网络安全事件应急预案,导致网络数据被窃取、篡改。
(二)处罚结果
给予杭州蜂享科技有限公司警告处罚。
六、王某某破坏计算机信息系统案
案例类型:行政处罚
处罚机构:海门市公安局
发文案号:海公(网)行罚决字〔2018〕1614号
处罚时间:2018.09.27
相关法条:网络安全法第二十七条、第六十三条第一款
(一)案情简介
2018年1月30日、1月31日,王某某在网络攻击平台“scy.087.com.cn”分四次购买共计500元的DDOS攻击服务套餐,对一公司网站进行DDOS攻击,后王某某于2018年9月20日被公安机关查获。
(二)处罚结果
给予王某某行政拘留三日的处罚。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复