通力法评 | 《公安机关互联网安全监督检查规定》要点解读

作者：通力律师事务所   潘永建 | 李天航

(一) 上位法依据

《规定》第一条在列举《人民警察法》《网络安全法》等上位法之后, 使用“等有关法律、行政法规”的表述。从《规定》援引的法规来看, 此处“等”应当是等外的情况, 即《规定》的上位法还包括但不限于以下法律、行政法规:

1.  法律

《反恐怖主义法》, 该法明确了公安机关在反恐怖主义领域的执法权限和职责以及企业配合的义务。

2.  行政法规

(1) 《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令), 该条例明确了公安机关主管全国计算机信息系统安全的职责和权限;
(2) 《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院第195号令)和《计算机信息网络国际联网安全保护管理办法》(公安部第33号令, 报请国务院批准后发布, 效力相当于行政法规), 前述规定和办法明确了公安机关在国际联网领域的安全管理职责;
(3) 《中华人民共和国电信条例》(国务院第291号令), 该条例明确了公安机关对利用电信网络散布有害信息以及危害电信安全和信息安全的行为进行查处的权力和职责。

(二) 与其他公安机关办案程序的衔接

1.  行政处罚

《规定》明确了在监督检查过程中公安机关的职责权限和企业的权利义务, 但《规定》未涉及对企业的处罚程序, 一旦在监督检查中发现企业违反法律法规规定需要处罚的, 例如需要作出警告、罚款、拘留等处罚决定的, 则公安机关作出行政处罚的程序应当适用《公安机关办理行政案件程序规定》。

2.  刑事办案

互联网安全监督检查程序并不直接向刑事办案程序转化, 只有在检查中发现涉嫌犯罪的行为方可启动刑事办案程序, 适用《刑事诉讼法》《公安机关办理刑事案件程序规定》, 例如发现企业拒不履行信息网络安全管理义务, 导致刑法规定的违法信息大量传播等情况的, 涉嫌拒不履行信息网络安全管理义务罪。虽然《刑事诉讼法》第五十二条第二款规定: “行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料, 在刑事诉讼中可以作为证据使用。”但是互联网安全监督检查中收集的物证、书证、视听资料、电子数据等在刑事诉讼中作为证据使用的前提是必须符合刑事诉讼法律的规定, 例如电子数据必须符合《刑事诉讼法》以及《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)的要求。

《规定》第三条明确, 互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。该条明确了互联网安全监督检查执法主体的级别和部门。

(一) 级别

《规定》征求意见稿规定, 地市级以上人民政府公安机关为执法主体, 《规定》将执法主体修改为县级以上地方人民政府公安机关。

1.  地市级人民政府对应的规范表述为“设区的市级人民政府”。我国幅员辽阔, 绝大多数省、自治区、直辖市面积较大, 由地市级政府公安机关实施监督检查并不合理, 可能会导致工作效率下降, 监督管理不及时。

2.  公安机关设置的最低等级为县级人民政府公安机关(派出所为县级公安机关的派出机构), 且均已设置网络安全保卫部门, 具备相应执法能力。

3.  需要说明的是, 从公安机关的设置来看, 除作为一级政府组成部门的公安机关外, 还有专业公安机关和专门公安机关, 如林业公安机关等; 有的地方还根据管理需要, 设置一定的直属公安机关, 例如, 省级公安机关直属机场公安机关具有一定的地域管辖职责, 在其管辖范围内的监督检查工作, 可以其自身名义实施, 而非某一级人民政府公安机关名义实施。因此, 在互联网安全检查中, 执法的公安机关可能并非某一级人民政府的公安机关, 有时可能为专门公安机关或专业公安机关。

(二) 部门

《规定》明确了监督检查工作在公安内部由网络安全保卫部门组织实施。公安机关根据执法领域设置了不同警种, 网络安全保卫部门属于公安警种之一, 在各级公安机关中具有相对独立的建制, 在垂直管理领域的上下级公安机关间也形成了顺畅的业务指导关系。《规定》直接明确由网络安全保卫部门组织实施, 能够避免职责不清、相互推诿的情况。

