首页 >  威科专题 > 专题查看

 

 

返回本专题首页

第二节 《网络安全法》行政执法案例综述

一、主要行政监管行动

(一)四部门对App收集个人信息的专项治理行动

2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告[12],并联合有关单位成立了App违法违规收集使用个人信息专项治理工作组,旨在打击App违法违规收集使用个人信息行为。截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组已向其运营者发送了整改通知[13]。截至9月15日,相关举报平台已收到近8000条举报信息[14]

从截至4月16日所收到的举报问题来看,26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。还有一些App存在不支持用户注销账户、更正或删除信息等问题[15]

四部委高度重视个人信息保护工作,针对当前App强制授权、过度索权、超范围收集个人信息等网民反映强烈的问题,已采取并即将采取出台必要的管理规范和相关标准的形式进行规制。2019年5月,App专项治理工作组发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》。该征求意见稿与App专项治理工作组2019年3月发布的《App违法违规收集使用个人信息自评估指南》一脉相承,但又结合《个人信息安全规范》以及举报活动中频繁出现的严重违法违规现象,体现出执法机构规范的重点,对于企业评估合规状况,设定自身的合规红线有重大参考意义。2019年10月,结合评估工作实践和各方征求意见,陆续更新并公开《信息安全技术 个人信息安全规范(最新征求意见稿)[16]、《移动互联网应用程序(App)收集个人信息基本规范(最新草案)[17]

(二)中央网信办开展网络生态治理专项行动

针对网络生态问题频发、各类有害信息屡禁不止等突出问题,中央网信办自2019年1月启动持续六个月的网络生态治理专项行动,分为启动部署、全面整治、督导检查、总结评估四个阶段,对各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中的淫秽色情、低俗庸俗、暴力血腥、恐怖惊悚、赌博诈骗、网络谣言、封建迷信、谩骂恶搞、威胁恐吓、标题党、仇恨煽动、传播不良生活方式和不良流行文化等12类负面有害信息进行整治,集中解决网络生态重点环节突出问题,严厉查处关闭一批违法违规网站和账号[18]

与此同时,为进一步加强网络生态治理,构建天朗气清的网络空间,中央网信办会同有关部门起草了《网络生态治理规定(征求意见稿)[19],以期通过立法方式巩固专项治理成果,持续化监督网络生态发展。

(三)市场监管总局开展“守护消费”行动以打击侵害消费者个人信息违法行为

2019年4月1日至9月30日,市场监管总局依照《消费者权益保护法》、《电子商务法》、《网络安全法》、《侵害消费者权益行为处罚办法》等法律法规的相关规定,在全国范围内开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息违法行为。[20]

本次行动重点关注违法行为多发的房产租售、小贷金融、教育培训、保险经纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或APP运营等行业和领域。本次行动主要查处3类违法行为:一是未经消费者同意,收集、使用消费者个人信息;二是泄露、出售或者非法向他人提供所收集的消费者个人信息;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息。

行动期间,全国市场监管部门共立案查办各类侵害消费者个人信息案件1474件,查获涉案信息369.2万条,罚没款1946.4万元,移送公安机关案件154件。

(四)国家市场监督管理总局等部门开展2019网络市场监管专项行动(“网剑行动”)

2019年6月,国家市场监督管理总局、国家发展和改革委员会、工业和信息化部、公安部、商务部、海关总署、国家互联网信息办公室、国家邮政局等部门联合发起了2019网络市场监管专项行动(“网剑行动”),着力规范电子商务主体资格,严厉打击网络市场突出问题,落实电子商务经营者责任,维护良好网络市场秩序。

具体来说,此次专项行动的重点任务主要如下:(一)着力规范电子商务主体资格,营造良好准入环境;(二)严厉打击网上销售假冒伪劣产品、不安全食品及假药劣药,营造放心消费环境;(三)严厉打击不正当竞争行为,营造公平竞争的市场环境;(四)深入开展互联网广告整治工作,营造良好广告市场环境;(五)依法打击其他各类网络交易违法行为,有效净化网络市场环境;(六)强化网络交易信息监测和产品质量抽查,营造良好消费环境;(七)落实电子商务经营者责任,营造诚信守法经营环境。

本次专项行动明确了网络市场中存在的问题,综合运用行政指导、行政约谈、行政处罚等手段,督促电子商务经营者、特别是平台经营者履行法定责任和义务,加强了部门间协同监管和联合惩戒,有助于净化网络市场环境,规范网络交易行为[21]

