㈠ 在網路數據安全保障方面網路安全法規定網路運營者應該採取哪些措施
「網路運營者」的范圍極為廣泛,根據《網路安全法》第76條規定,網路運營者是指網路的所有者、管理者和網路服務提供者。即無論是網路的所有方、管理方還是在利用網路提供服務都包含在「網路運營者」的概念之下。
1.履行安全保護義務
根據《網路安全法》第21條規定,網路運營者應當按照網路安全等級保護制度的要求履行相應的安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄漏或者被竊取、篡改。具體義務包括:
制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
採取數據分類、重要數據備份和加密等措施;
法律、行政法規規定的其他義務。
網路安全等級保護制度是網路安全領域的一項重要制度,涵蓋技術類安全要求和管理類安全要求兩大類。技術類安全要求主要從物理、環境、應用、數據等幾個方面進行強調,而管理類安全要求則是對安全管理的制度、機構、人員、系統建設及運維等幾個方面進行強調。
2.提供安全網路產品和服務的義務
提供安全可靠的網路產品或服務是網路運營者的基本義務。
根據《網路安全法》第22條規定,網路產品、服務應當符合相關國家標準的強制性要求,此外不得設置惡意程序,對於安全缺陷、漏洞等風險還應當及時採取補救措施並向主管部門報告;在約定或者規定的期限內不得終止提供安全維護。
根據《網路安全法》第27條規定,任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
3.用戶身份實名審核義務
在特定情況下要求用戶提供真實身份信息是網路運營者的法定義務。
根據《網路安全法》第24條規定,網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
4.建立網路應急處置措施的義務
㈡ 網路安全法規定網路數據包括哪些電子數據
您好,《中華人民共和國網路安全法》規定,網路數據是指在網路上產生、存儲、傳輸、處理的各種電子數據,包括但不限於文本、圖片、音頻、視頻等多種形式的信息。具體包括以下幾類:
1. 個人信息:指以自然人為主體的各種信息,包括姓名、身份證號碼、電話號碼、地址、電子郵件等。
2. 商業信息:指商業機構或個人在經營活動中產生的各種信息,包括財務信息、客戶信息、營銷信息等。
3. 政府信息:指政府機構在行政管理、公共服務等方面產生的各種信息,包括公文、公告、政策、法規等。
4. 科研信息:指科學研究機構或個人在科學研究過穗脊程中產生的各種信息,包括研究數據、研究成果等。
5. 網路日誌:指網路設備或程序在網路上產生的各種記錄信息,包括網路訪問日誌、系統日誌、安全日誌等。
6. 其他電子數據:指除上述電子數據之外的其襪族輪他各種電子數據。
網路數據的保護是重要的法律告信責任,任何單位和個人都應當依法保護網路數據的安全,不得非法獲取、使用、泄露、銷售、篡改等行為。
㈢ 中華人民共和國網路安全法
第一章總 則第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。第五條國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。第六條國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。第八條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。第九條網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網路安全保護義務,接受政府和社會的監督,承擔社會責任。第十條建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。第十一條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員加強網路安全保護,提高網路安全保護水平,促進行業健康發展。第十二條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。第十三條國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。第二章網路安全支持與促進第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。
㈣ 網路安全法就網路數據安全制定了哪些重要制度
《網路安全法》出台的重大意義,主要表現在以下幾個方面:
一是構建我國首部網路空間管轄基本法。
