互联网法治研究院2019年度网络安全法律研究报告（中）

研究成果研究成果

2020年07月25日 09:16:02 作者:范延衣来源:互联网法治研究

二、行政执法概况

（一）2019年App整治行动

随着5G移动通信、大数据、物联网、人工智能等技术的快速发展，移动互联网产业正呈现垂直化、专业化和平台化趋势，对社会经济发展的基础性作用日益突显。移动互联网应用（App）的种类和数量呈爆发式增长，越来越多地渗透到人们生活、工作的各个领域，正逐渐成为用户信息数据的主要入口和核心载体。App安全和用户个人信息保护态势愈加严峻，侵害用户权益的事件层出不穷，受到国家和社会公众高度关注。2019年初，受网信办、工信部、公安部、市场监管总局委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组，在全国范围内组织开展App违法违规收集使用个人信息专项治理。

1.工作组整治概况

1月25日，网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，开展App违法违规收集使用个人信息专项治理。专项治理工作组自公告发布后立即部署开展了首批App收集使用个人信息的评估工作。3月1日，App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》，指导各相关组织自查改进。在央视3·15晚会上，App专项治理工作组专家曝光评估工作中发现的违法违规收集个人信息典型问题，震慑了过度索权行为。4月上旬，App专项治理工作组针对30款用户量大、问题严重的App，向其运营者发送了整改通知，要求App运营者认真整改、举一反三，及时纠正个人信息收集使用方面存在的问题。5月24日，百款常用App申请收集使用个人信息权限情况公布。7月16日，40款存在收集使用个人信息问题的App被督促要求尽快整改。12月4日，国家网络安全通报中心发布头条文章《公安机关开展App违法采集个人信息集中整治》，集中查处整改了100款违法违规App及其运营的互联网企业。此次整治针对无隐私协议、收集个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形，责令限期整改27款，处以警告处罚63款，处以罚款处罚10款，另有2款被立为刑事案件开展侦查，相关案件正在侦查中。

2.市场监管及政策法规完善

3月15日，市场监管总局、中央网信办开展App安全认证工作，鼓励App运营者申请对App进行认证。引导消费者选用安全的App产品，提升个人信息保护意识和能力。据其发布的《移动互联网应用程序（App）安全认证实施细则》，App安全认证的模式为技术验证+现场核查+获证后监督，该细则亦详细规定了认证程序。5月5日，App专项治理工作组起草了《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称《认定方法》），并公开征求社会意见。《认定方法》将“未经同意向他人提供个人信息”等7种情形纳入规制范围，并从“在安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策”等39项细节处入手，明确App收集使用个人信息的违法违规行为。《认定方法》不仅为执法部门的市场整治工作提供依据，也使用户对App中的个人信息收集行为更加明确，更有利于维护自己的权益。同时，对App服务提供者而言，更明确了过度采集行为的责任范围，有利于自查自纠。12月30日，四部门近期联合制定并发布了《App违法违规收集使用个人信息行为认定方法》。

3.App整治行动典型案例

（1）“健康天津”App涉嫌无隐私协议收集用户位置信息等违法违规行为,经天津市公安局武清分局网安支队受案调查，依据《网络安全法》第41条、第64条规定，对该App运营单位“天津健康医疗大数据有限公司”处以行政警告并责令限期整改。

（2）“趋势密码”App未经用户同意收集使用精准定位等个人信息，涉嫌超范围收集用户信息等违法违规行为,经上海市公安局徐汇分局网安支队受案调查，依据《网络安全法》第64条第1款，对该App运营单位“上海益秋投资管理有限公司”处以行政警告。

（3）“折疯了海淘”App未明示数据项采集用途，涉嫌违规收集用户信息,经杭州市公安局西湖分局受案调查，依据《网络安全法》第64条第1款，对该App运营单位“杭州橙子信息科技有限公司”处以行政警告并责令限期整改。

（4）“简讯”App涉嫌无隐私协议收集用户位置信息等违法违规行为,经成都市公安局网安支队受案调查，依据《网络安全法》第60条第1款规定，对该App运营单位“成都市黑领科技有限公司”处以行政警告并处罚款贰仟元。

4.App典型违法行为解读

App专项治理工作组对照《认定方法》，结合近千款App评估中发现的典型问题，在其官方公众号进行具体分析解读：

（二）2019年行政执法概述

通过法律检索，我们发现，自2019年1月至2019年12月底，共发生网络安全相关行政执法案例约1685起。相比2018年的301起处罚案例，无疑呈现了飞速增长的态势，以及在相关配套法规的完善下，执法机构日益严格的检查执法标准。通过数据分析，约1700起案例体现了如下共同点：执法范围广泛，行为多样，因此各主体触发行政处罚的几率大大增高；多以柔性执法为主，警告和罚款的处罚方式占绝大多数，体现了行政处罚先行，刑法作为社会调整底线的谦抑性。

