返回首页
返回顶部
保定网信网 > 网络空间管理 > 网信行政执法

【网站运营管理行为】网络运营者未尽到信息网络安全管理义务类案件

文章来源:网信行政执法指导案例精选 | 发布时间:2019-06-27 11:35


网络运营者未尽到信息网络

安全管理义务类案件

 

概述

习近平总书记在网络安全和信息化工作座谈会上指出,网上信息管理,网站应负主体责任,政府行政部门要加强监管。网站作为信息制作、发布、传播的主体对社会秩序的良性构建和稳定起着重要的作用。强化网站主体责任,落实网站主体责任,是网站尤其是新闻网站构建良性发展和各行业共生共赢之生态的前置性要求,是确保网站最大限度地减少对广大互联网用户人身和其他权益造成不必要伤害的基本保障。网站经营者的主体责任主要有

首先,网络运营者对用户发布的信息承担内容管理责任。从美国和欧盟的情况来看,在互联网发展初期,出于保护本国产业发展的需要,法律要求互联网服务提供商仅对自己提供的信息负责,而对平台上的其他内容,如果能证明自己尽到了合理注意义务,则可以少负或者不负责任。但是,近年来,这种规则理念正在发生变化,互联网信息服务提供者不仅需要对平台上自己发布的内容负责,而且还要对自己平台上第三方提供的内容负责。我国近年来不断加快互联网立法的步伐,无论是《刑法修正案(九)》的生效,还是《网络安全法》的出台,以及国家互联网信息办公室主导制定的一系列规范性文件都为强化网站主体责任提供了依据。

其次,网络安全保护责任。《网络安全法》对网络运营者施加了安全保护义务。网络安全保护的法律义务要求网络运营者具备相应的技术措施,如保障系统稳定的技术措施、补救措施以及其他必要措施。网络运营者承担安全保护责任像守夜人样监控互联网中时刻隐藏的危险。

强化互联网企业的社会责任,提升网站主体责任意识,确保网站以建设者的姿态做好各项工作,是全面推进中国网信事业健康发展,确保国家意识形态安全、信息安全和文化安全的必要前提。

一、网络运营者未尽到内容管理义务类案件

网络服务提供者作为上网用户进行信息交流的平台,原则上无权干涉用户发布信息的自由,也不承担用户发布信息可能引起的法律后果。但是,任何自由都不是不受限制的自由,任何自由都不能逾越法律规定的界限。《网络安全法》《互联网信息服务管理办法》等法律、行政法规明确规定了禁止发布和传输的信息内容。但是,网络信息的传播不受时空的限制,而传播方式又是开放性的,很难做到对违法信息发布者进行事前的完全监管,甚至在有些情况下不能确知信息发布者的身份。

法律要对违法信息进行规制,最有效的途径就是控制违法信息的传播渠道。为此《网络安全法》第四十七条、《互联网信息服务管理办法》第十六条以及《计算机信息网络国际联网安全保护管理办法》第十条等法律条文都规定了互联网服务提供者的发现义务与处置义务。发生其网站传输的信息属于法律、行政法规禁止发布或者传输的信息的,互联网服务提供者应当立即停止传输,保存有关记录,并向有关机关报告。法律法规禁止发布或者传输的信息主要包括一是危害国家安全的信息。主要指用户利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣传恐怖主义,宣扬民族仇恨、民族歧视等活动。二是扰乱公共秩序的信息。主要指用户利用网络传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。三是侵害他人合法权益的信息。主要指用户利用网络侵害他人的名誉、隐私、知识产权和其他合法权益等活动。

网络运营者对用户制作、复制、发布、传播的违法信息有管理义务。网络运营者应对用户发布信息的合法性、真实性进行必要的审核,发现有违法情形的,应立即停止传输,采取消除等处置措施,保存有关记录,并向有关主管部门报告。当然,网络服务提供者也可采取一定的技术措施来过滤违法或不良信息的发布。如未尽审核管理义务,应承担法律责任。

二、网络运营者未尽到安全保护义务类案件

网络运营者作为网络服务和产品的提供者,其所提供的服务和产品的安全状态对整个网络的安全具有重大的影响。无论是基于经济活动产生的天然义务,还是基于维护国家安全产生的考虑,网络运营者在维护网络安全中扮演着不可替代的角色。尤其是在全球网络安全问题日益复杂且严峻的情况下,提升网络运营者的安全保护意识,明确网络运营者的安全保护义务,是实现国家安全和社会稳定的必然要求。

我国《网络安全法》在总则里明确规定了网络运营者是保护网络安全的第一责任人。根据《网络安全法》分则的规定,网络运营者安全保护义务的“责”主要集中在以下三部分:

首先,落实网络安全等级保护制度。《网络安全法》第二十一条要求网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:一是制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;二是采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;三是采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定保留相关的网络日志不少于6个月;四是采取数据分类、重要的数据备份和加密等措施;五是法律、行政法规规定的其他义务。

其次,提供网络产品或者服务应当符合国家标准。《网络安全法》第二十二条第一款要求网络产品、服务必须符合相关国家标准的强制性要求。网络运营者不得设置恶意程序。发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当采取补救措施,按照规定及时告知用户并向有关主管部门报告。第二款规定了网络产品、服务提供者的安全维护义务。第三款则要求具有收集用户信息功能的产品、服务的提供者应当保护用户的个人信息安全。此外,第二十三条还对网络关键设备和网络专用产品的安全保护义务做了额外的规定,同样应当符合国家标准的强制性要求。

最后,制定网络应急预案。《网络安全法》第二十五条规定了网络运营者应当制定网络安全应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。