作為國家實施網路空間管轄的第一部法律,《網路安全法》屬於國家基本法律,是網路安全法制體系的重要基礎。這部基本法規范了網路空間多元主體的責任義務,以法律的形式催生一個維護國家主權、安全和發展利益的「命運共同體」。具體包括,規定網路信息安全法的總體目標和基本原則;規范網路社會中不同主體所享有的權利義務及其地位;建立網站身份認證制度,實施後台實名;建立網路信息保密制度,保護網路主體的隱私權;建立行政機關對網路信息安全的監管程序和制度,規定對網路信息安全犯罪的懲治和打擊;以及規定具體的訴訟救濟程序等等。
此次《網路安全法》的出台從根本上填補了我國綜合性網路信息安全基本大法、核心的網路信息安全法和專門法律的三大空白。該法的推出走進了治理能力和治理體系現代化的總目標,走進了《國家安全法》的大格局,走進了網路強國的快車道,走進了大數據的新天地,走進了為人民謀福祉的總布局。
三是服務於國家網路安全戰略和網路強國建設。
現如今,網路空間逐步成為世界主要國家展開競爭和戰略博弈的新領域。我國作為一個擁有大量網民並正在持續發展中的國家,不斷感受到來自現存霸主美國的戰略壓力。這決定了網路空間成為我國國家利益的新邊疆;確立網路空間行為准則和模式成為我國的當務之急。現代國家必然是法治國家,國家行為的規制由法律來決定。而即將出台的《網路安全法》中明確提出了有關國家網路空間安全戰略和重要領域安全規劃等問題的法律要求。這有助於實現推進中國在國家網路安全領域明晰戰略意圖,確立清晰目標,釐清行為准則,不僅能夠提升我國保障自身網路安全的能力,還有助於推進與其他國家和行為體就網路安全問題展開有效的戰略博弈。
四是在網路空間領域貫徹落實依法治國精神。
十八屆四中全會通過了《中共中央關於全面推進依法治國若乾重大問題的決定》,為我國的國家治理體系和治理能力現代化指明了方向,也為網路空間治理提供了指南。依法治國,正蹄疾步穩地落到實處,融入到國家行政、社會治理與公民生活中的點點滴滴。與已經相對成熟的領域和行業相比,互聯網領域可以稱得上是蠻荒之地,因為互聯網的飛速發展才短短二十年左右,許多監管、治理手段都是後知後覺地根據問題進行後期的補充。但此次《網路安全法》破除重重障礙,撥雲見日,高舉依法治國大旗,開啟依法治網的嶄新局面,成為依法治國頂層設計下一項共建共享的路徑實踐。依法治網成為我國網路空間治理的主線和引領,以法治謀求網治的長治久安。《網路安全法》還考慮到網路的開放性和互聯性,加強法治工作的國際合作協調,讓人類共同面臨的網路犯罪無處遁形,通過科學有效、詳細的法律進行懲罰和約束,達到正本清源的目的。
五是成為網路參與者普遍遵守的法律准則和依據。
網路不是法外之地,《網路安全法》為各方參與互聯網上的行為提供非常重要的准則,所有參與者都要按照《網路安全法》的要求來規范自己的行為,同樣所有網路行為主體所進行的活動,包括國家管理、公民個人參與、機構在網上的參與、電子商務等都要遵守本法的要求。《網路安全法》對網路產品和服務提供者的安全義務有了明確的規定,將現行的安全認證和安全檢測制度上升成為了法律,強化了安全審查制度。通過這些規定,使得所有網路行為都有法可依,有法必依,任何為個人利益觸碰法律底線的行為都將受到法律的制裁。
六是助力網路空間治理,護航「互聯網+」。
目前,中國已經成為名符其實的網路大國。截至2016年6月,中國網民規模達7.10億。但現實的網路環境十分堪憂,網路詐騙層出不窮、網路入侵比比皆是、個人隱私肆意泄露。根據中國互聯網協會發布的《中國網民權益保護調查報告
(2015)》,63.4%的網民通話記錄、網上購物記錄等信息遭泄露;78.2%的網民個人身份信息曾遭泄露,因個人信息泄露、垃圾信息、詐騙信息等導致的總體損失約805億元。但此前其他關於網路信息安全的規定,大多分散在眾多行政法規、規章和司法解釋中,因此無法形成具有針對性、適用性和前瞻性的法律體系。《網路安全法》的出台將成為新的起點和轉折點,公民個人信息保護進入正軌,網路暴力、網路謠言、網路欺詐等「毒瘤」生存的空間將被大大擠壓,而「四有」中國好網民從道德自覺走向法律規范,用法律武器維護自己的合法權益。國家網路空間的治理能力在法律的框架下將得到大幅度提升,營造出良好和諧的互聯網環境,更為「互聯網+」的長遠發展保駕護航。市場經濟本質是信用經濟,其精髓在於開放的市場+完善的法律,從這種意義上講,「互聯網+」必須帶上「安全」才能飛向長遠。
法律依據:
《網路安全法》第二十一條:國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
《網路安全法》第三十一條:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
㈤ 中華人民共和國網路安全法規定關鍵信息基礎設施的運營者在中華人民共和國境內
《中華人民共和國網路安全法》規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。
《中華人民共和國網路安全法》第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
