【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第十章 网络安全法律责任制度
网络安全法第六章法律责任包含第五十九条至第七十五条,主要包括网络安全法律责任的一般规定、网络运行安全制度一般规定的行政责任、关键信息基础设施运行安全制度的行政责任、个人信息保护制度的行政责任、违法信息监管制度的行政责任、数据出境管理制度的行政责任等。本章对此进行讨论。
2022年9月12日,国家网信办将《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(本章简称为“网信办修法征求意见稿”)向社会公开征求意见。据介绍,本次修法的原因是:我国行政处罚法、数据安全法、个人信息保护法等法律于2021年相继修订、制定实施,需要做好网络安全法与新实施的这些法律之间的衔接协调。该征求意见稿仅涉及法律责任制度的完善,涉及的条款只有网络安全法第六章法律责任中的第五十九条至第七十条。
第一节 网络安全法律责任的一般规定
网络安全法为实现保障网络安全的目标,通过设置网络运行安全制度的一般规定、关键信息基础设施运行安全制度、个人信息保护制度、违法信息监管制度、数据出境管理制度、网络安全监测预警与应急处置制度,将各类主体依法使用网络的权利和义务、参与维护网络安全的职责和分工逐项细化,并在法律责任部分详细规定了违反法律规定的处罚措施。
网络安全法中的指引条款,将其与我国的民事法律、行政法律、刑事法律相互衔接,形成与民事责任、行政责任、刑事责任有效对接的有机整体。
此外,网络安全法针对网络违法犯罪活动的特点,在传统的行政措施之外,创设了约谈、信用惩戒等措施。
一、民事责任、行政责任、刑事责任的衔接规定
网络安全法第七十四条规定:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
网络安全方面的违法行为,可能应当承担民事责任、行政责任、刑事责任。网络安全法对此作出原则规定:(1)给他人造成损害的,依法承担民事责任;(2)构成违反治安管理行为的,依法给予治安管理处罚;(3)构成犯罪的,依法追究刑事责任。
与网络安全领域违法犯罪行为相关的民事案件和刑事案件将分别遵循我国相关的民事法律和刑事法律加以处理。网络安全法第六章法律责任从第五十九条到第七十五条中,只有第七十四条是涉及民事责任和刑事责任的总括性规定,其它条款都只涉及行政责任。
因此,本章后续部分将主要讨论网络安全领域违法行为的行政责任。
二、信用惩戒措施
信用档案是专业化的、独立的第三方机构或政府部门通过采集、存储、加工个人或机构的信用信息而为个人、机构建立的信用记录,体现了个人、组织在市场活动中的可信度和公信力,是证实其是否诚实守信、遵纪守法的重要依据,也是出具信用报告和信用惩戒的基础。
关于信用惩戒,网络安全法第七十一条规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”第二节 网络运行安全制度一般规定的行政责任
一、网络运营者违反网络安全保护义务的行政责任
(一)网络运营者的行政责任
网络安全法第二十一条是关于网络安全等级保护制度的规定;第二十五条是关于网络运营者防范和应对网络安全事件的义务的规定。
网络安全法第五十九条第一款是关于网络运营者不履行网络安全保护义务的法律责任的规定:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
(二)国家机关政务网络运营者的行政责任
网络安全法第七十二条是针对国家机关政务网络运营者的专门规定:“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”
国家机关政务网络的运营者也应当遵守网络安全法规定的网络安全保护义务,违反相关义务的,应当承担相应的法律责任。但国家机关的运营资金来源于国家财政,所以该条没有规定罚款处罚。
二、违反网络产品和服务安全义务的行政责任
为了保障网络产品和服务安全,网络安全法第二十二条第一款、第二款对网络产品和服务提供者的网络安全保护义务做了明确规定。
网络安全法第六十条是关于网络产品、服务的提供者未履行网络产品和服务安全义务时的法律责任的规定:“违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。”
◆漏洞相关规范性文件
1、《网络产品安全漏洞管理规定》
工业和信息化部、国家互联网信息办公室、公安部2021年7月12日发布,自2021年9月1日起施行。
《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
2、《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》
工业和信息化部2021年9月13日公开征求对该征求意见稿的意见。
《办法》为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》,规范网络产品安全漏洞收集平台备案管理,适用于中华人民共和国境内的网络产品安全漏洞收集平台的备案管理工作。
三、违反网络用户身份管理义务的行政责任
网络安全法第二十四条第一款是关于网络用户身份管理的规定。
网络安全法第六十一条是关于网络运营者违反网络用户身份管理义务的处罚规定:“网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
四、违反网络安全服务活动管理规定的行政责任
网络安全法第二十六条是关于网络安全服务活动的规定。
