查看原文
其他

新机遇 新挑战 | 公安机关网络安全执法的常态化之路

陈际红 刘洋 中伦视界 2020-09-01

2018年9月15日,公安部发布《公安机关互联网安全监督检查规定》(以下简称“《规定》”),并已于11月1日正式施行。《规定》依据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》(以下简称“《网络安全法》”)等有关法律、行政法规制定,明确了公安机关开展互联网安全监督检查的职责权限,也给企业网络安全合规工作带来新的课题和挑战。


一、执法主体

《规定》对互联网安全监督检查的主管部门及地域管辖进行明确规定。根据《规定》第三条,互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。根据《规定》第八条,互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,由其经常居住地公安机关实施。


我们理解,企业注册地、经常营业地可能并不一定同网络服务运营机构所在地、网络管理机构所在地一致,前述规定可以避免多头管辖或者管辖缺位等现象的发生。


二、适用对象

1、一般适用对象

根据《规定》第二条,本规定适用于公安机关依法对“互联网服务提供者”和“联网使用单位”履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。


“互联网服务提供者”、“联网使用单位”的概念早在公安部2005年12月13日发布《互联网安全保护技术措施规定》中就已出现。《互联网安全保护技术措施规定》还对“互联网服务提供者”、“联网使用单位”进行明确定义。根据《互联网安全保护技术措施规定》第十八条,本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。


《规定》未对“互联网服务提供者”、“联网使用单位”进行明确定义,但是《规定》第九条所列的检查对象与《互联网安全保护技术措施规定》中“互联网服务提供者”的范围基本一致。


2、重点适用对象

《规定》规定了重点监督检查适用的对象,即服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的互联网服务提供者和联网使用单位。


三、检查内容

《规定》规定三种类型的检查,一是针对所有互联网服务提供者和联网使用单位的一般性检查,二是根据互联网服务的类型而分别适用的针对性检查,三是在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位的专项安全监督检查。具体如下:


类型

检查对象

检查内容

一般性检查

互联网服务提供者和联网使用单位

(1)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(2)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(3)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(4)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(5)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(6)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(7)是否履行法律、行政法规规定的网络安全等级保护等义务。



类型

检查对象

检查内容

针对性检查

提供互联网接入服务

是否记录并留存网络地址及分配使用情况

提供互联网数据中心服务

是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息


提供互联网域名服务

是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施


提供互联网信息服务

是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录


提供互联网内容分发服务

是否记录内容分发网络与内容源网络链接对应情况


提供互联网公共上网服务

是否采取符合国家标准的网络与信息安全保护技术措施


类型

检查对象

检查内容

专项检查

在国家重大网络安全保卫任务期间,与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位

(1)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

(2)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

(3)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

(4)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

(5)是否按照要求向公安机关报告网络安全防范措施及落实情况;

对防范恐怖袭击的重点目标的互联网安全监督检查,按照第十二条第一款规定的内容执行。



四、检查程序

1、检查方式

《规定》规定了现场监督检查或者远程检测两种方式。《规定》第十六条规定了远程检测的适用情形,即公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。《规定》并未规定现场监督检查具体的适用情形。我们理解,因为现场监督检查被作为一般性的检查方式,是普遍适用的,因此《规定》对此并不做具体适用情形的规定。


《规定》对现场监督检查或者远程检测分别规定了不同的检查程序,具体如下:


项目

现场监督检查

远程检测

执法人员

(1)现场监督检查时,人民警察不得少于二人,并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

(2)公安机关开展现场监督检查,应当制作监督检查记录,并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的,应当允许其作出说明;拒绝签名的,人民警察应当在监督检查记录中注明。


公安机关开展远程检测,应当制作监督检查记录,并由二名以上开展监督检查的人民警察在监督检查记录上签名。

执法方式与要求

(1)进入营业场所、机房、工作场所;

(2)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;

(3)查阅、复制与互联网安全监督检查事项相关的信息;

(4)查看网络与信息安全保护技术措施运行情况。

公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。


《规定》还明确可以委托具有相应技术能力的网络安全服务机构提供技术支持,委托网络安全服务机构提供技术支持的,技术支持人员应当一并在监督检查记录上签名。


2、发现风险隐患或违法行为的处理

若在互联网安全监督检查中发现风险隐患或违法行为,《规定》第十九条规定相应的处理措施。若发现互联网服务提供者和联网使用单位存在网络安全风险隐患,公安机关应督促指导其采取措施消除风险隐患,并在监督检查记录上注明。若发现有违法行为,但情节轻微或者未造成后果的,公安机关应责令其限期整改。