第三十八條關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。
㈥ 網路安全法規定網路
法律主觀:
當下,中國已經全面進入互聯網時模配絕代,在我們享受著互聯網帶來的快捷、便利之時,也不可避免的經歷著發展帶來的陣痛。新實施的《網路安全法》如同一把利劍,填補了互聯網領域諸多法律空白。尤其是界定了關鍵問題有著重要的意義。網路安全的管理中,對於違背網路安全法的主題的處罰時不可忽視的一個重點。只有通過制定嚴厲科學的懲罰手段,才能夠為網路安全提供強有力的後盾保障。一.法律責任的法條規定1.第五十九條網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。關賣核鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。2.第六十條違反本法第二十二條第一款、第二款和第四十八條第一款規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款:(一)設置惡意程序的;(二)對其產品、服務存在的安全缺陷、漏洞等風險未立即採取補救措施,或者未按照規定及時告知用戶並向有關主管部門報告的;(三)擅自終止為其產品、服務提供安全維護的。3.第六十一條網路運營者違反本法第二十四條第一款規定,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。4.第六十二條違反本法第二十六條規定,開展網路安全認證、檢測、風險評估等活動,或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的,由有關主管部門責令改正,給予警告;拒不改正或者情節嚴重的,處一萬元以上十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。5.第六十三條違反本法第二十七條規定,從事危害網路安全的活動,或者提供專門用於從事危害網路安全活動的程序、工具,或者為他人從事危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。違反本法第二十七條規定,受到治安管理處罰的人員,五年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。二、《網路安全法》與《國家安全法》的關系1、《國家安全法》中設置有針對網路與信息安全保障的專門條款,如《國家安全法》第二十五條明確規定:國家建設網路與信息安全保障體系,提升網路與信息安全保護能力,加強網路和信息技術的創新研究和開發應用,實現網路和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控;加強網路管理,防範、制止和依法懲治網路攻擊、網路入侵、網路竊密、散布違法有害信息等網路違法犯罪行為,維護國家網路空間主權、安全和發展利益。2、同時,《旦姿國家安全法》第五十九條規定:國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網路信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。3、值得注意的是,《網路安全法》第三十條建立了關鍵信息基礎設施運營者采購網路產品、服務的安全審查制度,其中規定:關鍵信息基礎設施的運營者采購網路產品或者服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的安全審查。從上述條款可以看出,網路安全保障的內容如涉及國家安全,基於維護國家網路空間主權、安全和發展利益,將受到《國家安全法》的規制和保護。4、在此方面,《國家安全法》對涉及國家安全事項的網路與信息安全保障做出了原則性的規定,而《網路安全法》作為網路安全管理方面的基礎性法律,具體指導相關規定的有效實施,充分體現了兩部法律在相關規定上的銜接。5、然而,《網路安全法》是保障網路空間安全的基本法,其與《國家安全法》都是由全國人大常委會制定的法律,因此二者在我國法律體系內處於同一法律位階,不存在上位法與下位法的關系。《網路安全法》的立法宗旨是「保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展」。隨著我國經濟和社會信息化進程加快,國民經濟和社會發展對基礎信息網路和重要信息系統的依賴性越來越大,信息安全事關國家安全。在重要領域施行信息安全等級保護是我國保護計算機信息系統安全的重要舉措。
法律客觀:
《中華人民共和國網路安全法》第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改: (一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任; (二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施; (三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月; (四)採取數據分類、重要數據備份和加密等措施; (五)法律、行政法規規定的其他義務。
㈦ 個人信息保護法與網路安全法、數據安全法的聯系
法律主觀:
1、個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。 2、違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處 三年以下有期徒刑 或者拘役,並處或者單處罰金; 情節特別嚴重 的,處三年以上七年以下有期徒刑,並處罰金。 3、違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。 竊取或者以其他方法 非法獲取公民個人信息 的,依照第一款的規定處罰。 4、單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他 直接責任人 員,依照各該款的規定處罰。
法律客觀:
《中華人民共和國網路安全法》第七十六條 本法下列用語的含義: (一)網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。 (二)網路安全,是指通過採取必要措施,神蔽防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。 (三)網路運營者,是指網路的所有者、管理者和網路服務提供者。 (四)網路數據,是指通過網路收集、存儲、傳輸、處理磨瞎返和產生的各種電子數據。 (五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住瞎飢址、電話號碼等。
㈧ 蘇奎:個人數據保護是平台的「阿克琉斯之踵」
【文/觀察者網專欄作者 蘇奎】嘩拍櫻
毫無疑問,互聯網平台是信息時代的主角。超大規模、壟斷、權力巨大是其主要特徵,能影響無數人的生活、利益,甚至生計。平台具有多重屬性,既是一個傳統企業,同時也是一種經濟形態。以平台為核心構成的平台經濟甚至就是一個虛擬城邦國。正如扎克伯格的名言:「在很多方面,臉書(Facebook)更像是一個政府,而不是一個傳統的公司。」
平台是平台經濟的絕對主宰者,它能夠恣意制定規則、解釋規則並執行規則,而這些規則可以影響數以億計的人。它們與國家法律法規在本質上沒有區別,卻不需要遵循國家立法、司法、執法所要求的正當性程序。自從國家產生以來,政府沒有面對過類似的管治對手,可以說是3000年未有之大變局。
在信息時代,如何治理平台在世界范圍內都是一項巨大的挑戰。反壟斷、消費者保護、公平競爭等傳統工具是世界范圍內進行平台治理的幾條主要路徑。然而,反壟斷、消費者保護、公平競爭這些治理工具都是傳統經濟時代發展而來的,面對著信息時代的巨頭,它們可以說常常是捉襟見肘、力有不逮,成效多有不彰。
個人數據保護是信息時代發展出的新工具,盡管其初衷是保護個人信息,但無數人的個人信息積水成淵就成了大數據,有了大數據,演算法才能從一具奄奄的軀殼化身為一頭桀驁的巨獸。也就是說,演算法的命門在個人信息保護。
近期歐美正在發生的平台個人信息保護的一些案例發人深思,讓人興奮,個人數據保護賦予個人更大的權力從而平衡平台在平台經濟中的權力結構,可能也是平台治理的一條新路徑。
勞務平台
互聯網平台並不具有廣泛的同一性,不同類型之間差異巨大,既有以信息服務為核心的社交平台、搜索平台,也有生產海量信息的電商平台。以網約車、外賣等為代表的勞務平台可算是後者。平台是虛擬的市場,通過平台出售勞務。但更重要的是,這些勞務平台上聚集了數百萬,甚至上千萬分布在全球城市的勞動人民。相比其他平台,它們不只是在為人服務,還掌握著無數人的信息。因此,這些平台與人的關系更為密切,對 社會 治理帶來的挑戰更大,影響也更為深遠。
這些平台上的人依靠平台提供的信息而生存,為平台生成海量的信息資源,又被這些信息所管理控制。相比其他電商平台,這類平台上的人(勞動力)的幾乎沒有自主權,傳統的勞動保護也與其無緣,因為他們被平台認為是 微型企業家 。平台依靠信息對如此龐大的勞動力隊伍進行精準管理,這超過了人類 歷史 上任何組織的極限,可以說是人類 歷史 的奇跡,而創造這樣的奇跡的核心則是隱藏在平台背後的演算法。
網約車平台幾乎是迄今為止對 社會 治理帶來最多問題、爭議最大的互聯網平台。創建於2008年的優步開創了網約車行業,其月度活躍的消費者數量約1億人,全球日均訂單數近2000萬(包括外賣),平台上的駕駛員人數超過400萬,平均每月有5萬名新駕駛員加入平台。其強硬對抗全球監管機構的做派曾經亂叢為其帶來無數的麻煩,蔑視規則和法律的企業文化也使得企業本身遭遇了內傷。2017年,創始人卡拉尼克甚至被趕出了公司。除了廣為人知的與各地監管機構的鬥法外,優步與平台內駕駛員之間的矛盾可以說是日益尖銳,與消費者之間的齟齬也不時傳出。