(五)工信部网络安全管理局开展2019年电信和互联网寒夜网络安全行政检查工作

2019年5月,工信部网络安全管理局主导开展2019年电信和互联网行业网络安全行政检查工作[22],检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、互联网域名注册管理和服务机构(以下统称“网络运行单位”)建设与运营的网络和系统。行动将通过自查自纠、检查评估、整改问责等阶段手段,以电信和互联网行业网络基础设施为重点关注对象,即通过公共互联网收集、存储与处理用户信息和网络数据的重要信息系统,包括但不限于互联网数据中心、公共云服务平台、工业互联网平台、企业门户网站、即时通信系统、软件应用商店、公众视频监控平台等。检查内容包括网络安全管理落实情况、网络安全防护技术手段、仍然存在的漏洞等风险隐患等。

(六)工业和信息化部开展APP侵害用户权益专项整治工作

当下,APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题日益突出,工信部在2019年11月组织开展了APP侵害用户权益专项整治行动工作[23]。这次整治工作主要面向两类对象:一是APP服务提供者,主要检查是否存在侵害用户个人信息等合法权益的现象;二是APP分发服务提供者,含应用商店和基础电信企业营业厅等承担APP分发功能的各类企业,主要检查是否落实《移动智能终端应用软件预置和分发管理暂行规定》等有关要求。具体来说,工信部主要针对以下8个问题展开整治工作:

第一,“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。

第二,“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。

第三,“私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

第四,“强制用户使用定向推送功能”。即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。

第五,“不给权限不让用”。即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

第六,“频繁申请权限”。即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。

第七,“过度索取权限”。即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。

第八,“账号注销难”。即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

二、主要执法主体

根据《网络安全法》的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。具体而言,网络安全法的行政执法部门主要有中央网信办、工信部、公安部、国家保密局、国家密码管理局以及各行业主管部门等。其中,最主要的执法机构为中央网信办、工信部和公安部。

基于条文本身可知,上述执法主体间存在着权责不清、交叉执法的问题;而在具体执法案例中,尽管各部门间对于网络安全监管方向存在初步可感知的差异,但仍未有明晰的领域界限,网络安全监管“九龙治水”现象仍然存在。

三、主要执法依据

根据附件总结的《网络安全法》行政执法案例,主要执法依据如下表所示(附表2)

序号

条目

网络安全法

主要内容

1.

第21条、第59条

网络安全等级保护制度、网络安全保护义务

2.

第56条

网络安全风险或安全事件的约谈制度

3.

第22条第3款、第41条、第42条、第43条、第64条

个人信息保护

4.

第24条、第61条

网络实名制

5.

第47条、第50条、第68条

网络用户发布信息管理

6.

第22条、第60条

网络产品和服务的法定要求:不得设置恶意程序、终止提供安全维护

7.

第46条、第67条

禁止设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息

附表2:《网络安全法》行政执法案例的主要执法依据

其中,从执法案例数量上看,因未按要求管理用户发布的信息而根据《网络安全法》第47、50、68条作出的处罚案例,因未落实网络安全等级保护制度,未履行网络安全保护义务而根据《网络安全法》第21、56、59条作出的处罚案例,以及因未履行个人信息保护的法律责任而违反《网络安全法》第22、41、42、43、64条作出的处罚案例,系作为目前工信部、公安部、中央网信办及其地方对应部门已作出的执法案例中前三多的案例类型。

四、主要责任主体

根据附件一总结的《网络安全法》行政执法案例,主要责任主体为网络运营者和网络用户。根据《网络安全法》第76条第3款的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。结合附件案例具体而言,责任主体主要集中在以下三类:具有信息发布功能的网站及平台的运营者;网络科技/技术公司;学校、学院及其他事业单位。

从领域分布来看,考虑到网络使用与业务发展的密切程度,案例所涉及的责任主体主要集中于科技、通信传媒、教育等领域,少部分属于电商、政务、酒店服务、快消、农业等领域。在我们收录的行政执法案例中,可以看到相比2018年,除了科技公司一直属于监管重点外,“网络直播平台”、“电商平台”、“即时通讯平台”等也被列入强监管范围,涉及领域不断拓展。

除上述作为主要责任主体的网络运营者之外,利用网络发布违法犯罪活动信息的组织或个人也成为《网络安全法》行政执法的规制对象,如在微信群中转发散布谣言、发布炸药制作方法、传播涉暴力恐怖、淫秽信息、宗教极端、民族分裂的文字、图片等个人也会依法承担相应的行政拘留甚至刑事责任。

五、主要处罚措施

根据附件总结的《网络安全法》行政执法案例,处罚措施集中在责令整改[24]、警告、罚款(包括单位和直接负责人)、责令停产停业(包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册)、行政拘留、刊发道歉声明六类,有单罚亦有并罚。其中最主要的处罚措施为责令整改,在附件总结的案例中,多数案例均涉及责令整改;其次为罚款,对单位的罚款从一万到五十万不等。另外,目前对于一些未产生严重后果但存在较大安全风险而引发市场关注的不合规行为,监管部门往往倾向于先行约谈整改。

