“十种能力”专栏 | 准确适用《网络安全法》《数据安全法》和 《个人信息保护法》——互联网安全监管 公安执法典型案例汇编

近年来，国家陆续出台《网络安全法》《数据安全法》《个人信息保护法》等法律，彰显出国家对净化网络生态空间的决心与力度。为进一步贯彻落实习近平总书记关于“坚持依法管网、依法办网、依法上网”等系列重要指示精神，加强公安机关互联网安全监管执法工作，“法青苑”收集整理了公安部网安局、各地公安机关公众号发布的典型案例及我局办理的典型案件，采取案例点评、以案释法方式，从事前审查义务、事中监管义务、事后协助义务三方面，对公安执法重点领域进行梳理剖析，形成案例汇编，供学习参考借鉴。旨在进一步切实提升公安机关执法质量和执法水平，督促相关单位和个人依法履行网络安全主体责任，共同维护国家网络安全和保障公民合法权益。

《中华人民共和国网络安全法》（以下简称《网络安全法》）《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）三部法律在立法时间上有先后，既有互补，又有交叉，在保护网络安全、数据安全、个人信息等方面形成了三法联动体系，但又各有侧重。

《网络安全法》主要规定了网络安全的基本要求、网络运营者的责任和义务、网络安全监管机构等，目的是保障网络安全，维护网络空间主权和国家安全、社会公共利益，重点关注“网络自身的安全”，同时也在相应条文中兼顾了数据安全和个人信息保护。

《数据安全法》主要规定了数据的管理和保护措施，包括个人信息的保护等，目的是保障数据安全，同时关注数据处理活动与数据开发利用，推进数据经济发展，保护数据主体合法权益。

《个人信息保护法》主要规范了个人信息的处理、利用活动，目的是保护个人信息权益，但自然人因个人或者家庭事务处理个人信息的，不适用本法。

江苏连云港公安机关在工作中发现，杨某租用虚拟服务器，搭建“928自动发卡平台”“易佰科技”等网络交易平台，为700余名没有提供真实身份信息的用户提供网络交易等服务。江苏连云港公安机关依据《网络安全法》第二十四条、第六十一条规定，对平台运营者杨某予以罚款五万元的行政处罚决定，并责令停业整顿。（参见“江苏网警”公众号，2019年9月23日，江苏网警发布“净网2019”专项行动行政执法典型案例）

本案中，杨某在为用户提供网络交易服务时，未要求用户提供真实身份信息，构成不履行身份信息核验义务，被公安机关依法给予行政处罚。

不履行身份信息核验义务的违法主体通常分为两类：一类是如电信基础服务商、电信增值业务服务商等提供互联网接入服务的单位；

另一类是如电商平台、即时通讯、直播平台等具有社会动员能力的，提供交互式服务的网站和应用。

与违法主体相对应的违法行为通常分为两种：一种是在为用户办理网络接入、域名注册、电话入网等环节，在与用户签订协议或者确认提供服务时，未核对、登记用户提供真实身份信息；

另一种是为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，未要求用户提供真实身份信息的。以上两种违法行为均依据《网络安全法》第二十四条第一款、第六十一条，以不履行身份信息核验义务予以行政处罚。

2020年8月，重庆公安机关在“某牛”APP众包平台上发现，有用户发布违法违规信息，公安机关立即赴该公司开展现场监督检查。经查，该APP平台日发布信息量1万余条，日活跃人数5万余人，注册用户可在平台上发布带有佣金的任务信息，其他用户完成任务后即可获得相应佣金。鉴于该公司存在对法律、行政法规禁止发布或传输的信息未采取有效处置措施的违法行为，依据《网络安全法》第四十七条、第六十八条第一款规定，给予“某牛”APP运营主体公司警告处罚并责令采取改正措施的行政处罚决定，并将其纳入重点监管对象。“某牛”APP运营主体公司被行政处罚后，仍未进行有效整改。2021年5月，重庆公安机关在办理一起赌博案件时，查明该软件再次被犯罪嫌疑人用来发布“银行卡、手机卡买卖”等违法违规广告信息共计九千余条，造成现实危害。公安机关以涉嫌拒不履行信息网络安全管理义务罪对公司相关负责人刑事拘留。（参见“公安部网安局”公众号，2021年9月8日，拒不履行信息网络安全管理义务？负责人刑拘！）

本案中，该公司在发现其用户发布违法信息后，未采取有效处置措施，且未向有关主管部门报告，构成未履行网络信息安全管理义务，被公安机关给予行政处罚。在被公安机关责令改正后拒不改正，再次不履行信息网络安全管理义务，致使违法信息大量传播，其行为涉嫌拒不履行信息网络安全管理义务罪，被公安机关立案查处。

网络运营者对用户发布的法律、行政法规禁止发布或者传输的信息，未停止传输、采取消除等处置措施、保存有关记录，并向有关主管部门报告的，依据《网络安全法》第四十七条、第六十八条第一款规定，以未履行网络信息安全管理义务予以行政处罚。网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，构成刑事犯罪的，依据《刑法》第二百八十六条之一规定，以拒不履行信息网络安全管理义务罪立案查处。

需要注意的是，“经监管部门责令采取改正措施而拒不改正”是涉嫌拒不履行信息网络安全管理义务罪的前提。根据两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第二条规定，“监管部门责令采取改正措施”是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门，以责令整改通知书或者其他文书形式，责令网络服务提供者采取改正措施。认定“拒不改正”，应当综合考虑监管部门责令改正是否具有法律、行政法规依据，改正措施及期限要求是否明确、合理，网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。