泄露個人信息後果很嚴重
1月20日,特朗普在離開白宮前公布了多達73人的赦免長名單,前軍師史蒂夫·班農毫無懸念出現在名單上,但也有一些名字是出人意料的。前優步負責自動駕駛業務的高管——安東尼·萊萬多斯基(Anthony Levandowski)相當幸運地逃脫了原本在2月7日就要開始的牢獄之災,據傳特朗普在矽谷中為數不多的支持者——大佬彼得·蒂爾(Peter Thiel)是其幕後的操盤手。
相比之下,優步的另一位前高管——首席安全官喬·沙利文(Joe Sullivan)恐怕只能哀嘆命運之不公了。不過這確實是咎由自取,簡直就是「不作不死」。2020年8月21日,沙利文遭聯邦司法部以阻礙司法和作偽證兩項罪名起訴,刑期可能高達8年。而這一切均始於2016年那次對約5700萬駕駛員和乘客個人信息泄露後的掩蓋。
沙利文並非新手,他曾是互聯網巨頭臉書的首席安全賀枯官,對信息安全和個人信息保護有豐富的經驗。然而,在獲悉優步發生黑客入侵導致平台個人信息泄露後,他並沒有依法立即向政府有關部門報告,而是在與時任CEO卡拉尼克(Travis Kalanick)商議後通過向黑客支付10萬美元的封口費,買通黑客將其定性為平台主動邀請黑客發現安全漏洞。而封口費也就變成了安全獎勵。
發生如此大規模的個人(包括平台的駕駛員和乘客)信息泄露,自然不會被歐美的相關監管機構放過。按照歐盟的規定,數據泄露後應在72小時內向監管機構報告。據此,其歐洲總部所在的荷蘭數據保護局2018年對其處以60萬歐元的罰款。宣布脫歐的英國(ICO)也對其施以38.5萬英鎊的罰款。
相比歐洲同行,美國本土的監管機構對其下手更重,加州檢察總長與舊金山檢察長聯合了美國50個州和首都華盛頓特區的相關部門對其發起訴訟。2018年9月,優步主動以高達1.48億美元的巨額賠償金和解。看來,在個人信息保護方面,國內一直以來有關美國立法和監管更為寬松的觀點恐怕並非事實。
監管深入企業的黑箱
FTC是在公平競爭和消費者保護方面的執法機構,在知悉此事後,迅速宣布2017年8月已經達成的和解協議無效,需要重新商定有關和解條款。
2018年10月 ,FTC再次宣布達成新的和解協議。作為信奉自由市場的特朗普政府,治下的FTC確實對優步手下留情,並沒有如州政府予以重罰,甚至根本就沒有罰款,但對優步的內部信息安全管理提出了事無巨細的要求。相比以企業外在結果為主要對象的結果保護策略,FTC的協議則是以企業內部管理為主要對象的過程保護策略。也就是說,它更多地是以事前預防的思路對企業內部可能存在的個人信息保護漏洞進行全方位的監管, 將企業內部的信息安全管理納入公共管理。這可以說是一種新的個人信息保護模式。
事實上,我國正在開展的個人信息保護立法(包括已經完成的網路安全法,以及2020年徵求意見的數據安全法、個人信息保護法)同樣也採用了這種思路。不過,相比FTC的和解協議,中國的平台企業享有更多的自由。FTC的和解協議建立了相對較為完備的企業信息安全制度,主要內容包括:
優步需要立即建立綜合性的個人信息(隱私)保護計劃,所有計劃、方案、培訓均需要有書面記錄。設置專門的人員負責個人信息(隱私)保護計劃。
開展個人信息(隱私)風險排查、評估,確定風險點,制定整改計劃。制定個人信息(隱私)風險動態監控和評估方案。
建立第三方信息(隱私)審計、評估制度,第三方審計人員需有執業資質並具有3年以上的從業經歷,相關審計人員還需經過FTC消費者保護部門批准。完成評估後10天內,需將評估報告送FTC備查。在協議執行開始後半年內應完成第一次第三方審計,以後每兩年應至少開展一次。
建立信息安全事故統計與報告制度。
建立文件簽收與學習制度。公司所有相關人員必須學習FTC的和解協議文件,並要簽名確認,有關學習記錄需要書面記載。
文件簽發一年後,優步需向FTC遞交合規報告,報告應該宣誓內容真實可靠,否則將承擔偽證罪。企業任何組織機構和實體發生變化需在14天內通知FTC,以便於監管部門檢查、監督。
及時響應監管部門,收到FTC有關信息(隱私)安全的問詢後,優步需在10天內回復或響應,有關合規報告或材料需要宣誓非偽證,並准備好詳細記錄備查。
建立信息安全檔案記錄,包括相關員工的檔案記錄(包括離職原因)、平台用戶投訴記錄、所有可證明公司落實文件的材料、公司對外宣傳及承諾有關個人信息(隱私)保護措施、信息安全評估、審計與整改報告、安全漏洞獎發放記錄、執法部門傳票、調查與說明材料等。
福布斯網上關於該案件的報道截圖
加州檢察總長聯合各州與優步達成的和解協議在巨額賠償之外其實也提出了類似的一系列企業信息安全合規要求,包括企業需要設置首席安全官,以及雲存儲密碼、認證強化制度、建立信息安全員工培訓與違規處罰制度、第三方信息審計人員資格制度(需要5年以上的從業經歷)、個人信息安全情況作為董事會的固定議題制度、事故確認與報告中的律師參與制度、公司內部違規舉報制度等。
