标签归档:等级保护

网络安全等级保护行政诉讼第一案(疑似):徐望仁诉耒阳市公安局公安行政处罚案

  • 案件名称:徐望仁诉耒阳市公安局公安行政处罚案
  • 审理法院:衡阳铁路运输法院
  • 案号:(2019)湘8602行初118号
  • 裁判日期:2019.09.26
  • 原告:徐望仁
  • 被告:耒阳市公安局
  • 被诉行政处罚:警告
  • 相关法条:《中华人民共和国网络安全法》第二十一条第三项
  • 裁判结果:维持

直播视频:http://tingshen.court.gov.cn/live/8105887(只能听到原告的声音,两被告收音不佳)。根据仅能听清的原告的陈述,原告关注重点并不在于是否履行网络等级保护的义务,而在于两被告对原告打击报复。

简而言之,这是我能检索到的因为未履行等级保护义务的第一起行政诉讼,但庭审并未就此展开充分的辩论,也没有对证据进行深入质证,因此参考价值有限。

一、案件事实

2019年4月3日,被告一(耒阳市公安局)对耒阳市城市论坛网站进行网络安全执法检查,发现该网站的日志只保存了2019年1-4月四个月。耒阳市公安局通过立案调查,查明耒阳城市论坛网站系以资慧兰名义注册,实际运营者为原告。

2019年4月25日,被告一对原告作出耒公(网)责通字【2019】第0267号《责令予以改正通知书》,责令徐望仁立即予以改正。同日,被告一根据《网络安全法》第五十九条第一款的规定,作出0401号处罚决定,对原告处予警告的行政处罚。原告不服该行政处罚决定,于2019年5月20日向被告二耒阳市人民政府提出行政复议申请,被告二当日予以受理。

二、法律依据

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

《公安机关互联网安全监督检查规定》(被告检查时未予以援引)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

三、证据与认定

原告证据:

被告一证据:

被告二证据:略(关于行政复议)

四、法院观点

根据本案证据,耒阳城市论坛网站的实际运营者为原告,被告一2019年4月3日对该网站进行执法检查时,该网站只保存了2019年1-4月的日志。被告一通过开展现场检查、调查取证、询问查证,认定原告存在上述违法事实。被告一对原告作出行政处罚决定前,告知原告其作出行政处罚的事实、理由、依据及原告享有的陈述和申辩权。在作出行政处罚决定后,及时向原告进行宣告、送达,符合法定程序。

《公安机关互联网安全监督检查规定》解读

2018年9月30日,公安部发布了《公安机关互联网安全监督检查规定》(”检查规定”),该检查规定曾在2018年4月公开征求意见,并将于2018年11月1日正式生效。

尽管新规颁布,并不是从“0”到“1”,公安部门对网络安全进行检查是早已有之。早在1994年公安部门就有《计算机信息系统安全保护条例》,而在网络安全领域也一直都是重要的监管部门。在2011年CSDN数据泄漏事件中,北京警方就以CSDN未履行等级保护义务而处以警告处罚。《网络安全法》生效后的大量执法案件里,公安部门也一直都是重要的执法力量。 继续阅读

法律合规视角下的等级保护条例

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。 继续阅读