2021年7月至2022年8月间，田某某在北京市房山区某村的暂住地内，建立“XX信息网”等网站，利用打包加密的方式在网络上发布招嫖信息，向他人售卖有卖淫女联系方式等信息的压缩文件包，非法获利人民币三万八千余元。北京房山公安机关将田某某抓获归案后，田某某如实供述了犯罪事实，并签署认罪认罚具结书，自愿退缴了全部违法所得。最终，田某某被法院以非法利用信息网络罪判处有期徒刑九个月，并处罚金九千元。（参见“房山检察”公众号，2023年4月24日，【以案释法】房山首例非法利用信息网络罪宣判）

本案中，田某某利用信息网络建立违法网站，发布违法信息，违法所得已达到一万元以上，属于情节严重，其行为已构成非法利用信息网络罪，被法院判处刑罚。

设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的；发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；为实施诈骗等违法犯罪活动发布信息的，情节严重的，依据《刑法》第二百八十七条之一规定，以涉嫌非法利用信息网络罪立案查处。尚不够刑事处罚的，依据《网络安全法》第四十六条、第六十七条规定，以非法利用信息网络予以行政处罚。该条规定对用于违法犯罪活动的网站、通讯群组和利用网路发布犯罪信息的行为作出了行政执法层面的补充，对网络安全监管部门加强网站和通讯群组管控提供实践指引。

2023年6月，北京昌平公安机关在工作中发现，北京某软件有限公司研发的“某数据分析系统”存在数据泄露隐患。经查，该公司研发的“数据分析系统”内存有用户敏感数据。通过进一步核实，该系统内数据信息未采用加密措施，系统服务器未采取任何网络防护措施和技术防护措施，造成19.1GB个人敏感信息暴露在互联网。同时，该公司未制定数据安全管理制度、未充分落实网络安全等级保护制度。北京昌平公安机关根据《数据安全法》第二十七条、第四十五条第一款规定，给予该企业警告并处罚款五万元的行政处罚决定，责令限期改正。（参见“北京昌平”公众号，2023年9月13日，昌平区网络安全事件典型案例及警示）

本案中，该软件有限公司未依法采取数据保护措施、履行数据安全保护义务，导致大量个人敏感信息数据严重泄露，被公安机关依法给予行政处罚。

开展数据处理活动的组织、个人未依照法律、法规的规定履行建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施，保障数据安全义务的，依据《数据安全法》第二十七条、第四十五条第一款规定，以开展数据处理不履行数据安全保护义务予以行政处罚。《数据安全法》较《个人信息保护法》侧重保护个人信息、隐私而言，更加强调总体国家安全观，对国家利益、公共利益和个人、组织合法权益给予全面保护，标志着我国在网络与信息安全领域的法律法规体系得到进一步完善。

2021年9月，北京海淀公安机关在办理一起刑事案件过程中，发现凌某在某网站发布违法信息，公安机关立即要求网站运营者某公司对相关违法信息进行隔离处置。后某公司向公安机关提供材料称，相关违法信息已在发布后被隔离处置，但实际上该信息并未进行隔离处置，且造成了严重后果。北京海淀公安机关根据《网络安全法》第六十九条第一项规定，给予该公司罚款30万元、直接负责人罚款5万元的行政处罚。

本案中，该公司在公安机关已对违法信息作出具体处置要求的情况下，仍未采取相关处置措施造成严重后果，构成不按公安机关要求处置违法信息，被公安机关依法给予行政处罚。

网络运营者不按照公安机关的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的，依据《网络安全法》第六十九条第一项规定，以不按公安机关要求处置违法信息予以行政处罚。在适用本条时，要注意与网络运营者不履行网络信息安全管理义务的区别，本案由适用前提是公安机关前置提出对法律、行政法规禁止发布或者传输的信息具体处置要求，相关网络运营者和直接责任人员等未采取停止传输、消除等处置措施。

2019年9月，江苏南通公安机关接公安部通报线索，南通如皋市某单位网站遭黑客攻击植入木马，致使网站跳转为博彩网站。经查，该单位网站管理混乱，技术防护措施薄弱。侦查过程中，为网站提供维护服务的南通某技术公司，在接到警方调取证据通知后，虚与委蛇，推脱应付，甚至采取删除木马病毒文件的方式，拒不向公安机关提供协助，致使相关证据灭失。江苏南通公安依据《网络安全法》第二十一条、第五十九条规定，给予该企业罚款一万元、企业具体责任人罚款五千元的行政处罚；依据《网络安全法》第二十八条、第六十九条规定，给予该技术公司罚款五万元、企业具体责任人罚款一万元的行政处罚。（参见“江苏网警”公众号，2019年10月16日，江苏网警发布“净网2019”专项行动行政执法典型案例七）

本案中，该技术公司在公安机关依法维护国家安全和侦查犯罪活动时，拒不向公安机关提供协助，导致案件相关证据灭失，拒不向公安机关提供技术支持和协助，被公安机关依法给予行政处罚。

网络运营者在公安机关依法维护国家安全和侦查犯罪活动时，拒不向公安机关提供技术支持和协助，依据《网络安全法》第六十九条第三项规定，以拒不向公安机关提供技术支持和协助予以行政处罚。