网络安全法第六十二条是关于违反网络安全服务活动管理规定的处罚规定:“违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。”
■在网信办修法征求意见稿中,将第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
五、实施危害网络安全行为的行政责任
网络安全法第二十七条是关于禁止危害网络安全行为的规定。
网络安全法第六十三条是关于实施危害网络安全行为的处罚规定:“违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。”
■在网信办修法征求意见稿中,将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
六、监管部门在监督管理过程中违反信息用途限制的行政责任
网络安全法第三十条是关于网络安全监管执法部门执法信息的用途限制的规定。
网络安全法第七十三条是关于网络安全监管部门的违法行为和渎职行为的处罚规定:“网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”
七、案例介绍
(一)太仓汉诺威精密机械有限公司网络运营者不履行网络安全保护义务案
案例类型:行政处罚
处罚机构:太仓市公安局
发文案号:太公(双凤)行罚决字〔2019〕1894号
处罚时间:2019.06.17
相关法条:网络安全法第二十一条第一项、第五十九条第一款
1.案情简介
2018年4月以来,太仓汉诺威精密机械有限公司搭建域名为www.hnwauto.com的网站,并未制定内部安全管理制度和操作规程,也未确定网络安全负责人和落实网络安全保护责任,于2019年6月5日被查获。
2.处罚结果
对太仓汉诺威精密机械有限公司处警告。
(二)太仓市金钥匙财税代理有限公司网络运营者不履行网络安全保护义务案
案例类型:行政处罚
处罚机构:太仓市公安局
发文案号:太公(城中)行罚决字〔2019〕1912号
处罚时间:2019.06.18
相关法条:网络安全法第二十一条第一项、第五十九条第一款
1.案情简介
2019年6月5日下午,城中派出所民警对太仓市金钥匙财税代理有限公司进行日常检查时发现:该公司网站自2017年运行以来一直未制定内部安全管理制度和操作规程,未能落实网络安全保护责任。太仓市金钥匙财税代理有限公司未履行网络安全保护义务。
2.处罚结果
对太仓市金钥匙财税代理有限公司处以责令改正,给予警告的行政处罚。
(三)尹某某提供侵入、非法控制计算机信息系统程序、工具案
案例类型:行政处罚
处罚机构:常州市公安局武进分局
发文案号:武公(鸣)行罚决字〔2018〕4066号
处罚时间:2018.09.14
相关法条:网络安全法第二十七条、第六十三条第一款,《公安机关办理行政案件程序规定》第一百三十九条第一款、第二款
1.案情简介
2017年3月份至5月份,尹某某伙同他人售卖BOL外挂,非法获利数万元。该外挂能够模拟人的操作、自动躲避敌人的法术、英雄连招释放,显示攻击范围,可以计时野怪复活时间,查看敌人技能冷却状态、时间,实现在英雄联盟游戏中作弊,影响游戏的平衡。
2.处罚结果
对尹某某行政拘留十日。
第三节 关键信息基础设施运行安全制度的行政责任
网络安全法对关键信息基础设施是在网络安全等级保护制度基础上实行重点保护。在网络运行安全制度一般规定的基础上,网络安全法对关键信息基础设施的运行安全做了特殊规定,相应地规定了针对违反关键信息基础设施运行安全制度的行政责任。
《关键信息基础设施安全保护条例》专门规定了相应的法律责任。
一、关键信息基础设施运营者违反网络运行安全义务的行政责任
网络安全法第三十三条是关于关键信息基础设施建设的安全要求的规定;第三十四条是关于关键信息基础设施运营者的安全保护义务的规定;第三十六条是关于关键信息基础设施采购的安全保密义务的规定;第三十八条是关于关键信息基础设施的定期网络安全检测评估制度的规定。
网络安全法第五十九条第二款是关于关键信息基础设施运营者违反网络运行安全义务的处罚规定:“关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。”■在网信办修法征求意见稿中,有将第五十九条(含第一款和第二款)、第六十条、第六十一条、第六十二条的修改建议。如前所述。
二、违反关键信息基础设施采购国家安全审查制度的行政责任
网络安全法第三十五条是关于关键信息基础设施采购的国家安全审查制度的规定。
网络安全法第六十五条是关于违反关键信息基础设施采购国家安全审查制度的处罚规定:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
■在网信办修法征求意见稿中,将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
三、境外行为人危害我国关键信息基础设施安全的法律责任
针对境外的机构、组织、个人实施的危害关键信息基础设施安全的行为,网络安全法第七十五条规定:“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”
与此相关,国家情报法第十一条规定:“国家情报工作机构应当依法搜集和处理境外机构、组织、个人实施或者指使、资助他人实施的,或者境内外机构、组织、个人相勾结实施的危害中华人民共和国国家安全和利益行为的相关情报,为防范、制止和惩治上述行为提供情报依据或者参考。”
四、《关键信息基础设施安全保护条例》规定的法律责任
《关键信息基础设施安全保护条例》第五章规定了法律责任,要点如下:
