未落实网络安全等级保护制度、未履行网络安全保护义务

网络安全法

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露、被盗用、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取技术措施防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为；

（三）采取技术措施监测、记录网络运行状态和网络安全事件，并按照规定保存相关网络日志不少于六个月；

（四）采取数据分类、重要数据备份、加密等措施；

（五）法律、行政法规规定的其他义务。

网络安全法

第五十六条 抖音在履行网络安全监督管理职责时，发现网络存在重大安全风险或者安全事件的，可以按照规定权限和程序责令该网络法定代表人操作员。采访该人或负责人。网络运营者应当按要求采取措施进行整改，消除隐患。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；构成犯罪的，依法追究刑事责任。拒不改正或者造成危害网络安全等后果的，处一万元以上十万元以下的罚款，对直接负责的主管人员处一万元以上十万元以下的罚款5000元以上50000元以下。

1、2017年6月，抖音（）对某省级事业单位网站未采取技术措施防范网络攻击，发出警告并责令改正；

2、2017年7月20日，广东省汕头市网警支队对市内一家信息技术公司未按要求对其三级及以上系统进行网络安全等级评估的行为予以警告并责令改正；

3、2017年7月22日，抖音（）未能对宜宾市翠屏区“教师发展平台”网站进行等级备案和等级评定，导致黑客攻击。对直接责任人员处罚款5000元。对机构处以1万元罚款；

4、2017年8月1日，重庆市公安局网络安全总队对市内一家科技开发公司未依法留存用户登录相关网络日志，给予警告并责令改正；

5、2017年8月12日，安徽省公安厅网络安全总队、蚌埠市公安局网络安全支队对怀远县教师进修学校网站未进行网络安全等级备案和评估的情况进行立案调查，并约谈了学校法定代表人和县负责人。主任是主任的，对直接负责的主管人员处5000元罚款，对机构处15000元罚款；

6、2017年8月30日，哈尔滨市公安局网络安全支队举报称，方正县农业技术推广中心建立的“方正农业社会化服务平台”未落实网络安全等级保护制度，存在较高的安全等级。被黑客攻击的风险漏洞。责令改正，处2万元罚款；

7、2017年9月28日，淮南市公安局网络安全支队对淮南职业技术学院未建立网络安全等级保护制度，导致泄露的信息超过10万条，予以警告并责令改正。系统存储4000名学生身份信息；

8、2017年10月17日，合肥高新派出所对辖区某单位门户网站未落实网络安全保护责任，给予警告并责令改正；

9、2017年12月12日，长沙市公安局网警支队、浏阳市公安局网安支队对浏阳市烟花爆竹协会网站系统未落实网络安全问题发出警告并责令改正等级保护义务；

10、2018年3月26日，株洲市和抖音对某教育科技公司未落实网络安全等级保护支队进行处罚，约谈法定代表人和网站系统管理员，给予警告并责令改正。

未履行个人信息保护义务

网络安全法

第二十二条 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 。

第四十一条、第四十二条、第四十三条关于个人信息的收集、使用和共享

网络安全法

第六十四条 网络运营者或者网络产品、服务提供者违反本法第二十二条第三款、第四十一条至第四十三条的规定，侵犯个人信息依法受保护的权利。有下列情形之一的，由有关主管部门责令改正，可以处警告、没收违法所得或者违法所得一倍以上十倍以下的罚款，或者一百万元以下的罚款：没有违法所得的，可以处一百万元以下罚款，对直接责任人员可以根据情节处以罚款。对主管人员和其他直接责任人员处一万元以上十万元以下的罚款；情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关营业执照或者吊销营业执照。

1、2018年1月10日，国家网信办网络安全协调局就媒体报道的“支付宝年账单事件”约谈支付宝、芝麻信用相关负责人，要求加强专项整治；

2、2018年1月11日，抖音（）就相关移动应用侵犯用户个人隐私的问题对百度、支付宝、今日头条进行约谈，要求三家公司充分确保用户知情。权利和选择的原则应立即纠正。

