安全資訊

此前，我們曾發(fā)表過(guò)關(guān)于企業(yè)沒(méi)有履行網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)而受到處罰的案例，得到網(wǎng)民的廣泛關(guān)注：辣眼睛！多家網(wǎng)站被植入暗鏈，打開(kāi)后不可描述！企業(yè)對用戶(hù)個(gè)人信息保護不力造成盜刷6萬(wàn)被罰100萬(wàn)，冤嗎？不履行網(wǎng)絡(luò )安全保護義務(wù)的企業(yè) 網(wǎng)警給你們念念“緊箍咒”
今天來(lái)給大家聊一聊，企業(yè)為何一定要認真履行網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)，不履行會(huì )帶來(lái)什么嚴重后果，造成什么損失，我國相關(guān)法律法規對此又是如何規定的。

網(wǎng)絡(luò )運營(yíng)者為何要承擔網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)呢？

網(wǎng)絡(luò )運營(yíng)者是網(wǎng)絡(luò )社會(huì )的關(guān)鍵節點(diǎn)，掌握著(zhù)用戶(hù)與網(wǎng)絡(luò )的連接橋梁，網(wǎng)絡(luò )運營(yíng)者的行為在很大程度上影響著(zhù)用戶(hù)的信息安全，甚至會(huì )影響整個(gè)網(wǎng)絡(luò )社會(huì )的安全狀態(tài)。

網(wǎng)絡(luò )運營(yíng)者提供的服務(wù)具有公共產(chǎn)品的屬性，這一屬性隨著(zhù)現代信息技術(shù)的不斷滲透而被強化，其安全狀態(tài)對整個(gè)社會(huì )的安全具有重大而深遠的影響。

我國在網(wǎng)絡(luò )政策上主張“誰(shuí)接入，誰(shuí)負責”、“誰(shuí)運營(yíng)，誰(shuí)負責”，網(wǎng)絡(luò )運營(yíng)者在提供網(wǎng)絡(luò )服務(wù)和產(chǎn)品的過(guò)程中獲取了經(jīng)濟收益，那么就應當負有相應的防止危害發(fā)生的安全保護義務(wù)。

在全球網(wǎng)絡(luò )安全問(wèn)題日益復雜且嚴峻的情況下，提升網(wǎng)絡(luò )運營(yíng)者的安全意識，明確網(wǎng)絡(luò )運營(yíng)者的義務(wù)責任，是實(shí)現國家安全和社會(huì )穩定的必然要求。

劃重點(diǎn)

企業(yè)作為網(wǎng)絡(luò )運營(yíng)者，所掌握、控制的網(wǎng)絡(luò )資源不是企業(yè)私有財產(chǎn)，而是社會(huì )公共產(chǎn)品，一旦遭到侵害就是威脅到社會(huì )公共安全。有朋友不明白，問(wèn)：“如果黑客攻擊我們的網(wǎng)絡(luò )，那是賊偷了我，我也是受害者，為什么還要受處罰呢？”

道理是這樣的：如果賊偷了個(gè)人的東西，那沒(méi)哪個(gè)警察蜀黍會(huì )去處罰受害者的。但比如你是銀行門(mén)衛忘記關(guān)門(mén)，導致銀行被盜，那你說(shuō)說(shuō)你該不該受處罰呢？

網(wǎng)絡(luò )運營(yíng)者要承擔哪些網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)呢？

作為網(wǎng)絡(luò )運營(yíng)者，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò )安全、穩定運行，有效應對網(wǎng)絡(luò )安全事件，防范網(wǎng)絡(luò )違法犯罪活動(dòng)，維護網(wǎng)絡(luò )數據的完整性、保密性和可用性。

網(wǎng)絡(luò )運營(yíng)者應履行的義務(wù)

網(wǎng)絡(luò )運行安全義務(wù)

網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全義務(wù)

關(guān)鍵信息基礎設施安全保護義務(wù)

公民個(gè)人信息保護義務(wù)

網(wǎng)絡(luò )信息安全管理義務(wù)

對公安機關(guān)的執法協(xié)助義務(wù)

其他法定義務(wù)

但是小企業(yè)有能力承擔這些網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)嗎？

正如上一個(gè)問(wèn)題所回答的，其實(shí)《網(wǎng)絡(luò )安全法》只是對網(wǎng)絡(luò )運營(yíng)者提出了一些最基本、最簡(jiǎn)單的網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)。有些企業(yè)不認真落實(shí)，導致受到黑客侵害。請大家隨我來(lái)看看下面的種種不應該：

1、沒(méi)有安全管理制度和應急預案

江蘇泰州某事業(yè)單位網(wǎng)絡(luò )安全意識淡薄，曾因不落實(shí)網(wǎng)絡(luò )安全等級保護制度被責令整改。整改期滿(mǎn)后，仍未落實(shí)內部管理制度和操作規程，再次遭到黑客攻擊破壞，后被泰州網(wǎng)安部門(mén)行政處罰并責令停機整頓。

2、沒(méi)有采取最基本的防病毒、防攻擊措施

江蘇無(wú)錫一上市企業(yè)使用的辦公系統及網(wǎng)站管理員登陸采用弱口令，且未采取初次登錄必須更改密碼或強制所設密碼強度等保護措施，導致公司存儲的用戶(hù)個(gè)人信息極易被黑客采取撞庫方式竊取，后依法被無(wú)錫網(wǎng)安部門(mén)行政處罰。