《规定》明确了以下机构所在地的公安机关开展监督检查工作:
(1) 互联网服务提供者的网络服务运营机构;
(2) 联网使用单位的网络管理机构。
考虑到当前企业注册地、实际经营地以及服务经营地分散的情况, 前述规定可避免多头管辖、交叉管辖或者管辖推诿等情况的发生。

(一) 对象

1.  互联网服务提供者

提供以下服务的互联网服务提供者:
(1) 互联网接入、互联网数据中心、内容分发、域名服务;
(2) 互联网信息服务;
(3) 公共上网服务;
(4) 其他互联网服务。

2.  联网使用单位

根据《互联网安全保护技术措施规定》(公安部第82号令), 联网使用单位是指为本单位应用需要连接并使用互联网的单位。

3.  重点对象

对于存在以下情况的, 将成为重点监督检查对象:
(1) 开展前述互联网服务未满一年的互联网服务提供者;
(2) 两年内曾发生过网络安全事件、违法犯罪案件的;
(3) 因未履行法定网络安全义务被公安机关予以行政处罚的。

(二) 范围

按照《规定》, 公安机关施行的检查可分为一般检查和重大安保检查。

1.  一般检查的范围

一般检查分为针对所有被检查对象的通用检查和针对不同互联网服务提供者的针对性检查。

值得注意的是, 互联网上网服务营业场所(“网吧”)作为提供公共上网服务的场所, 其经营者虽可纳入提供公共上网服务的互联网服务提供者类别, 但《互联网上网服务营业场所管理条例》就互联网上网服务营业场所的监督检查另有明确规定, 不适用《规定》。

2.  重大安保检查

企业应理解并重视《规定》有关对国家重大网络安全保卫任务的专项安全监督检查。按照规定, 对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位, 公安机关可以对下列内容开展专项安全监督检查:
(1) 是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(2) 是否组织开展网络安全风险评估, 并采取相应风险管控措施堵塞网络安全漏洞隐患;
(3) 是否制定网络安全应急处置预案并组织开展应急演练, 应急处置相关设施是否完备有效;
(4) 是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
(5) 是否按照要求向公安机关报告网络安全防范措施及落实情况。
上述要求一般通过公安机关下发的文件、通知或者其他规范性文件的形式明确, 企业应当遵照执行。

此外, 对于防范恐怖袭击的重点目标单位, 按照前述重大安保规定执行。

(一) 执法人员要求

1.  现场监督检查时, 人民警察不得少于二人, 并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书;
2.  开展远程检测, 应当制作监督检查记录, 并由二名以上开展监督检查的人民警察在监督检查记录上签名;
3.  委托网络安全服务机构提供技术支持的, 技术支持人员应当一并在监督检查记录上签名。

(二) 执法方式和措施

公安机关开展互联网安全监督检查, 可以采取现场监督检查或者远程检测的方式进行。

1.  现场监督检查

可以根据需要采取以下措施:
(1) 进入营业场所、机房、工作场所;
(2) 要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;
(3) 查阅、复制与互联网安全监督检查事项相关的信息;
(4) 查看网络与信息安全保护技术措施运行情况。

2.  远程检测

(1) 适用范围。对互联网服务提供者和联网使用单位是否存在网络安全漏洞, 可以开展远程检测;
(2) 要求。开展远程检测, 应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项, 不得干扰、破坏监督检查对象网络的正常运行。

3.  技术支持

公安机关开展现场监督检查或者远程检测, 可以委托具有相应技术能力的网络安全服务机构提供技术支持。

(三) 改正

公安机关在互联网安全监督检查中, 发现互联网服务提供者和联网使用单位存在网络安全风险隐患, 应当督促指导其采取措施消除风险隐患, 并在监督检查记录上注明; 发现有违法行为, 但情节轻微或者未造成后果的, 应当责令其限期整改。

