作者：吴丹君律师 周天一律师助理

自2017年6月1日正式实施以来，《网络安全法》（以下称“《网安法》”）已经生效一年有余。《网安法》顺应了国家网络空间安全战略的要求，是我国进行网络空间安全管理的基本法律，也是进行网络安全执法的主要依据，其将网络运营者作为主要的规制对象，对网络运营者的义务和责任提出了明确的要求。《网安法》还确立了一系列制度体系，如网络安全等级保护制度、网络信息内容管理制度、关键信息基础设施安全保护制度、个人信息和重要数据出境制度、个人信息保护制度、网络产品和服务管理制度、网络安全事件应急制度等。

在《网安法》所确立的制度体系的基础上，国家互联网信息办公室（以下称“国家网信办”）也会同国家各部委制定了诸多配套法规，为网络运营者落实相关制度提供了依据和方法，明确了责任承担和监管方式。此外，全国信息安全标准化技术委员会（以下称“信安标委”）在《网安法》生效的一年多时间内也针对上述制度制定并公布了众多国家标准（正式稿/征求意见稿）。其中，《信息安全技术个人信息安全规范》（以下称“《个人信息安全规范》”）更是顺应了社会公众对个人信息保护的日趋强烈的期盼，为企业个人信息保护合规整改提供了有力的依据。

为保障上述法律法规的有效落实，国家和各地监管部门也进行了一系列的执法及执法检查工作。本文旨在以表格形式归纳总结《网安法》实施一年多以来的相关执法案例，在分析执法情况的基础上明确执法重点和处罚措施，为企业开展网络安全和数据合规工作提供参考。

执法案例一览表

执法案例简析与合规建议

《网安法》的实施为执法活动提供了有力依据，政府机关、事业单位、企业、个人的违法违规的触网行为均可得到有效规制与追责，各地网信办、公安网警部门牵头进行的行政执法活动也日趋频繁化、常态化。纵观执法案例一览表，机关、事业单位、企业的合规风险主要集中在网络安全等级保护、个人信息保护、网络信息内容审核、网络产品和服务等五个方面。

一、网络安全等级保护

自《网安法》第二十一条确立网络安全等级保护制度以来，相关网络运营者一直对如何具体落实该制度存在疑惑。从执法案例也可看出，企事业单位未能及时落实定级备案、等级测评以及技术保护措施导致系统存在漏洞是遭致行政处罚的主要原因。为细化网络安全等级保护制度的内容，公安部于2018年6月27日发布了《网络安全等级保护条例（征求意见稿）》（以下称“《等保条例》”），其中就网络运营者的安全保护义务进行了详尽的规定。

根据《等保条例》，除《网安法》第二十一条已经明确的内容外，网络运营者还应：一、建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度；二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程；三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用；四、落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施；五、落实违法信息发现、阻断、消除等措施，防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外，还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度，同时定期开展等级测评制度。因此，企事业单位应从人员管理、系统硬件、内控等多个方面着手进行合规整改，消除高危漏洞，减少行政执法处罚风险[1]。

二、个人信息保护

个人信息保护一直是各大网络运营者亟待处理的重要合规问题，自南方都市报2017年与《网安法》同时发布1000家常用网站、APP的用户信息保护政策透明度排名至执法案例一览表所列的“支付宝年度账单事件”，个人信息保护无时不刻牵动着社会公众的关注。因此，信安标委的《个人信息安全规范》值得重视，其编号虽显示为国家推荐标准，但在实践中，无论是2017年网信办、工信部、公安部等四部门开展的隐私政策评审工作，还是“支付宝年度账单事件”，监管机关都强调了《个人信息安全规范》的准据效力。