3、不留存網(wǎng)絡(luò )日志和重要數據

江蘇徐州某網(wǎng)絡(luò )科技公司經(jīng)營(yíng)的自動(dòng)發(fā)卡平臺，涉嫌為網(wǎng)絡(luò )游戲外掛程序提供交易支付和自動(dòng)發(fā)貨服務(wù)。經(jīng)查，該公司對犯罪嫌疑人利用其經(jīng)營(yíng)的平臺兜售游戲外掛程序并不知情，但因疏于對平臺管理，未采取必要的安全保護技術(shù)措施，未落實(shí)重要數據日志備份，導致部分涉案證據滅失，被徐州網(wǎng)安部門(mén)依法行政處罰。

4、不及時(shí)上報網(wǎng)絡(luò )安全事件

江蘇南通警方在偵辦某機械制造有限公司網(wǎng)站遭黑客入侵案時(shí)發(fā)現，該公司網(wǎng)絡(luò )安全意識淡薄，管理制度缺失。同時(shí)，承擔網(wǎng)站運維的某網(wǎng)絡(luò )技術(shù)有限公司明知網(wǎng)站多次遭黑客入侵，未將網(wǎng)站存在的安全缺陷、漏洞等風(fēng)險及時(shí)告知用戶(hù)和主管部門(mén)，且不按規定操作導致日志丟失，被南通網(wǎng)安部門(mén)依法行政處罰。

5、拒不配合公安機關(guān)調查取證

江蘇南通如皋市某單位網(wǎng)站遭黑客攻擊植入木馬，致使網(wǎng)站跳轉為博彩網(wǎng)站。經(jīng)查，該單位網(wǎng)站管理混亂，技術(shù)防護措施薄弱。偵查過(guò)程中，為網(wǎng)站提供維護服務(wù)的南通某技術(shù)公司，在接到警方調取證據通知后，虛與委蛇，推脫應付，甚至采取刪除木馬病毒文件的方式，拒不向公安機關(guān)提供協(xié)助，致使相關(guān)證據滅失，后被依法行政處罰。 

6、故意侵犯用戶(hù)個(gè)人信息

上海某教育科技公司江蘇常州分公司運營(yíng)的一款日語(yǔ)教學(xué)APP應用超范圍收集用戶(hù)個(gè)人信息，未向用戶(hù)公開(kāi)收集、使用個(gè)人信息規則，未明示收集使用信息的目的、方式和范圍，被常州網(wǎng)安部門(mén)依法行政處罰。 

不承擔網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)可能造成什么后果呢？

隨著(zhù)網(wǎng)絡(luò )的迅猛發(fā)展，網(wǎng)絡(luò )越來(lái)越滲入到生產(chǎn)生活的各個(gè)方面，網(wǎng)絡(luò )安全越來(lái)越成為影響國家安全和社會(huì )安全的重要因素。網(wǎng)絡(luò )運營(yíng)者不履行網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)造成的危害愈發(fā)凸顯。

1、網(wǎng)站遭黑客攻擊篡改

江蘇南通某農業(yè)科技發(fā)展有限公司運營(yíng)的網(wǎng)站存在重大安全漏洞，管理制度缺失，網(wǎng)絡(luò )安全意識淡薄，致使犯罪嫌疑人在其網(wǎng)站發(fā)布各類(lèi)招嫖、詐騙廣告18000余條。

2、用戶(hù)信息和重要數據遭泄露

江蘇宿遷警方在偵辦一起非法買(mǎi)賣(mài)新生兒個(gè)人信息案件時(shí)發(fā)現，部分新生兒個(gè)人信息系從宿遷某婦幼健康管理平臺泄露。經(jīng)查，平臺運營(yíng)單位安全管理和技術(shù)防護措施缺失。

3、影響企業(yè)單位正常運營(yíng)，造成經(jīng)濟損失

江蘇某通信技術(shù)公司因安全責任意識淡薄、網(wǎng)絡(luò )安全等級保護制度落實(shí)不到位、管理制度和技術(shù)防護措施嚴重缺失，導致該公司業(yè)務(wù)管理系統遭受攻擊破壞，對其正常業(yè)務(wù)開(kāi)展造成較大影響。

4、關(guān)鍵信息基礎設備停擺，引發(fā)重大安全事故

江蘇南通某水利工程管理所主機系統存在3個(gè)高風(fēng)險漏洞，其中主機漏洞1處、弱口令2處。該所運營(yíng)的港閘為國家大型水閘，承擔南通地區697平方公里擋潮排澇、360萬(wàn)畝農田灌溉任務(wù)，相關(guān)系統被公安部、水利部列入國家關(guān)鍵信息基礎設施目錄，一旦遭攻擊破壞，后果不堪設想。

網(wǎng)絡(luò )運營(yíng)者不依法履行義務(wù)要負什么樣的法律責任呢？

應按照《網(wǎng)絡(luò )安全法》等行政法律法規承擔行政法律責任。網(wǎng)絡(luò )服務(wù)提供者不履行法律、行政法規規定的信息網(wǎng)絡(luò )安全管理義務(wù)，經(jīng)監管部門(mén)責令采取改正措施而拒不改正，符合法定情形的，構成拒不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪，依法承擔刑事責任。

依法履行網(wǎng)絡(luò )安全保護和信息安全監管義務(wù)落實(shí)安全措施是非常重要并且完全可以做到的有社會(huì )責任感的企業(yè)絕不會(huì )無(wú)設防地讓自己客戶(hù)的信息數據暴露在危險之下絕不會(huì )忽視網(wǎng)絡(luò )安全風(fēng)險隱患