孔子曰:「不教而殺謂之虐,不戒視成謂之暴。」美國聯邦和州相關監管機構利用優步違法的契機,構建了一套非常嚴格的企業內部個人信息保護機制,特別強調內部部門監督、外部審計、員工培訓等,將此前以負面清單方式的事後監管模式推進到以作為的義務為主的事前事中監管模式,也就是從懲戒為主模式轉換到以預防為主的模式。
平台企業不再是一個黑箱。通過一個設計精密的內部監督機制,平台的保護更為透明,個人信息保護的目標有更加可靠的保障。其意義在於,只有在個人信息保護有了更為可靠的保障,個人信息保護以外的平台經濟治理功能才有了其他可能。
演算法統治平台
4名駕駛員做出這樣的動作也是事出有因。按照優步的說法,4名駕駛員均是因為欺騙性行為或者違規操縱(不當使用)駕駛員手機應用程序。直白地說,就是駕駛員或因為挑單以等價格上漲後的好單(game the surge),或是因為私自安裝其他應用程序改變手機狀態欺騙優步的駕駛員應用程序(如改變位置),被平台演算法判定為嚴重違規而被除名(在優步平台上沒有開除的概念,永久凍結賬號則是一個等同的說法),而做出這些決策的都是平台的演算法。換句話說,4名駕駛員都是被演算法監控到有違規行為並被演算法除名(開除)的。
不過,駕駛員並不這樣認為,他們認為是自己只是行使了自由選擇工作時間的權利,而這也是優步平台一向對外宣稱駕駛員所具有的權利,並且也正是具有這樣的自由,駕駛員才不被平台認為是平台的雇員,而是自由職業者,甚至是所謂的「微型企業家」。平台與駕駛是合作夥伴。4名駕駛員否認存在欺詐或不當行為,且優步沒有提供申述機會,使得他們的命運被演算法所掌控。因此,他們向優步歐洲總部所在的荷蘭阿姆斯特丹地方法院提起了訴訟。
駕駛員起訴優步最主要的法律依據就是2018年5月開始施行的歐盟通用數據保護法。按照歐盟通用數據保護法第15條,數據主體有權訪問個人數據並獲知數據處理的目的、數據類型以及有權要求糾正不準確的數據。第22條則涉及自動化決策和用戶畫像,「數據主體有權反對此類決策:完全依靠自動化處理——包括用戶畫像——對數據主體做出具有法律影響或類似嚴重影響的決策」。
按照歐盟通用數據保護法的定義,「用戶畫像」指的是為了評估自然人的某些條件而對個人數據進行的任何自動化處理,特別是為了評估自然人的工作表現、經濟狀況、 健康 、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。顯然,所謂的自動化決策(用戶畫像)就是平台演算法。這本質上是一條演算法監管條款。不過22條也特意列出了例外情形,包括 (a)當決策對於數據主體與數據控制者的合同簽訂或合同履行是必要的;……(c)當決策建立在數據主體的明確同意基礎之上。
顯然,這次訴訟的爭議聚焦在對22條的理解,如完全自動化決策的認定標準是什麼?何種人為的干預程度可以達到排除完全自動化決策的標准?考慮到平台每天數千萬甚至上億的有關駕駛員的決策需求規模(包括派單、定價、評價等環節),自動化決策是否可以被看作平台履行與駕駛員合同的必要措施?
平台權力結構平衡
駕駛員們希望通過一個第三方非盈利機構(工人信息交換中心WIE Ltd.)實現個人數據攜帶,也就是優步將駕駛員在工作中產生的個人數據直接轉移給WIE這家第三方數據交換中介,第三方數據機構成為個人的數據信託(data trust)機構,可以幫助駕駛員分析其個人行為以及監督平台的演算法邏輯是否與其對外宣稱的處理邏輯一致且公平合理、評估平台對服務價格是否正確計算、駕駛員真實的勞動數量和質量、以及分析不同駕駛員評分差異的原因。
通過掌握並有能力處理這些關鍵數據,駕駛員可以減少或者消除平台的信息優勢,駕駛員就有可能與平台進行更平等的集體談判,成為更為平等的對手。
根據法律規定,優步有責任在30天內向數據主體(駕駛員)提供相關數據,但優步並沒有提供駕駛員所要求的全部數據,或者說駕駛員要求的關鍵內容都遭到了事實上的拒絕。盡管訂單數據(如上下車時間、乘客支付費用)包括在提供的數據清單內,但駕駛員上線、下線時間、完整的GPS位置信息記錄都沒有提供。這些內容事關駕駛員工作時間的確定(英國上訴法院已經判決駕駛員的工作時間是從上線開始計算,而不是從接單開始計算),而平台卻不希望駕駛員掌握這些可能對自己不利的數據。
但優步也有自己的解釋:沒提供的數據或是因為沒有,或是因為如果向駕駛員提供將損害其他人的隱私權。
如果說上面這些數據駕駛員可以自己記錄,管理駕駛員的演算法是如何運行的則只有平台才有可能知道。駕駛員最希望知道的其實是平台演算法的秘密:它究竟是如何通過駕駛員的行為和乘客評價數據對駕駛員進行畫像,以及駕駛員畫像是如何影響駕駛員的利益的?比如,駕駛員的評分與派單機制的關系是怎樣的?駕駛員的評分如何觸發平台除名機制(駕駛員認為是解僱)?