结合执法案例一览表，目前个人信息保护的痛点在于个人信息共享与转让的合规性。根据《个人信息安全规范》，在委托第三方处理个人信息时，除委托行为本身不得超出个人信息主体授权同意的范围之外，个人信息控制者应当开展个人信息安全影响评估[2]，并采取合同约定责任义务、审计等方式对受托者进行监督，保证准确记录和保存受托者处理个人信息的情况。同时个人信息控制者应当向个人信息主体告知共享、转让个人信息的目的、数据接收方类型，涉及个人敏感信息的，还应当告知敏感信息的类型、数据接收方的身份和安全能力等，在事先征得个人信息主体明示同意后方可共享或转让[3]。此外，个人信息控制者需准确记录和保存个人信息共享和转让情况，承担因共享、转让个人信息对信息主体合法权益造成损害的法律责任。因并购、重组等发生控制主体变更的，应当单独向个人信息主体告知有关情况[4]。

三、网络信息内容审核

根据执法案例一览表，因未按要求对用户发布的信息进行内容审核而根据《网络安全法》第47条、50条、68条作出的处罚案例数量最多。根据2011年修订的《互联网信息服务管理办法》，其要求互联网信息服务提供者不得发布、传播违法违规信息，否则可由公安或国安机关依照《中华人民共和国治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚[5]。在构建内容审核制度时，网络运营者应从以下两个方面进行完善。

首先，完善信息内容监管反馈机制。网络运营者在日常运营过程中应当构建积极的反馈机制。第一，密切关注行政主管机关的书面通知，强化与行政及网信部门的沟通机制，积极寻求相关部门的意见和指导，加强对相关规章制度的理解；第二，完善用户举报机制，设立便捷的消费者建议与反馈渠道，配备专人责任咨询与投诉的处理，一旦接到通知或举报应当做到主动对所涉的信息内容进行监管和检查，如有违法违规电子信息立即停止提供服务，同时采取技术措施予以消除，必要时进行上报。

其次，落实人员管理培训。对于网络运营者而言，第一，应当加强对其平台发布的信息内容的审核责任，必要时可聘请第三方机构提供协助；第二，应当制定内部安全管理制度及操作规程，确立信息安全负责人，有条件的，可定期对内部从业人员进行网络安全法律教育和培训。

四、网络产品和服务

在部分案例中，网络产品和服务存在安全缺陷和漏洞风险未能及时全面检测修补是造成处罚的主要原因，此外，网络安全风险评估同样不可或缺。

根据2017年6月1日发布的《网络产品和服务安全审查办法（试行）》，网络产品和服务安全审查的主体是国家网信办会同有关部门成立的网络安全审查委员会，由其聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估，其中第三方评价机构由国家依法认定[6]。对于需要进行评价的网络产品和服务以及官方认可的第三方评价机构范围，建议网络运营者参照《网络关键设备和网络安全专用产品目录(第一批)》和《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》的内容，根据自身使用的路由器、交换机、PLC设备、IDS、IPS等不同设备对接相应认证检测机构。安全审查的重点包括：网络产品和服务的安全性、可控性，以及被非法控制、干扰和中断运行的风险；产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险；产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险以及其他可能危害国家安全的风险等[7]。

注释：

[1]《网络安全等级保护条例（征求意见稿）》第20条

[2]《信息安全技术个人信息安全影响评估》第8.2 a)

[3]《信息安全技术个人信息安全影响评估》第8.2 b)

[4]《信息安全技术个人信息安全影响评估》第8.3 a)

[5]《互联网信息服务管理办法》第二十条

[6]《网络产品和服务安全审查办法（试行）》第六条

[7]《网络产品和服务安全审查办法（试行）》第四条

【本文为作者原创，如需转载请注明出处及作者】

作者简介：吴丹君律师，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等。

邮箱：wudj@guantao.com

手机/微信号：13917191830

作者简介：周天一律师助理，毕业于西南政法大学，法学学士。专注于数据信息领域的法律服务，执业领域为数据合规、公司业务、兼并收购、争议解决等。

邮箱: zhouty@guantao.com

往期精彩回顾：（点击文字内容可直接跳转页面）

团队原创 | 比对解读《银行业金融机构数据治理指引》数据合规新要求

团队原创 | 从现行立法框架解读中国人民银行《关于加强跨境金融网络与信息服务管理的通知》

团队原创 | 解读《信息安全技术 个人信息安全影响评估指南》征求意见稿

团队原创 | 等保2.0来袭！重磅解读《网络安全等级保护条例（征求意见稿）》

（扫描下方二维码浏览全部内容）