2019年11月1日起,最高人民法院、最高人民檢察院日前聯合發佈《最高人民法院、最高人民檢察院關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。近年來國家層面對網絡信息安全的重視程度與日俱增,“沒有網絡信息安全就沒有國家安全”這絕不是空穴來風,因此最高法最高檢對拒不履行信息網絡安全管理義務罪的具體情形、定罪量刑標準及有關法律適用問題作出權威的司法解釋。
《解釋》對拒不履行信息網絡安全管理義務、造成致使用戶信息泄露、致使影響定罪量刑的刑事案件證據滅失等各項情形做了清晰明確的定罪量刑標準。這進一步明確了信息網絡安全、數據安全管理者應履行的法律責任與義務,將大大促進網絡信息安全建設。也將促進網絡信息安全、信息數據安全行業的發展。
昂楷作爲數據安全專家與踐行者,對於國家法律法規,行業標準等堅決擁護並執行;並提供專業的數據安全產品,方案及服務,爲核心數據安全保駕護航,有效助力法律法規的落地實施。針對此次最高法最高檢對拒不履行信息網絡安全管理義務各項具體條款進行政策解讀。
條款解讀
第三條 拒不履行信息網絡安全管理義務,具有下列情形之一的,應當認定爲刑法第二百八十六條之一第一款第一項規定的“致使違法信息大量傳播”:
(一)致使傳播違法視頻文件二百個以上的;
(二)致使傳播違法視頻文件以外的其他違法信息二千個以上的;
(三)致使傳播違法信息,數量雖未達到第一項、第二項規定標準,但是按相應比例折算合計達到有關數量標準的;
(四)致使向二千個以上用戶賬號傳播違法信息的;
(五)致使利用羣組成員賬號數累計三千以上的通訊羣組或者關注人員賬號數累計三萬以上的社交網絡傳播違法信息的;
(六)致使違法信息實際被點擊數達到五萬以上的;
(七)其他致使違法信息大量傳播的情形。
小楷解讀:
2017年6月1日起實施的網絡安全法,在中國對網絡安全掀開了新的篇章,法案明確目標是爲了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。最高人民法院、最高人民檢察院的《解釋》中網絡安全管理的義務,已經明確和具體刑法條例關聯,從數據(包括視頻數據,賬戶數據等)安全使用上致使數據泄露傳播,以定量的方式進行判斷,更進一步加強了管理者對數據安全保障的義務,從數據源上提升了安全性。同時說明國家在配套法律制度上更加健全了。
第四條 拒不履行信息網絡安全管理義務,致使用戶信息泄露,具有下列情形之一的,應當認定爲刑法第二百八十六條之一第一款第二項規定的“造成嚴重後果”:
(一)致使泄露行蹤軌跡信息、通信內容、徵信信息、財產信息五百條以上的;
(二)致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的用戶信息五千條以上的;
(三)致使泄露第一項、第二項規定以外的用戶信息五萬條以上的;
(四)數量雖未達到第一項至第三項規定標準,但是按相應比例折算合計達到有關數量標準的;
(五)造成他人死亡、重傷、精神失常或者被綁架等嚴重後果的;
(六)造成重大經濟損失的;
(七)嚴重擾亂社會秩序的;
(八)造成其他嚴重後果的。
小楷解讀:
本條對“造成嚴重後果”進行了解釋,其中包括行蹤軌跡信息、通信內容、徵信信息、財產信息、住宿信息、通信記錄、健康生理信息、交易信息等,以上數據我們可以看出都是基於個人的隱私數據。最高人民法院、最高人民檢察院對個人信息保護獨立篇章單獨解釋,說明個人數據從採集、傳輸、使用、共享等安全管理的任何一個階段都要重點保障,目標是要實現數據全生命週期的安全管理。
第五條 拒不履行信息網絡安全管理義務,致使影響定罪量刑的刑事案件證據滅失,具有下列情形之一的,應當認定爲刑法第二百八十六條之一第一款第三項規定的“情節嚴重”:
(一)造成危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪案件的證據滅失的;
(二)造成可能判處五年有期徒刑以上刑罰犯罪案件的證據滅失的;
