巨丰投顾网络安全周｜2020上半年网络安全行政执法典型案例

2020年国家网络安全宣传周活动将于9月14日至20日举办。本届国家网络安全宣传周以“网络安全为人民，网络安全靠人民”为主题。为贯彻落实《网络安全法》有关规定，提升投资者网络安全意识，安全防护技能和安全防护水平，根据上海证监局通知要求，巨丰投顾即日起至9月23日开展国家网络安全宣传周活动及配合做好网络安全执法检查专项行动工作。

巨丰投顾作为一家有担当、持有正规合法牌照的专业投资咨询机构，通过在巨丰财经网（www.jfinfo.com)，投顾邦APP，好股票APP，巨丰投顾微信矩阵，今日头条等自媒体平台，以专栏、专题等系列宣传形式，向亿万投资者普及网络安全知识，努力提升投资者网安素养和风险防范。

案例一

2020年4月，网安部门检查时发现，北京市石景山区某公司网站未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，导致网页被篡改。

事发后，北京市公安局石景山分局指导涉事单位对服务器进行关停，并对单位内部全部系统开展排查工作，及时消除隐患漏洞，加强安全防护。

同时，依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，给予单位罚款一万五千元、相关责任人罚款五千元的行政处罚。

案例二

网安部门检查时发现，北京市朝阳区某建设公司财务报表管理系统未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，导致被黑客攻击并植入了非法信息，且无法对黑客进行追踪溯源。

2020年6月，北京市公安局朝阳分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，给予该建设公司罚款十万元的行政处罚；给予公司安全负责人罚款五万元的行政处罚。

案例三

网安部门检查时发现，北京某互联网公司网络安全主体责任落实不到位，未按法律要求加强对网站所发布信息的管理，导致运营的APP被不法分子发布淫秽视频。

2020年4月，北京市公安局海淀分局根据《中华人民共和国网络安全法》第四十七条、第六十八条之规定，给予该公司行政罚款十万元的处罚。

案例四

网安部门检查时发现，北京某互联网公司网络安全主体责任落实不到位，未按法律要求加强对网站所发布信息的管理，导致网站存在违法信息。

2020年3月，北京市公安局海淀分局根据《中华人民共和国网络安全法》第四十七条、第六十八条之规定，给予该公司行政罚款十万元的处罚。

案例五

网安部门检查时发现，江阴市某制造企业未按照《网络安全法》规定落实防范计算机病毒和网络攻击、入侵等危害网络安全的技术措施，导致该公司开设的网站被黑客入侵，造成不良影响。

2020年1月，无锡警方依据《中华人民共和国网络安全法》第21条、第59条规定，对该公司予以罚款1万元，对直接负责的主管人员予以罚款5千元，责令限期整改。

案例六

接公安部通报线索，“浴血XX”游戏中部分用户ID存在违法有害内容。经查，苏州某游戏公司在运营手机游戏“浴血XX”期间疏于管理，百余个游戏用户ID存在违法有害内容，造成恶劣影响，情节严重。

2020年1月，苏州警方依据《中华人民共和国网络安全法》第47条、第68条规定，对该游戏公司予以罚款10万元。

案例七

常州警方在侦办一起侵犯公民个人信息案中，发现常州市某二手车商在经营过程中收集大量车辆信息（包含车主详细信息、车辆抵押状态、违章情况等）。但该公司内部管理混乱，没有采取必要的保护措施，保障其收集、存储的车辆信息安全，致使信息泄漏。警方同时还发现，该商行为便于核查二手车车况信息，曾在网上购买少量公民个人信息。

2020年1月，常州警方依据《中华人民共和国网络安全法》第42条、第44条、第64条规定，对该公司予以罚款3万元，并收缴、销毁涉案个人信息。

案例八

网安部门检查时发现，曹某（男，23岁，四川人）伙同舒某某等人（另案查处）通过网络贩卖公民个人信息数据，非法获利2796元。过程中，陈某（男，28岁，陕西人）明知曹某等人贩卖公民个人信息情况下，设立、维护用于实施非法出售公民个人信息违法犯罪活动的平台。

2020年1月，宿迁警方依据《中华人民共和国网络安全法》第44条、第64条规定，对曹某予以罚款1万元，没收违法所得，并收缴、销毁涉案个人信息；依据《中华人民共和国网络安全法》第46条、第67条规定，对陈某予以行政拘留5日并处罚款1万元。

相关法律法规

《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第五十九条 第一款、第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第六十一条 网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

（来源：信息安全国家工程研究中心）