对于限期整改,《规定》还明确了复查程序,即监督检查对象在整改期限届满前认为已经整改完毕的,可以向公安机关书面提出提前复查申请。公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内,对整改情况进行复查,并在复查结束后三个工作日内反馈复查结果。


五、法律责任

1、《网络安全法》下的法律责任

公安机关根据《规定》进行互联网安全监督检查时,若发现互联网服务提供者和联网使用单位未落实网络安全义务,将根据《网络安全法》相关规定进行处罚,处罚方式包括责令改正、警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相应业务许可证、吊销营业执照等。


2、《反恐怖主义法》下的法律责任

在互联网安全监督检查中,若互联网服务提供者和联网使用单位存在违反《反恐怖主义法》规定的行为,将按照《反恐怖主义法》的相关规定进行处罚,处罚方式包括责令改正、罚款、对直接负责的主管人员和其他直接责任人员的拘留等。


3、治安管理处罚与刑事处罚

若互联网服务提供者和联网使用单位违反《规定》,构成违反治安管理行为的,将被依法予以治安管理处罚;构成犯罪的,将被依法追究刑事责任。


六、企业的应对建议

1、核查是否属于重点监督检查范围

《规定》的适用对象几乎涵盖所有的互联网服务提供者和联网使用单位,接受公安机关的监督检查成为相关企业普遍遵守的法律义务。但是,若企业属于重点监督检查的范围,可能会更早、更快地面临监督检查,在网络安全合规工作上承受更大的压力。因此,相关企业可以核实自己是否属于重点监督检查的范围,尽早准备,积极应对即将到来的监督检查。


2、检查、纠正不符合《规定》的情形

根据《规定》,一般性检查和针对性检查更加注重网络安全日常管理的合规性,重大网络安全保卫任务期间专项安全监督检查更加注重网络安全应急防范与处理。相关企业可以根据《规定》内容,自行或者委托第三方专业机构检查是否存在违反《规定》的情形,并及时纠正违规行为,以免承担相应的法律责任。


3、尽早进行整体的网络安全和数据保护的合规工作

中国在网络安全领域的系列立法,建立了多项新的网络安全法律制度,对企业设定了多项法律义务,主要包括:


  • 网络安全等级保护制度;

  • 网络运营者系列网络安全保护义务;

  • 关键信息基础设施的认定和网络安全保护义务;

  • 个人信息和用户信息的保护;

  • 数据本地化存储和跨境数据传输的安全评估;

  • 网络产品和服务的安全审查制度;

  • 《网络关键设备和网络安全专用产品目录》及安全认证和安全检测体系。


基于上述法律要求,网络运营者或大数据公司不合规的业务操作,可能引发民事侵权、行政处罚,甚至是刑事责任。企业的整体网络安全合规可以防范上述风险。


网络安全保护合规体系主要包括:等级保护及网络安全制度建设;网络安全应急预案;网络实名制落实;网络产品和服务采购制度;网络安全人员和责任制度设定;合规培训;网络安全事件处理等。


数据保护合规体系主要包括:个人信息保护和隐私政策的修订;数据本地化和跨境传输;数据分类和流程管理;数据跨境传输的安全评估;个人信息安全影响评估(PIA);数据泄漏事件处理等。


特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

作者简介:

陈际红  律师

合伙人  北京办公室 


业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网

长按识别图中二维码,可查阅该合伙人简历详情。



输12

刘洋  律师 


北京办公室  知识产权部


作者往期文章推荐

《PIA指南来了 | 数据保护合规,企业应该怎么做?》

《挑战与应对 | 企业视角的GDPR,几个重要看点》

《企业如何适用<个人信息安全规范>》

《<网络安全法>执法案件汇总及执法重点分析》

《<网络安全法>相关配套法律法规和规范性文件梳理》

《<关键信息基础设施安全保护条例(征求意见稿)>解读》

《大数据应用中数据收集的合法性分析》

《<数据出境安全评估指南(草案)>解读》

《China's New Measures (draft) on Data Cross-border Transmission》

《<网络产品和服务安全审查办法(试行)>评析》

《<个人信息和重要数据出境安全评估办法(征求意见稿)>法律评析》

《<关于清理规范互联网网络接入服务市场的通知>解读》

《解读<网络安全法>:八大角度面面观》

《大数据应用与个人信息保护的平衡考虑》

《强化核心技术  提高专利水平》

《<互联网广告管理暂行办法>的实务解读》

点击“阅读原文”,可查阅该专业文章官网版。


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存