1.行政执法领域分布

网络空间安全项下包含一系列具体监管制度，包括联网备案制度、网络安全等级保护制度（以下简称为“等级保护”）、关键信息基础设施保护制度、个人信息保护制度、重要数据保护制度、网络信息内容管理制度（以下简称为“网络信息内容管理”）、禁止利用网络实施违法行为制度、实名制管理和网络产品或服务管理制度等。其中联网备案制度、等级保护制度、信息内容管理制度、禁止利用网络实施违法行为制度、实名制管理和网络产品或服务管理制度在《网络安全法》出台之前已实施多年，个人信息保护制度也散见于此前的多部法规中，1685起行政执法案例分别落入这七项制度范围内。而关键信息基础设施保护制度、重要数据保护制度相关配套规则尚需完善，执法标准尚不明晰，故在这两个领域暂未发现行政执法案例。

以执法领域为维度，1685起案例分布情况为：联网备案制度366起（22%）、等级保护制度1133起（67%）、个人信息保护制度107起（6%）、信息内容管理制度13起（0.8%）、禁止利用网络实施违法行为53起（3%）、实名制管理制度3起（0.2%）、网络产品或服务管理制度10起（0.6%）。等级保护是执法案例最多的领域，执法领域的分布反映了当前网络安全执法的重点。

2.行政执法依据

（1）联网备案制度：

2019年共有366篇行政处罚书依据《计算机信息网络国际联网安全保护管理办法》第12条作出，其明确规定互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织有义务履行联网备案手续，其应当自网络正式联通之日起30日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续，不履行备案职责的，由公安机关给予警告或者停机整顿不超过6个月的处罚。实践案例中，公安机关对于违法上述规定的主体多处以警告的行政处罚。

（2）等级保护制度：

《网络安全法》第21条、第25条分别规定了网络安全等级保护制度下网络运营者应当履行的安全保护义务以及应急预案。在2019年的行政处罚书中有1133篇的处罚理由为“未履行网络安全等级保护义务”。由于《网络安全法》第21条并未穷尽“违反网络安全等级保护义务”的行为类型，29实践中执法机关的执法标准难以统一，但仍然可以概括出几种常见行为方式：未安装上网审计系统、未按照规定留存网络日志六个月、未落实网络安全登记制度、没有制定网络安全事件应急预案、未采取相关技术措施、未建立内部管理制度、网站被悬挂违法相关链接等。由于行为的多样性，违法主体受到的行政处罚轻则警告，重则拘留，依情节轻重跨越幅度较大。

（3）个人信息保护制度：

个人信息保护是网络安全领域最早建立也最为严格的制度，2019年共有107起因侵犯个人信息而受行政处罚的案例，相比2018年《网络安全法》尚未得到普遍落实的情形，2019年，《网络安全法》第22条、41条、42条、43条均成为执法实践中个人信息保护的处罚依据。处罚理由集中在超范围收集个人信息、没有制定隐私政策、网站存在安全隐患、非法获取个人信息或者未履行审核管理义务。《刑法》在个人信息保护领域要求个人承担禁止侵犯他人个人信息的消极义务，而《网络安全法》则在禁止侵犯的基础上对网络运营者提出了更高的保护要求。法律建立了对个人信息采取更为严格的保护制度，因此违反个人信息保护有时并不以非法获利为要件，而以行为违法作为处罚要件。

（4）信息内容管理制度：

根据网安法第47条，网络运营者应当加强管理其用户发布的信息，有义务审核网络信息内容，若发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。此条款实则为一个委托性调整规范，对于具体何种信息为禁止发布或传输的信息，网安法并未作明确说明，需要援引其他的法律、行政法规的相关内容。实践中多以“未履行审核管理义务”为理由概括做出行政处罚决定书。

对违反信息管理义务的行为，有关主管部门可以对涉事主体责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

（5）禁止利用网络实施违法行为：

该制度下的处罚依据主要是网安法第46条，“任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息”。2019年以网安法第46条为法律依据作出处罚的案例共有53起，行为方式多为通过微信发布违法信息，亦有少数表现为设立非法网站。

根据网安法第67条，违反前述规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

（6）实名制管理制度：

根据网安法第24条第1款，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。在2019年的三篇处罚案例中，处罚方式包括责令改正、警告和罚款拘留。