按照《规定》, 被检查对象若按照前述公安机关要求消除隐患或者改正的, 可免受处罚。否则, 公安机关不仅进行处罚, 而且对发现的可能危害国家安全、公共安全、社会秩序的网络安全风险, 将及时通报有关主管部门和单位。

(一) 网络安全和反恐怖主义法律责任

公安机关根据《规定》开展的监督检查中, 发现被检查对象的在检查重点和范围内没有按照《规定》和对应的法律规定要求, 落实互联网安全义务的, 将根据《网络安全法》的规定进行相应处罚。此外, 在网络实名制、网络信息控制以及技术支持方面, 违反《反恐怖主义法》的, 其直接负责的主管人员和其他直接责任人员还将受到罚款、拘留等处罚。

(二) 治安处罚与刑事处罚

1.  治安处罚

在公安机关开展互联网安全监督检查中, 互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的, 公安机关除根据《网络安全法》第六十九条第二项进行处罚外, 情节严重的, 还可以根据《治安管理处罚法》第五十条, 对具体行为人进行处罚(警告、罚款或者五日以上十日以下拘留)。

2.  刑事处罚

对于以下情况, 情节严重或者达到刑事追诉标准的, 还可能被追究刑事责任:

(1) 受公安机关委托提供技术支持的网络安全服务机构及其工作人员实施以下行为
1) 窃取或者以其他非法方式获取、非法出售或者非法向他人提供在工作中获悉的个人信息的;
2) 侵犯监督检查对象的商业秘密。

(2) 网络服务提供者在监督检查中被责令限期改正而拒不改正, 导致危害结果发生, 达到追诉标准的, 可能被以涉嫌拒不履行信息网络安全管理义务罪追究刑事责任。

《规定》的公布反映了公安机关在互联网安全领域执法的动向, 公安机关不仅将更加重视互联网安全领域的执法, 而且将注重在该领域执法的规范化。同时, 公安机关也将更加重视执法中发现问题的横向沟通联系和写作。在此情形下, 我们建议企业做好以下应对工作:

(一) 做好自查自纠工作

根据《规定》检查重点和范围的要求, 对照法律法规的合规性要求, 逐项对企业自身的合规性进行审查, 并及时纠正发现的问题, 对于需要聘请外部专业就够提供帮助的领域, 应当立即开展相关自查自纠工作:

1.  网络安全等级保护。如未开展定级相关工作的, 应当立即聘请具有资质的机构进行评测, 帮助定级, 并根据对应等级开展查缺补漏相关工作;
2.  国际联网备案。向联网服务提供商问询企业关于国际联网备案的情况, 如未进行国际联网备案的, 应当督促服务供应商立即进行备案;
3.  根据提供互联网服务的情况, 对照针对性检查重点, 立即完善相关制度和措施, 使企业符合法律法规的合规性要求。

(二) 重视重大网络活动安保要求

公安机关对重大网络活动的安保要求和文件具有即时性和针对性, 不同于规范性文件或者规章, 仅就特定安保活动开展之前制定具体要求的文件或提出具体要求, 前述文件对相关企业具有约束力。因此, 企业应当积极落实公安机关在重大网络活动之前发布的文件和提出的要求, 否则, 可能被视为违反《规定》有关重大网络活动安保检查的相关规定而受到相应处罚。

(三) 正确应对公安机关的日常检查

《规定》明确了公安机关开展互联网安全监督检查的正当程序性要求, 被检查企业可以要求公安机关在实施检查过程中遵守程序要求。例如:

1.  在现场检查需二人执法并出示警察证和监督检查通知书(根据惯例, 该通知书为格式化文书)。因此, 在礼貌接待的同时, 可以要求检查人员执行上述要求;

2.  在现场检查完毕后, 检查笔录应当仔细审阅并签字。如果出现不符合实际情况的, 应当要求检查人员修改或者补正, 否则可不予签字。

联系人：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。