1. 拒不履行信息网络安全管理义务罪最高量刑
关于拒不履行网络安全管理义务罪的有关认定问题
为了保障网络系统安全和网络信息安全,网络安全法和国务院《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、电信条例等法律法规,对网络服务提供者规定了必要的网络安全管理义务。为督促有关网络安全监管部门履行好监管责任,促使网络服务提供者切实承担起安全管理义务,刑法修正案(九)增设刑法第二百八十六条之一拒不履行网络安全管理义务罪。《解释》特别注意与相关法律法规的规定保持衔接和协调,对拒不履行网络安全管理义务罪的有关认定问题作了明确:
《解释》第一条明确了本罪中“网络服务提供者”的认定问题。网络服务提供者,一般包括通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,向公众提供网络服务的机构和个人。本条根据其提供的服务内容不同,将其分为三类:一是网络技术服务提供者,即信息网络接入、计算、存储、传输服务提供者;二是网络内容服务提供者,即信息发布、搜索引擎、即时通讯、网络支付、网络购物、网络游戏、广告推广、应用商店等信息网络应用服务提供者;三是网络公共服务提供者,即电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务提供者。
《解释》第二条明确了本罪中“经监管部门责令采取改正措施而拒不改正”的认定问题。网络安全法第八条第一款规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”结合执法司法实践情况,本条明确了三方面问题:一是监管部门的范围,包括网信、电信、公安等依法承担信息网络安全监管职责的部门。二是责令整改的形式,必须以责令整改通知书或者其他文书形式作出。三是对是否“拒不改正”应作综合判断,综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素。对于确实因为资金、技术等条件限制,没有或者一时难以达到监管部门要求,不能认定为“拒不改正”。
《解释》第三条至第六条明确了本罪的四类入罪标准。第三条明确了“致使违法信息大量传播的”入罪标准,主要从违法信息传播数量和传播范围两个角度规定了数量标准。第四条明确了“致使用户信息泄露,造成严重后果的”入罪标准,主要从用户信息数量和造成后果两个角度作了规定,特别注意与“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》保持衔接和协调,将用户信息区分为高度敏感信息、敏感信息、一般信息,数量标准按照侵犯公民个人信息罪入罪标准的十倍掌握。第五条明确了“致使刑事案件证据灭失,情节严重的”入罪标准,主要考虑涉及刑事案件的重大程度、证据灭失次数、对刑事诉讼程序的影响等因素作了规定。第六条明确了“有其他严重情节的”入罪标准,主要考虑安全管理义务的重要程度、行为人的主观恶性、打击网络黑灰产业链条的需要以及可能造成的严重后果等因素作了规定。特别是为了落实网络安全法第二十一条、第二十四条规定的网络服务提供者按照规定留存相关网络日志和要求用户提供真实身份信息的义务,将“对绝大多数用户日志未留存或者未落实真实身份信息认证义务的”情形规定为入罪标准之一。
2. 网信办查出网站漏洞能关停网吗
客户网站因存在漏洞,被上报到了国家网络与信息安全信息通报中心,分发给当地网警,并给下发了信息系统安全等级保护限期整改通知书,并电话以及邮件告知了客户,要求3天内对漏洞进行修复以及网络安全防护,对网站进行全面的安全加固,防止漏洞再次的发生。客户第一次碰到这种情况,也不知道该如何解决,找了当时设计网站的服务商,他们竟然回复解决不了。 客户才找到我们SINESAFE安全,说实在的,很多客户遇到这种情况,第一时间想到的是网站建设服务商,并不会想到找网站安全服务商来解决问题。在这里再跟大家解释一下,代码设计是功能方面以及外观方面的设计,像开发一个会员注册功能,都是代码设计的范围,可当会员注册存在漏洞,这就是属于网站漏洞修复的范畴,应该找网站漏洞修复服务商来处理。
