深度解读 | 《公安机关互联网安全监督检查规定》今日正式实施

发布时间:2018-11-03 作者:昂楷科技

公安机关互联网安全监督检查规定》从今日起正式施行,这就标志着从11月1日起,国内所有互联网服务提供者和联网使用单位都必须接受公安机关的监督检查。


《规定》共分5章29条,那么小楷就从检查的主体单位、对象、范围、执法方式以及处罚措施这5大方面对《规定》进行解读,帮助广大互联网服务提供者加深对《规定》的理解,依法落实安全责任义务。


检查主体单位


1.县(区)公安(分)局网安大队即可实施检查。

互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。(《规定》第三条第一款)


2.由单位的网络管理机构所在地和个人经常居住地公安机关实施。

互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。(《规定》第八条)


检查对象


1. 提供以下服务的互联网服务提供者:

(1) 互联网接入、互联网数据中心、内容分发、域名服务;

(2) 互联网信息服务;

(3) 公共上网服务;

(4) 其他互联网服务。


2. 联网使用单位

根据《互联网安全保护技术措施规定》(公安部第82号令),联网使用单位是指为本单位应用需要连接并使用互联网的单位。


3. 重点监督检查对象

对于存在以下情况的,将成为重点监督检查对象:

❶ 开展前述互联网服务未满一年的互联网服务提供者;

❷ 两年内曾发生过网络安全事件、违法犯罪案件的;

❸ 因未履行法定网络安全义务被公安机关予以行政处罚的。


检查范围


按照《规定》,公安机关施行的检查可分为一般检查和重大安保检查。


1. 一般检查

一般检查分为针对所有被检查对象的通用检查和针对不同互联网服务提供者的针对性检查。

2. 重大安保检查

在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:


❶ 是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

❷ 是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

❸ 是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

❹ 是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

❺ 是否按照要求向公安机关报告网络安全防范措施及落实情况。


执法方式


1. 现场监督检查

可以根据需要,采取以下4种措施:

❶ 进入营业场所、机房、工作场所;

❷ 要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;

❸ 查阅、复制与互联网安全监督检查事项相关的信息;

❹ 查看网络与信息安全保护技术措施运行情况。


2. 远程检测

对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。


3. 技术支持

公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。


处罚措施


公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位存在网络安全风险隐患,应当督促指导其采取措施消除风险隐患,并在监督检查记录上注明;


发现有违法行为,但情节轻微或者未造成后果的,应当责令其限期整改;


有违法行为的,公安机关可以依法予以行政处罚;


构成违反治安管理行为的,依法予以治安管理处罚;


构成犯罪的,依法追究刑事责任。


公安机关根据《规定》开展的监督检查中,发现被检查对象在检查重点和范围内没有按照《规定》和对应的法律规定要求,落实互联网安全义务的,将根据《网络安全法》的规定进行相应处罚:


❶ 未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人;

❷ 未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

❸ 未采取记录并留存用户注册信息和上网日志信息措施。


由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。(《中华人民共和国网络安全法》第五十九条第一款)


由此可见,《规定》赋予了公安机关更大的安全监管权限,极大地提高了忽视、破坏网络与信息安全的行为被查处的可能性,同时也进一步明确了互联网服务提供者应履行的法律责任与义务。



值得注意的是,《规定》中提出,只要是造成信息泄露的,一定会受到相应的处罚:互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,依照《网络安全法》予以处罚——即由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。(《公安机关互联网安全监督检查规定》第二十二条)


互联网服务提供者作为“信息看门人”,既有责任,也有能力,向所有用户承担信息安全保障的义务。此外,随着大数据分析技术的发展,数据越来越成为各类互联网服务提供者争相攫取的“新型资源”,互联网服务提供者作为受益者,理应对这一资源的有序流动和安全承担保障义务。


事实上,要满足传输、处理、共享、存储几大方面的数据安全需求,绝不是单一的安全产品能实现的。


小楷建议:应以数据库安全为中心,通过对数据的全生命周期进行安全管理和监控,实现从数据采集、清洗、传输、存储、使用、共享、销毁各环节的有效防御,形成整体的数据库安全态势感知。从而及时发现网络安全隐患,让违法行为有迹可循,防止个人信息的泄漏、损毁、丢失。

最后,小楷再次提醒互联网服务提供者和联网使用单位:应尽快进行自纠、自查,对不符合规定的方面及早整改,按需增加技术防护措施和手段,确保依规经营、合法提供互联网服务, 达到《规定》的监督检查要求。


返回上一级

400-622-8990