1.(第三十九条)运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;
(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;
(三)未建立健全网络安全保护制度和责任制的;
(四)未设置专门安全管理机构的;
(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;
(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;
(七)专门安全管理机构未履行本条例第十五条规定的职责的;
(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;
(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;
(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。
2.(第四十条)运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
3.(第四十一条)运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
4.(第四十二条)运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
5.(第四十三条)实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
6.(第四十四条)网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。
7.(第四十五条)公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。
8.(第四十六条)网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。
9.(第四十七条)关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
10.(第四十八条)电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。
11.(第四十九条)违反本条例规定,给他人造成损害的,依法承担民事责任。违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第四节 个人信息保护制度的行政责任
一、网络安全法的相关规定
网络安全法第二十二条第三款是关于网络产品和服务提供者的个人信息安全义务的规定;第四十一条是关于网络运营者收集使用个人信息规则的规定;第四十二条是关于网络运营者的个人信息保护义务的规定;第四十三条是关于个人信息删除权和更正权的规定;第四十四条是关于禁止非法获取、出售、提供个人信息的规定。
网络安全法第六十四条是关于侵犯个人信息权利的处罚规定:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”
■在网信办修法征求意见稿中,将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
二、个人信息保护法的相关规定
个人信息保护法在第七章规定了法律责任。
1.(第六十六条)违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2.(第六十七条)有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
3.(第六十八条)国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
4.(第六十九条)处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
5.(第七十条)个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
6.(第七十一条)违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
三、案例介绍
(一)丁某侵犯公民个人信息罪案
案例类型:行政处罚
处罚机构:无锡市公安局交通治安分局
发文案号:交公(刑)行罚决字〔2018〕70号
处罚时间:2018.11.26
相关法条:网络安全法第四十四条、第六十四条第二款
1.案情简介
经丁某联系,由王某山于2018年7月3日在无锡崇安寺肯德基店向方某成以2万元人民币的价格购买20万余条公民个人信息拟用于丁某与王某山开办少儿培训机构。
2.处罚结果
对丁某罚款人民币壹万元。
(二)占某非法获取、出售、向他人提供个人信息案
案例类型:行政处罚
处罚机构:昆山市公安局
发文案号:昆公(城西)行罚决字〔2019〕4068号
处罚时间:2019.05.14
相关法条:网络安全法第四十四条、第六十四条第二款
1.案情简介
2018年至今,占某通过手机微信将昆山市小区业主信息2700余条非法提供给他人,后于2019年4月8日,占某通过手机微信从韩某处非法获取华府庄园、北大资源理城小区业主信息共计500余条,后被查获。
2.处罚结果
对占某罚款壹仟伍佰元。
第五节 违法信息监管制度的行政责任
一、非法利用信息网络的行政责任
网络安全法第四十六条是关于禁止非法利用信息网络的规定。
