“很多人觉得《网络安全法》离自己很远,实际上可能我们一直在违法,只是暂时还没有处罚到我们而已。”
今年5月,云南某公司网站被黑客入侵,网站主页被篡改。经查,该公司长期处于未采取任何网络安全技术的“真空裸奔”状态。
此事被大理市公安局知悉后,对该公司作出警告并罚款,对负责网络安全的直接责任人给予罚款,并责令该公司立即对网络安全问题进行整改。
大多数人听到这里肯定是满脸疑问,企业的网站被黑客攻击了,没抓到坏人,还要罚企业?
事实上,《网络安全法》早有明确规定:
根据《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
对于违反此法规的网络运营者,据《网络安全法》第五十九条规定,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
简单来说,就是网络运营者要采用各种技术手段保障所运营网站的安全,否则将会受到严厉的惩罚,这对于网络运营者无疑是巨大压力。
网络安全执法常态化
事实上,云南此例并不是全国唯一一例。就网络安全法来看,目前各地已公开的执法案例共30例左右,涉及关键信息基础设施的网络运营者、直接负责的主管人员、网络产品或服务提供者等责任主体。
哈尔滨市方正县政府农业技术推广中心自网站开通以来长期无人维护,遭黑客攻击,被责令整改,并罚款20000元;汕头某公司未及时履行网络安全义务,网警依据网安法责令改正;重庆一网络公司未留存用户登录日志被网安查处;四川一网站因高危漏洞遭入侵被罚;宿迁网警成功查处全省首例违反《网络安全法》接入违规网站案;山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚。
有人说这么看来处罚的都是行政机构和小企业,殊不知知名互联网公司照样难逃法网。2017年8月,国家网信办指导北京市、广东省网信办,分别对腾讯微信、新浪微博、百度贴吧立案,分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息,3家网站平台涉嫌违反《网络安全法》等法律法规。
同月,北京市网信办、天津市网信办联合约谈了李文星之死的直接涉事招聘网站BOSS直聘法定代表人。经相关部门调查,BOSS直聘在为用户提供信息发布服务过程中,违规为未提供真实身份信息的用户提供了信息发布服务;未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散,已违反《中华人民共和国网络安全法》第24条、第48条规定。
不难发现,自《网络安全法》生效以来,与其相关的执法行为逐渐走向常态。
网络运营者应重视违法后果
《网络安全法》对避免网络安全事件频发,避免网站频遭入侵、数据泄密等具有明确规定,企业与网络运营者必须重视起来,安全意识薄弱将不再成为网站被黑的理由。
那么身为网络运营者,有什么义务与责任?下面就列举几条较为常见的违法违规条例。
根据第21条规定,网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
如果出了网络安全事故,后果有三个:
不履行等保制度:责令改正+警告
不改正/危害网络安全:1-10万元罚款
主体负责人:5千元-5万元罚款
根据第22条规定,网络产品、服务的提供者不得设置恶意程序,并应当为其产品、服务持续提供安全维护;网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规。
如果提供网络产品时违反以上规定,后果有四个:
危害网络安全:5-50万元罚款
主体负责人:1-10万元罚款
非法收集信息:违法所得1-10倍罚款
情节严重者:停业整顿或吊销营业执照
此外,面对谣言、虚假新闻,网络运营者应加强对用户发布的信息的管理,及时消除法律、行政法规禁发的信息,建立网络信息安全投诉、举报制度并及时受理。
如果置之不管,有什么后果?
不履行义务:责令整改+警告
不改正/情节严重:10-50万元罚款,停业整顿或吊销营业执照
主体负责人:1-10万元罚款
面对十分猖獗的网络攻击、恶意竞争、地下黑产,我们有什么责任?
不得非法侵入他人网络、窃取网络数据等危害网络安全的活动,不得提供网络攻击工具、程序,不得为攻击者提供技术支持、广告推广、支付结算等帮助。
如果违反有什么后果?
不构成犯罪:没收违法所得,5-50万元罚款
情节严重:10-100万元罚款,5-15日拘留
受刑事处罚:终身禁业
可以看到有些法律法规的处罚措施相当严厉,因为网络安全没有“如果”,出事了就是出事了,尤其是网站运营者、关键信息基础设施的运营者,因为保存了大量敏感数据,是有责任、有义务做好安全防护的,否则一旦被黑客攻击,轻则丢数据、被篡改,重则有政治风险,相信大家都明白这个道理。
比起被罚款、被拘留,做好网站安全防护显然代价要小很多,市面上大量的网络安全产品和专业的网络安全服务商,都可以提供非常多的选择,因此光大企业与网络运营者必须加强个人风险意识和网站安全保护意识,尽快行动起来。
互联网安全挑战无处不在,《网络安全法》的出台为网络运营者提供了法律规范准绳,对于加大网站信息安全具有重要意义,广大网站运营者需谨防成为《网络安全法》落地后第一批被罚款者。