上海市公安局于2016年制定并发布了《上海市公安局关于计算机信息网络安全管理行政处罚的裁量基准》。
根据《上海市行政规范性文件管理规定》关于文件有效期5年的规定,《裁量基准》于2021年2月28日有效期届满。
上海市公安局关于印发《上海市公安局关于网络安全管理行政处罚的裁量基准》,自2021年3月8日起施行,有效期至2026年3月7日。
其中,增加《中华人民共和国网络安全法》作为修改后《裁量基准》的制定依据之一,新增适用《中华人民共和国网络安全法》实施行政处罚的裁量基准,并规范了违法行为名称的表述。
如:网络运营者不履行网络安全保护义务。
【法律依据】
《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条第一款网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
【裁量基准】
初次警告:
初次违反规定,且未导致危害网络安全等后果的,责令改正,给予警告。
罚款:企业1万—5万;直接主管人员5千—2万。
有下列情形之一的,处一万元以上五万元以下罚款,对直接负责的主管人员处五千元以上两万元以下罚款:
(一)拒不改正的;
(二)导致危害网络安全等后果的;
(三)在发生危害网络安全的事件时,未立即启动应急预案,或者未采取相应的补救措施,或者未按照规定向有关主管部门报告的;
(四)对国家安全、社会秩序和公共利益造成较重影响后果,影响人民群众工作、生活或者造成较大经济损失的。
罚款:企业5万—10万;直接主管人员2万—5万。
有下列情形之一的,处五万元以上十万元以下罚款,对直接负责的主管人员处两万元以上五万元以下罚款:
(一)拒不改正且导致危害网络安全等后果,或者因不履行网络安全保护义务被罚款后一年内再次被查获的;
(二)未履行《网络安全法》第二十一条规定的多项网络安全保护义务,导致危害网络安全等后果的;
(三)在发生危害网络安全的事件时,未立即启动应急预案,且未采取相应的补救措施,且未按照规定向有关主管部门报告的;
(四)致使网络系统被攻击篡改,导致被张贴违法有害信息,造成不良社会影响的;
(五)导致刑事案件证据灭失的;
(六)对国家安全、社会秩序和公共利益造成严重影响后果,严重影响人民群众工作、生活或者造成重大经济损失的。
解读:对违反《网安法》第21条以及第25条,根据第59条处罚的细分规定。
案例一:
2019年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。
南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。
案例二:
2019年3月,泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。
泰州警方依据《网络安全法》第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。
案例三:
上海网安部门在工作中发现,上海市某网络科技有限公司的网站存在低危级别的安全漏洞,立即责令其限期整改。
之后,网安部门在对整改情况开展复查时发现,该公司未按规定完成整改内容,并且又出现了其他5个高危安全漏洞。
对此,公安机关依据《网络安全法》第21条、第59条第一款之规定,对该公司罚款两万元。
案例四:
上海网安部门在工作中发现,上海市某信息科技有限公司的网站被植入淫秽色情等违法信息。经查,该公司未采取网络安全技术保护措施、未落实网络安全保护管理制度。
对此,公安机关依据《网络安全法》第21条、第59条第一款之规定,对该公司罚款一万元。
结语:很多时候,企业可能一直在违法,只是没有被处罚而已!
《网络安全法》自2017年6月1日起,已经实行四周年了,网络空间不是法外之地,学法、知法、守法,没有网络安全就没有国家安全,维护网络安全,就是维护我们的切身利益。