未落实真实身份信息认证

网络安全法

第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务。与用户签订协议或确认提供服务后，应当要求用户提供真实身份信息。如果用户不提供真实身份信息，网络运营者不得提供相关服务。

网络安全法

第六十一条 网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息或者向不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正。 ;拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、撤销相关资质。吊销营业执照或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下的罚款。

1、2017年8月9日，京津冀网信办通报称BOSS直聘网站发布违法信息，用户管理存在重大疏漏。依法约谈其法人，责令其立即整改；

2、2017年8月17日，因虾米音乐网违规账号注册等问题，浙江省网信办暂停新用户注册7天；

3、2017年9月，广东省通信管理局责令抖音（）提供网络电话服务，不要求用户提供真实身份信息，存在被利用从事信息通信诈骗活动的安全风险。公司必须立即整改，处以5万元罚款、停业整顿、关闭网站；

4、2017年9月，广东省通信管理局责令抖音（）未落实真实身份信息登记和网站备案相关要求，向用户提供网络接入服务。责令该公司立即整改，切实落实网站备案真实性核查要求；

未履行网络信息内容审查义务

网络安全法

第四十七条 网络运营者应当加强对用户发布信息的管理。发现法律、行政法规禁止发布、传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息传播，并予以保存。相关记录并向有关主管部门报告。

第五十条 抖音及有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布、传输的信息的，应当要求网络经营者停止传播并采取消除等处置措施。应保存相关记录；对于来自中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施，阻断传播。

网络安全法

第六十八条 网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布、传输的信息未停止传输、采取消除等处置措施或者保存相关记录的，由有关主管部门责令其改正。 ，给予警告，没收违法所得；拒不改正或者情节严重的，处10万元以上50万元以下的罚款，并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务。许可或者吊销营业执照。的，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下的罚款。

1、2017年8月11日，广东省网信办对腾讯微信公众号平台用户散布暴力恐怖、虚假信息、淫秽等危害国家安全、公共安全和社会秩序信息的行为处以最高罚款。处罚决定；

2、2017年8月17日，北京市网信委、规划国土委出具行政执法检查记录，责令58同城、赶集网、百度等网站违法发布“温室”出租信息和销售信息。实施整改；

3、2017年8月17日，浙江省网信办对同花顺财经网、配音秀网因含有错误引导、低俗恶搞等有害信息作出行政处罚。责令全面开展专项检查，暂停相关系统运行，严肃查处相关人员。责任处罚；

4、2017年9月，广东省通信管理局对抖音（）进行调查，发现用户使用抖音时，未立即停止传输、防止信息传播、保存相关记录并向主管部门报告其平台发布、传播违法、有害信息。 ，给予警告并责令立即整改，并要求该公司切实履行信息服务管理职责；

5、2017年9月25日，北京市网信办对新浪微博向用户发布、传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”、百度贴吧发布等行为，未尽到管理义务。并向其用户传播。对于未履行管理义务的“淫秽色情信息、暴力恐怖信息帖子及相关评论信息”，新浪微博被处以最高额罚款，百度贴吧被处以重罚。

6、2017年10月15日，天津市网信办、河北区网信办依法约谈了抖音（）法人。他们忽视对龙之声网的管理，未严格执行相关规定，导致该网站被注册。对长期发布违法违规信息的用户予以严厉批评，责令其立即整改。

7、2017年11月14日，鲤城警方网安大队对抖音（）旗下“莆田论坛”发布大量违法信息发布警告，责令立即改正；

8、2017年11月17日，咸阳市网信办对微信公众号“直播咸阳”、“咸阳掌上”、“咸咸趣事”、“未春花”发布虚假、不实信息问题作出回应。 《掌中咸阳》进行约谈，并作出停止更新10天、限期整改的决定，整改不力或重复的，将依法依规进一步严肃查处并责令干县、抖音（）分别对微信公众号“干县斗士”、“未春花”进行约谈，并采取相应措施，停止更新7天，限期整改。整改完毕并经网信部门验收后方可恢复运营；