网络安全法第六十七条是关于非法利用信息网络的处罚规定:“违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。
单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。”
■在网信办修法征求意见稿中,将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
二、未履行信息安全管理义务的行政责任
网络安全法第四十七条是关于网络运营者处置违法信息义务的规定;第四十八条是关于电子信息发送服务提供者和应用软件下载服务提供者履行网络安全管理义务的规定。
网络安全法第六十八条规定:“网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。”
三、违反配合和协助监督执法义务的行政责任
网络安全法第五十条是关于监管部门处置违法信息的规定;第四十九条第二款是关于网络运营者配合监督检查义务的规定;第二十八条是关于网络运营者为主管机关提供技术支持和协助的规定。
网络安全法第六十九条是关于网络运营者违反配合和协助监督执法义务的处罚规定:“网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。”
■在网信办修法征求意见稿中,将第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
四、发布或者传输违法信息的行政责任
网络安全法第十二条第二款是关于网络使用者履行义务的规定。
网络安全法第七十条是关于发布或者传输违法信息的处罚规定:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。”
■在网信办修法征求意见稿中,将第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
五、网络信息内容生态治理规定中的法律责任
2020年3月1日起施行的《网络信息内容生态治理规定》在第七章规定了相关的法律责任。此处从略。
六、案例介绍
(一)美辰电子商务有限公司利用网络发布涉及实施违法犯活动的信息案
案例类型:行政处罚
处罚机构:龙湾区公安分局
发文案号:温龙公(网)行罚决字[2018]11991号
处罚时间:2018.09.04
相关法条:网络安全法第四十六条、第六十七条
1.案情简介
2016年7月至2017年8月,美辰电子商务有限公司在温州市龙湾区蒲州街道上江路198号经开区商务广场3楼设立了用于违法犯罪活动的网站并进行营运。公司董事长为陈某某。
2.处罚结果
给予美辰电子商务有限公司关闭网站的行政处罚。
(二)徐某某利用信息网络实施违法行为案
案例类型:行政处罚
处罚机构:常熟市公安局
发文案号:熟公(琴)行罚决字〔2019〕2154号
处罚时间:2019.04.17
相关法条:网络安全法第四十六条、第六十七条
1.案情简介
2019年4月以来,徐某某多次利用手机在微信聊天群内,发布非法买卖“驾驶证分数”的信息,后被查获。
2.处罚结果
对徐某某行政拘留三日。
(三)海宁嗨乐图文信息工作室未依法审核网络发布信息内容案
案例类型:行政处罚
处罚机构:海宁市公安局
发文案号:海公(网)行罚决字[2017]13797号
处罚时间:2017.10.26
相关法条:网络安全法第四十七条、第六十八条第一款
1.案情简介
2017年10月22日下午,海宁嗨乐图文信息工作室对其经营管理的“海盐论坛”中用户发布的违法信息未处置,后被公安机关查获。
2.处罚结果
对海宁嗨乐图文信息工作室责令改正,给予警告的行政处罚。
(四)苏某某不履行违法信息处置义务案
案例类型:行政处罚
处罚机构:苏州市公安局姑苏分局
发文案号:姑公(葑)行罚决字〔2019〕1768号
处罚时间:2019.06.03
相关法条:网络安全法第六十八条
1.案情简介
苏州苏迅网络科技有限公司注册登记网站滨海论坛于2019年5月22日发布一条赌博网站违法信息,未停止传输、采取消除等处置措施。
2.处罚结果
对苏州苏迅网络科技有限公司警告的处罚。
第六节 数据出境管理制度的行政责任
一、网络安全法的相关规定
网络安全法第三十七条是关于数据出境管理制度的规定。
网络安全法第六十六条是关于违反数据出境管理制度的处罚规定:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
注意,网络安全法上述规定针对的义务主体是“关键信息基础设施的运营者”。
■在网信办修法征求意见稿中,将第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”
二、数据安全法的相关规定
数据安全法第三十一条是关于关键信息基础设施的运营者和其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理的规定。
第四十六条规定:“违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”
注意,数据安全法上述规定针对的义务主体不仅包括“关键信息基础设施的运营者”而且包括“其他数据处理者”。
三、个人信息保护法的相关规定
个人信息保护法第三章“个人信息跨境提供的规则”是关于个人信息跨境提供的专门规定。
个人信息保护法在第七章规定的法律责任,同样适用于个人信息跨境提供的违法情况。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复