駕駛員在訴狀中特別提出優步沒有回應他們所要求的駕駛員標簽數據。這確實是整個爭執的核心。優步不會認為這些是駕駛員需要知道的個人數據信息,甚至是不是個人信息都有巨大的分歧。而且,這些內容幾乎可以肯定將被用於英國最高法院正在審理的駕駛員與平台的勞動關系案件,因此也是優步不能輸的案子。
而原告駕駛員法勒(Farrar)也暗示了這些內容的用途:「我們要看一眼這個奧威爾式(意指嚴格統治而失去人性的 社會 )的工作世界。在這里工人們被機器所統治,沒有任何權力。」
事實上,駕駛員有關了解演算法秘密的訴求也是有法律依據的。根據歐盟通用個人數據保護法第15條,數據主體應當有權從控制者那裡得到有效信息。比如存在自動化決策的就包括數據分析,對於相關邏輯就包括此類處理對於數據主體的預期後果。
盡管優步否認對駕駛員的除名處理是由演算法完成的(優步發言人聲稱在演算法檢測到駕駛員存在違規行為後,是由管理人員做出除名決定),但難以解釋的是,公司網站上有介紹演算法MasterMind的材料,其中明確寫道:MasterMind負責監督管理駕駛員的欺騙行為。在駕駛員應用程序的隱私政策更是白紙黑字寫道,優步會使用自動化決策對於涉嫌違規行為的駕駛員予以除名。
平台演算法決定了駕駛員的工作機會、工作量和收入,甚至永遠失去平台工作機會。它對於駕駛員的重要性恐怕沒有多少分歧。數據自動化處理的邏輯,也就是演算法的秘密,是平台的商業機密。究竟要提供到何種程度才算達到15條要求的數據訪問權標准,在保護個人數據與企業的知識產權(商業秘密)上如何達成平衡,非常考驗法官的智慧。
可以說,這是歐盟通用個人數據保護法實施以來最為重要的案件,其意義遠遠超過了這個案子涉及的4名駕駛員本身(事實上,這些駕駛員正在組織更多的網約車駕駛員和外賣騎手加入),其裁判標准可以說相當於是又一次歐盟個人信息保護立法。幾乎可以肯定,這個案子最終會提交到歐盟最高法院審判。
平台經濟的金絲雀
「對於每一個人來說,這是一場事關未來的戰場」,駕駛員法勒說道。優步平台上的零工就是 歷史 上地下礦山裡的金絲雀,這是一場不能輸的戰斗。
數據就是權力,平台經濟進一步放大了企業作為僱主所擁有的傳統信息優勢。通過第三方數據信託實現數據攜帶權,通過數據對駕駛員賦權賦能,還有誰能比網約車駕駛員、外賣騎手更有動力監督平台呢?可以說,這就是一種全新的平台監管思路,以信息權對治大數據。
㈨ 《網路安全法》主要內容解讀(2)
2017年《網路安全法》主要內容解讀
(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;
(三)對重要系統和資料庫進行容災備份;
(四)制定網路安全事件應急預案,並定期進行演練;
(五)法律、行政法規規定的其他義務。
第三十五條 關鍵信息基礎設施的運營者采購網路產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
第三十六條 關鍵信息基礎設施的運營者采購網路產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。
第四章 網路信息安全
第四十條 網路運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。
第四十一條 網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第四十二條 網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
第四十三條 個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第四十五條 依法負有網路安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
第四十六條 任何個人和組織應當對其使用網路的行為負責,不得設立用於實施詐騙,傳授犯罪方法,製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網路發布涉及實施詐騙,製作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。
第四十七條 網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第四十八條 任何個人和組織發送的電子信息、提供的應用軟體,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。
第四十九條 網路運營者應當建立網路信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理並處理有關網路信息安全的投訴和舉報。
網路運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
第五十條 國家網信部門和有關部門依法履行網路信息安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網路運營者停止傳輸,採取消除等處置措施,保存有關記錄;對來源於中華人民共和國境外的上述信息,應當通知有關機構採取技術措施和其他必要措施阻斷傳播。
第五章 監測預警與應急處置
第五十一條 國家建立網路安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作,按照規定統一發布網路安全監測預警信息。
第五十二條 負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網路安全監測預警和信息通報制度,並按照規定報送網路安全監測預警信息。
第五十三條 國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制,制定網路安全事件應急預案,並定期組織演練。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案,並定期組織演練。
網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級,並規定相應的應急處置措施。
第五十四條 網路安全事件發生的風險增大時,省級以上有關部門應當按照規定的許可權和程序,並根據網路安全風險的特點和可能造成的危害,採取下列措施:
(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網路安全風險的監測;
(二)組織有關部門、機構和專業人員,對網路安全風險信息進行分析評估,預測事件發生的可能性、影響范圍和危害程度;
(三)向社會發布網路安全風險預警,發布避免、減輕危害的措施。
第五十五條 發生網路安全事件,應當立即啟動網路安全事件應急預案,對網路安全事件進行調查和評估,要求網路運營者採取技術措施和其他必要措施,消除安全隱患,防止危害擴大,並及時向社會發布與公眾有關的警示信息。
