1. 拒不履行信息網路安全管理義務罪最高量刑
關於拒不履行網路安全管理義務罪的有關認定問題
為了保障網路系統安全和網路信息安全,網路安全法和國務院《互聯網信息服務管理辦法》、《計算機信息網路國際聯網安全保護管理辦法》、電信條例等法律法規,對網路服務提供者規定了必要的網路安全管理義務。為督促有關網路安全監管部門履行好監管責任,促使網路服務提供者切實承擔起安全管理義務,刑法修正案(九)增設刑法第二百八十六條之一拒不履行網路安全管理義務罪。《解釋》特別注意與相關法律法規的規定保持銜接和協調,對拒不履行網路安全管理義務罪的有關認定問題作了明確:
《解釋》第一條明確了本罪中「網路服務提供者」的認定問題。網路服務提供者,一般包括通過計算機互聯網、廣播電視網、固定通信網、移動通信網等信息網路,向公眾提供網路服務的機構和個人。本條根據其提供的服務內容不同,將其分為三類:一是網路技術服務提供者,即信息網路接入、計算、存儲、傳輸服務提供者;二是網路內容服務提供者,即信息發布、搜索引擎、即時通訊、網路支付、網路購物、網路游戲、廣告推廣、應用商店等信息網路應用服務提供者;三是網路公共服務提供者,即電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務提供者。
《解釋》第二條明確了本罪中「經監管部門責令採取改正措施而拒不改正」的認定問題。網路安全法第八條第一款規定:「國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。」結合執法司法實踐情況,本條明確了三方面問題:一是監管部門的范圍,包括網信、電信、公安等依法承擔信息網路安全監管職責的部門。二是責令整改的形式,必須以責令整改通知書或者其他文書形式作出。三是對是否「拒不改正」應作綜合判斷,綜合考慮監管部門責令改正是否具有法律、行政法規依據,改正措施及期限要求是否明確、合理,網路服務提供者是否具有按照要求採取改正措施的能力等因素。對於確實因為資金、技術等條件限制,沒有或者一時難以達到監管部門要求,不能認定為「拒不改正」。
《解釋》第三條至第六條明確了本罪的四類入罪標准。第三條明確了「致使違法信息大量傳播的」入罪標准,主要從違法信息傳播數量和傳播范圍兩個角度規定了數量標准。第四條明確了「致使用戶信息泄露,造成嚴重後果的」入罪標准,主要從用戶信息數量和造成後果兩個角度作了規定,特別注意與「兩高」《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》保持銜接和協調,將用戶信息區分為高度敏感信息、敏感信息、一般信息,數量標准按照侵犯公民個人信息罪入罪標準的十倍掌握。第五條明確了「致使刑事案件證據滅失,情節嚴重的」入罪標准,主要考慮涉及刑事案件的重大程度、證據滅失次數、對刑事訴訟程序的影響等因素作了規定。第六條明確了「有其他嚴重情節的」入罪標准,主要考慮安全管理義務的重要程度、行為人的主觀惡性、打擊網路黑灰產業鏈條的需要以及可能造成的嚴重後果等因素作了規定。特別是為了落實網路安全法第二十一條、第二十四條規定的網路服務提供者按照規定留存相關網路日誌和要求用戶提供真實身份信息的義務,將「對絕大多數用戶日誌未留存或者未落實真實身份信息認證義務的」情形規定為入罪標准之一。
2. 網信辦查出網站漏洞能關停網嗎
客戶網站因存在漏洞,被上報到了國家網路與信息安全信息通報中心,分發給當地網警,並給下發了信息系統安全等級保護限期整改通知書,並電話以及郵件告知了客戶,要求3天內對漏洞進行修復以及網路安全防護,對網站進行全面的安全加固,防止漏洞再次的發生。客戶第一次碰到這種情況,也不知道該如何解決,找了當時設計網站的服務商,他們竟然回復解決不了。 客戶才找到我們SINESAFE安全,說實在的,很多客戶遇到這種情況,第一時間想到的是網站建設服務商,並不會想到找網站安全服務商來解決問題。在這里再跟大家解釋一下,代碼設計是功能方面以及外觀方面的設計,像開發一個會員注冊功能,都是代碼設計的范圍,可當會員注冊存在漏洞,這就是屬於網站漏洞修復的范疇,應該找網站漏洞修復服務商來處理。