九、2017年12月29日，北京市网信办对今日头条、凤凰新闻持续传播色情低俗信息、非法提供互联网新闻信息服务的负责人约谈，责令其立即停止违法行为。对违规行为，深入开展自查自纠，全面清理违规行为，杜绝类似情况再次发生；

10、2018年1月11日，上海市网信办对万豪国际集团在中文版会员邮箱和APP注册页面将香港、澳门、台湾、西藏列为“国家”的行为作出回应，责令万豪国际集团集团当天18:00起将香港、澳门、台湾、西藏列为“国家” 中文官方网站和中文版APP将关闭一周，开展全面自查整顿，彻底清理通报违法违规信息，及时向社会公布调查结果和事件处理情况；

11、2018年1月12日，上海市网信办向上述网站运营者发出《互联网网站整改通知》，责令两家网站立即改变台湾成为“国家”的情况”在Zara和的官方网站上。如有违法内容，当日18:00前发布道歉声明；

12、2018年1月14日，北京网信办就“百万赢家”活动将香港、台湾纳入国家范围依法约谈花椒直播相关负责人，并责令全面整改;

13、2018年1月27日，国家网信办责成北京网信办指责新浪微博未尽到对用户发布违法违规信息的审核职责，持续散布炒作、低俗色情、民族歧视。对存在严重信息问题的，约谈企业负责人，责令其立即自查自纠，全面深入整改；

14、2018年1月31日，国家网信办就UC头条持续传播误导性宣传和低俗色情信息问题责令广东省网信办约谈该公司负责人，责令其立即停止违法行为。并进行自查。自纠、有效整改，全面清理网上违法违规信息，健全信息内容管理长效机制，防止类似情况再次发生；

15、2018年4月4日，国家网信办依法约谈今日头条旗下快手、火山视频相关负责人，给予严肃批评并责令全面整改；

16、2018年5月12日，浙江省网信办会同杭州市网信办约谈微信公众号“二更食堂”主要负责人发布低俗文章，要求全面清理对违法有害信息，严肃处理相关责任人，并提交限期整改报告。同时，“二根食堂”公众号被微信平台屏蔽7天；

17、2018年6月1日，针对“美拍”网络直播短视频平台传播涉及未成年人的低俗有害信息问题，国家网信办会同广电总局、抖音（发抖音网）、地方网信办依法依规联合约谈“美拍”相关负责人，提出严肃批评，责令全面整改；

18、2018年6月6日，北京市网信办、市工商局针对抖音、搜狗广告投放侮辱英雄烈士内容问题，依法联合约谈调查。并责令相关网站立即删除相关内容。如有违法内容，将严肃整改；

网络产品和服务不符合法定要求

网络安全法

第二十二条 网络产品和服务应当符合相关国家标准的强制性要求。网络产品和服务提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险的，应当立即采取补救措施，按照规定及时通知用户，并向有关主管部门报告。

网络产品和服务提供者应当持续为其产品和服务提供安全维护；在规定期限内或者当事人约定的期限内，不得终止提供安全维护服务。

网络安全法

第六十条 违反本法第二十二条第一款、第二款规定的，由有关主管部门责令改正，给予警告；构成犯罪的，依法追究刑事责任。拒不改正或者造成危害网络安全等后果的，处五万元以上五十万元以下罚款。对直接负责的主管人员处一万元以上十万元以下的罚款。

1、2017年9月19日，广东​​省通信管理局责令广州东京计算机技术有限公司提供的UC浏览器云加速产品和服务存在未充分检测和修复的安全缺陷和漏洞风险。及时的方式。立即整改并采取补救措施，要求开展通信网络安全防护风险评估，建立新业务上线前安全评估机制和上线业务定期核查机制，对上线网络产品和服务进行全面检查，并消除潜在的安全风险。以免类似事件再次发生。

执法案例浅析及合规建议

《网络安全法》的实施为执法活动提供了有力依据。政府机关、事业单位、企业和个人的违法违规互联网活动能够得到有效监管和追究责任。各地区网信办、​​公安网警部门牵头。行政执法活动日益频繁化、常态化。从执法案件清单来看，机关事业单位和企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审查、网络产品和服务五个方面。