3. 辽宁省计算机信息系统安全管理条例
第一章总则第一条为加强计算机信息系统的安全管理,促进计算机的应用与发展,根据有关法律、法规,结合我省实际,制定本条例。第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条我省行政区域内的计算机信息系统的安全管理工作适用本条例。
军队计算机信息系统的安全工作,按照国家有关规定执行。第四条公安机关主管计算机信息系统的安全管理工作。
国家安全机关、保密部门及政府其他有关部门在各自的职责范围内负责计算机信息系统安全管理的有关工作。第五条计算机信息系统安全管理工作的重点是维护国家机关和经济建设、科学技术等重要部门和单位的计算机信息系统的安全。第六条公民发现危害计算机信息系统安全的行为,有权制止和向公安机关举报。第七条对在计算机信息系统安全管理工作中做出突出贡献的单位和个人,由公安机关或所在单位给予表彰和奖励。第二章安全管理制度第八条计算机机房应当符合国家标准和国家有关规定。
新建计算机机房的设计方案,应当报公安机关对其安全性能进行审核、备案。
公安机关对计算机机房定期进行安全检查。检查合格的,发给《计算机机房安全合格证》。第九条计算机信息系统的使用单位应当建立下列安全制度:
(一)计算中心场所出入管理制度;
(二)技术文件管理制度;
(三)系统使用维护制度;
(四)数据记录媒体管理制度;
(五)计算机犯罪、计算机病毒及有害数据的防控制度;
(六)其他安全监督制度。第十条计算机信息系统的管理、维护和专职操作人员应当经过公安机关组织的安全培训并考核合格,取得《计算机信息系统安全培训合格证》后上岗工作。第十一条计算机信息系统的建设和应用,应当遵守法律、法规和国家其他有关规定。
新建计算机信息系统,应当报公安机关备案。
公安机关对计算机信息系统定期进行安全检查。
已进行国际联网的计算机信息系统,由接入单位报省公安机关备案。第十二条严禁任何单位或个人制造、传播计算机病毒和其他有害数据。第十三条销售的计算机信息系统安全专用产品,应当按照国家有关规定取得销售许可。第三章安全管理职责第十四条公安机关对计算机信息系统安全管理履行下列职责:
(一)开展计算机信息系统安全保护的宣传教育工作;
(二)监督检查计算机信息系统安全管理的法律、法规的执行情况;
(三)办理有关计算机信息系统的备案手续;
(四)监督管理计算机病毒和其他有害数据的防治研究工作;
(五)查处危害计算机信息系统安全的违法犯罪案件。第十五条计算机信息系统的使用单位应当履行下列职责:
(一)对计算机信息系统工作人员进行安全教育;
(二)定期对计算机信息系统进行风险分析,采取相应措施;
(三)向公安机关和上级主管部门报告本单位计算机信息系统安全情况;
(四)配备计算机信息系统安全管理人员,并报当地公安机关备案。第十六条计算机信息系统安全管理人员的职责是:
(一)负责对信息处理活动和安全措施的内部监督;
(二)对计算机信息系统中发生的案件,在21小时内向公安机关报告;
(三)在计算机信息系统中发现计算机病毒等有害数据,及时向公安机关报告,同时报告其危害程度;
(四)协助公安机关追查计算机病毒及其他有害数据的来源;
(五)协助公安机关调查有关计算机信息系统的违法犯罪案件。第十七条公安机关发现影响计算机信息系统安全的隐患时,应当于48小时内向该用户发出《计算机信息系统安全隐患整改通知书》,责令其限期消除隐患。第四章法律责任第十八条违反本条例规定,有下列行为之一的,由公安机关给予警告,责令限期改正;逾期不改正的,责令停机整顿:
(一)未按规定建立计算机信息系统安全管理制度或安全管理制度不健全,危害计算机信息系统安全的;
(二)进行国际联网的接入单位未按国家规定到公安机关备案的;
(三)对计算机信息系统中发生的案件,在24小时内未向公安机关报告的;
(四)接到公安机关发出的《计算机信息系统安全隐患整改通知书》,在限期内拒不消除隐患的;
(五)未取得《计算机机房安全合格证》而擅自投入使用的。
责令停机整顿的,应当报省公安机关批准。