2019年11月1日起,最高人民法院、最高人民检察院日前联合发布《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《解释》)。近年来国家层面对网络信息安全的重视程度与日俱增,“没有网络信息安全就没有国家安全”这绝不是空穴来风,因此最高法最高检对拒不履行信息网络安全管理义务罪的具体情形、定罪量刑标准及有关法律适用问题作出权威的司法解释。
玩真的了!深度解读拒不履行信息网络安全管理义务将入罪
《解释》对拒不履行信息网络安全管理义务、造成致使用户信息泄露、致使影响定罪量刑的刑事案件证据灭失等各项情形做了清晰明确的定罪量刑标准。这进一步明确了信息网络安全、数据安全管理者应履行的法律责任与义务,将大大促进网络信息安全建设。也将促进网络信息安全、信息数据安全行业的发展。
昂楷作为数据安全专家与践行者,对于国家法律法规,行业标准等坚决拥护并执行;并提供专业的数据安全产品,方案及服务,为核心数据安全保驾护航,有效助力法律法规的落地实施。针对此次最高法最高检对拒不履行信息网络安全管理义务各项具体条款进行政策解读。
条款解读
第三条:拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第一项规定的“致使违法信息大量传播”:
(一)致使传播违法视频文件二百个以上的;
(二)致使传播违法视频文件以外的其他违法信息二千个以上的;
(三)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的;
(四)致使向二千个以上用户账号传播违法信息的;
(五)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的;
(六)致使违法信息实际被点击数达到五万以上的;
(七)其他致使违法信息大量传播的情形。
小楷解读
2017年6月1日起实施的网络安全法,在中国对网络安全掀开了新的篇章,法案明确目标是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。最高人民法院、最高人民检察院的《解释》中网络安全管理的义务,已经明确和具体刑法条例关联,从数据(包括视频数据,账户数据等)安全使用上致使数据泄露传播,以定量的方式进行判断,更进一步加强了管理者对数据安全保障的义务,从数据源上提升了安全性。同时说明国家在配套法律制度上更加健全了。
第四条:拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:
(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;
(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;
(三)致使泄露第一项、第二项规定以外的用户信息五万条以上的;
(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;
(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;
(六)造成重大经济损失的;
(七)严重扰乱社会秩序的;
(八)造成其他严重后果的。
小楷解读
本条对“造成严重后果”进行了解释,其中包括行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等,以上数据我们可以看出都是基于个人的隐私数据。最高人民法院、最高人民检察院对个人信息保护独立篇章单独解释,说明个人数据从采集、传输、使用、共享等安全管理的任何一个阶段都要重点保障,目标是要实现数据全生命周期的安全管理。
玩真的了!深度解读拒不履行信息网络安全管理义务将入罪
第五条:拒不履行信息网络安全管理义务,致使影响定罪量刑的刑事案件证据灭失,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第三项规定的“情节严重”:
(一)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失的;
(二)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失的;
(三)多次造成刑事案件证据灭失的;
(四)致使刑事诉讼程序受到严重影响的;
(五)其他情节严重的情形。
第六条:拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第四项规定的“有其他严重情节”:
(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;
(二)二年内经多次责令改正拒不改正的;
(三)致使信息网络服务被主要用于违法犯罪的;
(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;
(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;
(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;
(七)其他严重违反信息网络安全管理义务的情形。
小楷解读
这两条对“有其他严重情节”进行了解释,其中包括用户日志留存的管理,网络安全法和网络安全等级保护规定了相关的监测记录日志不少于六个月留存时间,加之本次解释将对网络安全相关的日志不仅要留存且记录中要明确真实身份信息,定位到人。这也就要求安全厂商在提供数据安全解决方案中要具备日志操作记录并定位到人的能力,以此辅助本解释的落地执行。
《中华人民共和国刑法》第二百八十六条之一 拒不履行信息网络安全管理义务罪:
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
那么对于“监管部门责令采取改正措施”如何认定,《解释》中做如下规定:
第二条 刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。
认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。
小楷解读
本条明确了承担信息网络安全监管职责的部门,包括网信、电信、公安等。
玩真的了!深度解读拒不履行信息网络安全管理义务将入罪
《解释》共十九条,对拒不履行信息网络安全管理义务罪的具体情形、定罪量刑标准及有关法律适用问题作了全面、系统的规定。最高人民法院、最高人民检察院是我国最高司法机关,此次针对对“利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律”的解释是我国最权威的司法解释,在万物互联的、信息智能化蓬勃发展的新形势下对网络信息数据安全显得尤为必要。
对于《解释》中的规定如何进行有效的数据安全防范,昂楷从十年的数据安全治理经验提供如下的建设思路:
第一步:数据资产的梳理及可视化
昂楷提供自动搜索数据库的功能,可以自动发现指定网内的数据库信息,包括:数据库地址、数据库端口、数据库类型等,进而通过敏感数据自动发现的能力梳理出敏感源并进行热点分布展示,直观的展示当前数据资产的状态;
第二步:数据访问行为精准监控
昂楷提供的数据库安全审计方案,围绕数据全生命周期,从数据采集、清洗、存储、传输、共享、使用、销毁等过程,对数据库的访问、操作行为进行细粒度监控与分析,精准定位到人,从而达到全程监控,同时根据预置的安全规则对风险行为及时报警,所有操作日志都保证安全存储,即可实现本地存储,也可实现网络存储方式,灵活性高。
第三步:数据安全主动防护
昂楷提供基于数据访问的安全管理模式,对敏感数据的操作行为可根据规则进行自动识别和危险行为的阻断防护,对于共享数据和运维数据库等场景中的安全可根据识别出的敏感数据进行去隐私化的管理。
关于昂楷
深圳昂楷科技有限公司是国内领先的数据安全治理解决方案供应商,自2009年成立起专注于数据安全领域,坚持扎扎实实做产品,不做“关系型”产品,在大数据、云计算、人工智能、工业控制、物联网等领域构筑了数据安全解决方案优势,为公检法司、政府、医疗卫生、能源、运营商、金融、教育、保密局、军队、互联网等行业提供有竞争力的数据安全综合治理解决方案、产品和服务,并致力于让人们放心地享受大数据。昂楷科技总部位于深圳,下设16个办事处,服务网络覆盖全国。