其中,在2019年,除了常规的约谈及督促整改以外,执法机关对于存在问题的企业所提出的整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。可以看到,执法机关一方面在不断加强执法力度,另一方面也通过更为因地制宜的整改措施,以查促改,推动国内网络运营秩序及环境的健康发展。

六、主要处罚地域

在附件收录的《网络安全法》行政执法案例中,处罚地区主要集中在浙江、江苏、上海、广东、北京等发达地区,安徽、山东、广西、湖南等地也有发生。随着《网络安全法》及配套法规的深入落实,执法案例将覆盖更多省份及地区,执法范围已基本覆盖全国。

附件一:《网络安全法》行政执法相关处罚案例

为更清晰展现《网络安全法》自正式实施以来的相关执法案例,综合把握执法情况发展脉络及典型案例,在本期汇总整理的行政执法相关处罚案例中,我们在收录了2019年起由国家层面机关以及各地地方主管机关采取的主要执法检查行动和处罚案例。基于本文汇总分析的案例成果,可以初步感知,2019年发生的执法行动存在着以下显著特征:

第一,关注的法律问题层面:执法案例更加集中于个人信息保护、用户信息发布管理层面,高度关注网络用户个人信息安全及网络环境净化;

第二,执法主体层面:执法主体主要为公安机关,工信部(及其地方所属的通信管理局)以及各级网信办参与执法行动的活跃度提升,金融管理机关也有参与执法;

第三,执法对象层面:除了一直属于监管重点的科技公司外,网络直播平台、电商平台、即时通讯平台等受监管关注的频度不断提升,执法对象涉及领域不断拓宽

第四,处罚措施层面:除了常规的约谈及督促整改以外,整改要求不断细化,处罚措施趋于多样化,包括出现高额罚款、产品下架、服务平台限期停止服务等。

点击查看网络安全法》行政执法相关处罚案例一览表 

注释:

[12] 中央网信办:“中央网信办等四部门开展‘App违法违规收集使用个人信息专项治理’”,https://mp.weixin.qq.com/s/ucC2d6gxczS4oACS4jYJjA, 访问时间:2019年12月13日。

[13] App专项治理工作组:“四部门抓紧推进App违法违规收集使用个人信息专项治理”,https://mp.weixin.qq.com/s/eF2L1cSoCmp4eFD4DrNM8w ,访问时间:2019年12月13日。

[14] 中央网信办:“中央网信办:App专项治理行动已收到近8000条举报信息”,https://mp.weixin.qq.com/s/zXunV7qksLogHTiOohFu7g, 访问时间:2019年12月13日。

[15] 工信部:“四部门抓紧推进App违法违规收集使用个人信息专项治理”,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057732/c6797025/content.html ,访问时间:2019年12月13日。

[16] App专项治理工作组:“GB/T 35273《 信息安全技术 个人信息安全规范》最新版征求意见稿”,https://mp.weixin.qq.com/s/XyJOp2hGujlSKbiLjnpUWA ,访问时间:2019年12月13日。

[17] App专项治理工作组:“《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》最新版草案”,https://mp.weixin.qq.com/s/y8EUsg9-vDMMinVuHR2ZEA ,访问时间:2019年12月13日。

[18] 中央网信办:“国家网信办启动网络生态治理专项行动 剑指12类违法违规互联网信息”,http://www.cac.gov.cn/2019-01/03/c_1123942483.htm ,访问时间:2019年12月13日。

[19] 中央网信办:“国家互联网信息办公室关于《网络生态治理规定(征求意见稿)》公开征求意见的通知”,http://www.cac.gov.cn/2019-09/11/c_1569729939897372.htm ,访问时间:2019年12月13日。

[20] 市场监管总局:“市场监管总局开展“守护消费”行动 打击侵害消费者个人信息违法行为”,http://www.samr.gov.cn/zfjcj/sjdt/gzdt/201904/t20190410_292709.html ,访问时间:2019年12月13日。

[21] 国家市场管理总局:“市场监管总局等部门关于印发2019网络市场监管专项行动(网剑行动)方案的通知”,、http://gkml.samr.gov.cn/nsjg/wjs/201906/t20190620_302494.html ,访问时间:2019年12月13日。

[22] 工信部:“关于做好2019年电信和互联网行业网络安全行政检查工作的通知”,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c6983820/content.html ,访问时间:2019年12月13日。

[23] 工信部:“工业和信息化部关于开展App侵害用户权益专项整治工作的通知”,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c7506181/content.html ,访问时间:2019年12月13日。

[24] 责令整改是否为行政处罚措施存有争议,此处暂列为行政处罚措施。