3. 遼寧省計算機信息系統安全管理條例
第一章總則第一條為加強計算機信息系統的安全管理,促進計算機的應用與發展,根據有關法律、法規,結合我省實際,制定本條例。第二條本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。第三條我省行政區域內的計算機信息系統的安全管理工作適用本條例。
軍隊計算機信息系統的安全工作,按照國家有關規定執行。第四條公安機關主管計算機信息系統的安全管理工作。
國家安全機關、保密部門及政府其他有關部門在各自的職責范圍內負責計算機信息系統安全管理的有關工作。第五條計算機信息系統安全管理工作的重點是維護國家機關和經濟建設、科學技術等重要部門和單位的計算機信息系統的安全。第六條公民發現危害計算機信息系統安全的行為,有權制止和向公安機關舉報。第七條對在計算機信息系統安全管理工作中做出突出貢獻的單位和個人,由公安機關或所在單位給予表彰和獎勵。第二章安全管理制度第八條計算機機房應當符合國家標准和國家有關規定。
新建計算機機房的設計方案,應當報公安機關對其安全性能進行審核、備案。
公安機關對計算機機房定期進行安全檢查。檢查合格的,發給《計算機機房安全合格證》。第九條計算機信息系統的使用單位應當建立下列安全制度:
(一)計算中心場所出入管理制度;
(二)技術文件管理制度;
(三)系統使用維護制度;
(四)數據記錄媒體管理制度;
(五)計算機犯罪、計算機病毒及有害數據的防控制度;
(六)其他安全監督制度。第十條計算機信息系統的管理、維護和專職操作人員應當經過公安機關組織的安全培訓並考核合格,取得《計算機信息系統安全培訓合格證》後上崗工作。第十一條計算機信息系統的建設和應用,應當遵守法律、法規和國家其他有關規定。
新建計算機信息系統,應當報公安機關備案。
公安機關對計算機信息系統定期進行安全檢查。
已進行國際聯網的計算機信息系統,由接入單位報省公安機關備案。第十二條嚴禁任何單位或個人製造、傳播計算機病毒和其他有害數據。第十三條銷售的計算機信息系統安全專用產品,應當按照國家有關規定取得銷售許可。第三章安全管理職責第十四條公安機關對計算機信息系統安全管理履行下列職責:
(一)開展計算機信息系統安全保護的宣傳教育工作;
(二)監督檢查計算機信息系統安全管理的法律、法規的執行情況;
(三)辦理有關計算機信息系統的備案手續;
(四)監督管理計算機病毒和其他有害數據的防治研究工作;
(五)查處危害計算機信息系統安全的違法犯罪案件。第十五條計算機信息系統的使用單位應當履行下列職責:
(一)對計算機信息系統工作人員進行安全教育;
(二)定期對計算機信息系統進行風險分析,採取相應措施;
(三)向公安機關和上級主管部門報告本單位計算機信息系統安全情況;
(四)配備計算機信息系統安全管理人員,並報當地公安機關備案。第十六條計算機信息系統安全管理人員的職責是:
(一)負責對信息處理活動和安全措施的內部監督;
(二)對計算機信息系統中發生的案件,在21小時內向公安機關報告;
(三)在計算機信息系統中發現計算機病毒等有害數據,及時向公安機關報告,同時報告其危害程度;
(四)協助公安機關追查計算機病毒及其他有害數據的來源;
(五)協助公安機關調查有關計算機信息系統的違法犯罪案件。第十七條公安機關發現影響計算機信息系統安全的隱患時,應當於48小時內向該用戶發出《計算機信息系統安全隱患整改通知書》,責令其限期消除隱患。第四章法律責任第十八條違反本條例規定,有下列行為之一的,由公安機關給予警告,責令限期改正;逾期不改正的,責令停機整頓:
(一)未按規定建立計算機信息系統安全管理制度或安全管理制度不健全,危害計算機信息系統安全的;
(二)進行國際聯網的接入單位未按國家規定到公安機關備案的;
(三)對計算機信息系統中發生的案件,在24小時內未向公安機關報告的;
(四)接到公安機關發出的《計算機信息系統安全隱患整改通知書》,在限期內拒不消除隱患的;
(五)未取得《計算機機房安全合格證》而擅自投入使用的。
責令停機整頓的,應當報省公安機關批准。