1.网络安全等级保护

自《网络安全法》第21条确立网络安全等级保护制度以来，相关网络运营者对于如何实施该制度一直存在困惑。从执法案例也可以看出，行政处罚的主要原因是企事业单位未及时落实分类备案、等级评估和技术保护措施，造成制度存在漏洞。为细化网络安全等级保护制度内容，公安部于2018年6月27日印发《网络安全等级保护条例（征求意见稿）》（以下简称《等级保护条例》） ，其中包括网络操作。对操作人员的安全保护义务进行了详细规定。

根据《等级保护条例》，除《网络安全法》第二十一条已规定的内容外，网络运营者还应当： 一、建立安全管理和技术防护制度，建立人员管理、教育培训、以及系统安全建设、系统安全运维等制度； 2、落实机房安全管理、设备与介质安全管理、网络安全管理等制度，制定操作规范和工作流程； 3、在收集、使用、处理个人信息时采取保护措施，防止其泄露、毁损、篡改、盗窃、丢失和滥用； （四）落实发现、屏蔽、消除违法信息的措施，落实防止违法信息大量传播和违法犯罪证据流失的措施； 5、落实违法信息发现、封锁、消除等措施，防止违法信息大量传播和违法犯罪证据流失。除上述义务外，三级及以上网络运营者还应重点落实网络安全管理领导人员和关键岗位技术人员的安全背景审查和认证制度，同时定期开展等级评价系统。因此，企事业单位应从人员管理、系统硬件、内控等多方面开展合规整改，消除高风险漏洞，降低行政执法处罚风险[1]。

2. 个人信息的保护

个人信息保护一直是各大网络运营商迫切需要应对的重要合规问题。自《南方都市报》与《网络安全法》同时发布2017年1000家常用网站、APP用户信息保护政策透明度排名以来，已被列入执法案例名单。在“支付宝年账单事件”中列出的“支付宝年账单事件”中，个人信息保护一直受到公众的关注。因此，信息安全标准委员会的《个人信息安全规范》值得关注。虽然其编号显示为国家推荐标准，但在实践中，无论是国家网信办、工信部、公安部2017年开展的隐私政策审核工作，还是“支付宝年账单事件”，监管机构强调了《个人信息安全标准》的有效性。

结合执法案例清单，当前个人信息保护的痛点在于个人信息共享和传输的合规性。根据《个人信息安全规范》，个人信息控制者委托第三方处理个人信息时，除委托本身不超出个人信息主体授权同意的范围外，还应当进行个人信息安全影响评估[2]并采取通过合同中规定的责任和义务、审计等方式对受托人进行监督，确保受托人处理个人信息的情况得到准确记录和保存。同时，个人信息控制者应当告知个人信息主体共享、转移个人信息的目的以及数据接收者的类型。涉及个人敏感信息的，控制者还应当提前告知个人信息主体敏感信息类型、数据接收者的身份和安全能力等。只有在个人信息主体明确同意的情况下才能进行共享或转让[3]。此外，个人信息控制者还必须准确记录、保存个人信息共享、转让的情况，并对因个人信息共享、转让而给信息主体合法权益造成损害的，承担法律责任。因合并、收购、重组等原因发生控制主体变更的，应当另行告知个人信息主体相关情况[4]。

3、网络信息内容审查

从执法案件清单来看，因未按规定审查用户发布信息内容而依据《网络安全法》第四十七条、第五十条、第六十八条处罚的案件最多。根据2011年修订的《互联网信息服务管理办法》，要求互联网信息服务提供者不得发布、传播违反法律法规的信息。否则，公安、国家安全机关可以依照《中华人民共和国治安管理处罚法》和《计算机信息网络国际法》的规定予以处罚。 《网络安全保护管理办法》等相关法律、行政法规规定的处罚[5]。网络运营者在建设内容审核体系时，应从以下两个方面进行完善。