第五十六條 省級以上有關部門在履行網路安全監督管理職責中,發現網路存在較大安全風險或者發生安全事件的,可以按照規定的許可權和程序對該網路的運營者的法定代表人或者主要負責人進行約談。網路運營者應當按照要求採取措施,進行整改,消除隱患。
第五十七條 因網路安全事件,發生突發事件或者生產安全事故的,應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規的規定處置。
第五十八條 因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批准,可以在特定區域對網路通信採取限制等臨時措施。
第六章 法律責任
第五十九條 網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
第六十條 違反本法第二十二條第一款、第二款和第四十八條第一款規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款:
(一)設置惡意程序的;
(二)對其產品、服務存在的安全缺陷、漏洞等風險未立即採取補救措施,或者未按照規定及時告知用戶並向有關主管部門報告的;
(三)擅自終止為其產品、服務提供安全維護的。
第六十一條 網路運營者違反本法第二十四條第一款規定,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十二條 違反本法第二十六條規定,開展網路安全認證、檢測、風險評估等活動,或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的,由有關主管部門責令改正,給予警告;拒不改正或者情節嚴重的,處一萬元以上十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。
第六十三條 違反本法第二十七條規定,從事危害網路安全的活動,或者提供專門用於從事危害網路安全活動的程序、工具,或者為他人從事危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。
單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本法第二十七條規定,受到治安管理處罰的人員,五年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。
第六十四條 網路運營者、網路產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
違反本法第四十四條規定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
第六十五條 關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網路產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十六條 關鍵信息基礎設施的運營者違反本法第三十七條規定,在境外存儲網路數據,或者向境外提供網路數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第六十七條 違反本法第四十六條規定,設立用於實施違法犯罪活動的網站、通訊群組,或者利用網路發布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關處五日以下拘留,可以並處一萬元以上十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處五萬元以上五十萬元以下罰款。關閉用於實施違法犯罪活動的網站、通訊群組。
單位有前款行為的,由公安機關處十萬元以上五十萬元以下罰款,並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
第六十八條 網路運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
電子信息發送服務提供者、應用軟體下載服務提供者,不履行本法第四十八條第二款規定的安全管理義務的,依照前款規定處罰。
第六十九條 網路運營者違反本法規定,有下列行為之一的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款:
(一)不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息,採取停止傳輸、消除等處置措施的;
(二)拒絕、阻礙有關部門依法實施的監督檢查的;
(三)拒不向公安機關、國家安全機關提供技術支持和協助的。
第七十條 發布或者傳輸本法第十二條第二款和其他法律、行政法規禁止發布或者傳輸的信息的,依照有關法律、行政法規的規定處罰。
第七十一條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,並予以公示。
第七十二條 國家機關政務網路的運營者不履行本法規定的網路安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第七十三條 網信部門和有關部門違反本法第三十條規定,將在履行網路安全保護職責中獲取的信息用於其他用途的,對直接負責的主管人員和其他直接責任人員依法給予處分。
網信部門和有關部門的工作人員玩忽職守、尚不構成犯罪的,依法給予處分。
第七十四條 違反本法規定,給他人造成損害的,依法承擔民事責任。
違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七十五條 境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重後果的,依法追究法律責任;國務院公安部門和有關部門並可以決定對該機構、組織、個人採取凍結財產或者其他必要的制裁措施。
第七章 附則
第七十六條 本法下列用語的含義:
(一)網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
(二)網路安全,是指通過採取必要措施,防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。
(三)網路運營者,是指網路的所有者、管理者和網路服務提供者。
(四)網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
第七十七條 存儲、處理涉及國家秘密信息的網路的運行安全保護,除應當遵守本法外,還應當遵守保密法律、行政法規的規定。
第七十八條 軍事網路的安全保護,由中央軍事委員會另行規定。
第七十九條 本法自2017年6月1日起施行。
;