(三)多次造成刑事案件證據滅失的;
(四)致使刑事訴訟程序受到嚴重影響的;
(五)其他情節嚴重的情形。
第六條 拒不履行信息網絡安全管理義務,具有下列情形之一的,應當認定爲刑法第二百八十六條之一第一款第四項規定的“有其他嚴重情節”:
(一)對絕大多數用戶日誌未留存或者未落實真實身份信息認證義務的;
(二)二年內經多次責令改正拒不改正的;
(三)致使信息網絡服務被主要用於違法犯罪的;
(四)致使信息網絡服務、網絡設施被用於實施網絡攻擊,嚴重影響生產、生活的;
(五)致使信息網絡服務被用於實施危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪或者其他重大犯罪的;
(六)致使國家機關或者通信、能源、交通、水利、金融、教育、醫療等領域提供公共服務的信息網絡受到破壞,嚴重影響生產、生活的;
(七)其他嚴重違反信息網絡安全管理義務的情形。
小楷解讀:
這兩條對“有其他嚴重情節”進行了解釋,其中包括用戶日誌留存的管理,網絡安全法和網絡安全等級保護規定了相關的監測記錄日誌不少於六個月留存時間,加之本次解釋將對網絡安全相關的日誌不僅要留存且記錄中要明確真實身份信息,定位到人。這也就要求安全廠商在提供數據安全解決方案中要具備日誌操作記錄並定位到人的能力,以此輔助本解釋的落地執行。
《中華人民共和國刑法》第二百八十六條之一 拒不履行信息網絡安全管理義務罪:
網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重後果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。有前兩款行爲,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。
那麼對於“監管部門責令採取改正措施”如何認定,《解釋》中做如下規定:
第二條 刑法第二百八十六條之一第一款規定的“監管部門責令採取改正措施”,是指網信、電信、公安等依照法律、行政法規的規定承擔信息網絡安全監管職責的部門,以責令整改通知書或者其他文書形式,責令網絡服務提供者採取改正措施。
認定“經監管部門責令採取改正措施而拒不改正”,應當綜合考慮監管部門責令改正是否具有法律、行政法規依據,改正措施及期限要求是否明確、合理,網絡服務提供者是否具有按照要求採取改正措施的能力等因素進行判斷。
小楷解讀:
本條明確了承擔信息網絡安全監管職責的部門,包括網信、電信、公安等。
《解釋》共十九條,對拒不履行信息網絡安全管理義務罪的具體情形、定罪量刑標準及有關法律適用問題作了全面、系統的規定。最高人民法院、最高人民檢察院是我國最高司法機關,此次針對對“利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律”的解釋是我國最權威的司法解釋,在萬物互聯的、信息智能化蓬勃發展的新形勢下對網絡信息數據安全顯得尤爲必要。
對於《解釋》中的規定如何進行有效的數據安全防範,昂楷從十年的數據安全治理經驗提供如下的建設思路:
第一步:數據資產的梳理及可視化
昂楷提供自動搜索數據庫的功能,可以自動發現指定網內的數據庫信息,包括:數據庫地址、數據庫端口、數據庫類型等,進而通過敏感數據自動發現的能力梳理出敏感源並進行熱點分佈展示,直觀的展示當前數據資產的狀態;
第二步:數據訪問行爲精準監控
昂楷提供的數據庫安全審計方案,圍繞數據全生命週期,從數據採集、清洗、存儲、傳輸、共享、使用、銷燬等過程,對數據庫的訪問、操作行爲進行細粒度監控與分析,精準定位到人,從而達到全程監控,同時根據預置的安全規則對風險行爲及時報警,所有操作日誌都保證安全存儲,即可實現本地存儲,也可實現網絡存儲方式,靈活性高。
第三步:數據安全主動防護
昂楷提供基於數據訪問的安全管理模式,對敏感數據的操作行爲可根據規則進行自動識別和危險行爲的阻斷防護,對於共享數據和運維數據庫等場景中的安全可根據識別出的敏感數據進行去隱私化的管理