若未履行实名制，行政机关可以责令改正；拒不改正或者情节严重的，处5-50万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处1-10万元以下罚款。

（7）网络产品或服务管理制度：

根据网安法第22条，网络产品或服务提供者有对其提供的产品或服务管理的义务，网络产品、服务应当符合相关国家标准的强制性要求。若网络产品或服务提供者未尽到其管理义务，有关主管部门可以责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

（8）VPN管理制度：

2019年VPN管控成为行政执法的重点检查对象。其处罚依据多为《计算机信息网络国际联网管理暂行规定》第6条和第14条、《计算机信息网络国际联网管理暂行规定实施办法》第7条和第22条第1款、《网络安全法》第31条，除去买卖VPN的典型情节，我们发现，仅仅安装使用VPN依然会受到公安部门的处罚，但处罚力度较低，以警告为主。若有获利情节，则会处以拘留罚款。

3.行政执法部门分工

根据网安法的规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依照网安法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。从具体职能来看，各监管部门主要分工如下：

（1）网信部门负责网络安全监管工作的总体统筹协调，主管个人信息保护、重要数据保护、信息内容管理和实名制管理；

（2）公安部门主管联网备案、等级保护、信息内容管理、关键信息基础设施保护、利用网络实施违法行为，兼及个人信息保护；

（3）工信部门主管网络产品或服务管理工作，兼及个人信息保护、信息内容管理和实名制管理。

实践中由公安机关作出行政处罚决定，网信办、工信部大多通过发布相关政策、约谈市场主体、30召开新闻发布会等方式，对行业进行整体把控，重点整治。

4.行政执法对象分布

我们从两方面来分析行政执法对象，一是运营主体，二是网络形式。

1685起案例中，被处罚的运营主体包括个人、法人与其他组织。在网络安全法生效后至2019年底三年间，由于联网备案制度被处罚的个人共有132人，法人及其他组织有396起；由于等级保护被处罚的个人共912人，法人及其他组织共344起；由于个人信息保护被处罚的个人共95人，法人及其他组织共37起；由于信息内容管理被处罚的个人共13人，法人及其他组织3起；由于利用网络实施违法行为被处罚的个人为57人，法人及其他组织2起；由于违反实名制管理被处罚的个人共2人，法人及其他组织0起；由于网络产品或服务而被处罚的个人有4人，法人或其他组织共6起。

涉案的网络形式包括系统、网站、App、远程数据检测平台、公众号、邮件系统等，其中网站和App占绝大多数。针对App的监管重点是个人信息保护、信息内容管理；针对网站和系统监管重点是等级安全保护和信息内容管理。

5.违法行为的发现途径

行政执法的触发机制包括以下五种：（1）由于发生违法或损害后果事件导致被调查，如黑客入侵、网站遭受攻击、个人信息泄露等；（2）监管部门的日常检查，如公安部门的日常巡查、专项检查、定点检查、专项治理等；（3）网络安全监测预警和通报，如国家网络与信息安全信息通报中心通报；（4）网民举报，如用户发现违法违规信息进行举报；（5）舆情所致，如引发公众舆论热议。

6.执法惩戒强度分析

从行政执法对涉事主体的惩戒力度来看，上述案例可为强中弱三档：（1）惩戒力度强是指行政拘留或者吊销证照等，对涉事主体威慑力最大；（2）惩戒力度中等是指罚款、停业停网等，对涉事主体威慑力中等；（3）惩戒力度弱是指约谈、警告、责令改正等，威慑力度最小。惩戒力度的分布反应了当前网安执法的尺度和口径。

（三）行政执法典型案例

1.联网备案制度：2019年5月8日11时08分许，杭州纳舍科技有限公司（网站域名beibeiyao.net）由于自2017年3月运行以来，未按规定向公安机关备案。属于不履行国际联网备案职责。根据《计算机信息网络国际联网安全保护管理办法》第十一条、第十二条、第二十三条之规定，被公安机关决定给予警告的行政处罚。

2.等级保护制度：2019年9月17日09时30分许，南通市公安局崇川分局民警在南通XXX有限公司检查时发现该单位大厅内未安装无线上网审计系统，该单位未采取网络安全保护措施，未履行网络安全保护义务，存在网络安全隐患。根据《中华人民共和国网络安全法》第二十一条第一款第（五）项、第五十九条，《计算机信息网络国际联网安全保护管理办法》第十条第一款第（二)项之规定,责令南通XXXX有限公司改正并给予警告的处罚。

3.个人信息保护制度：

（1） 2019年9月18日9时许，西兴派出所民警在工作中发现：位于杭州市滨江区西兴街道物联网街451号芯图大8楼*室的杭州趣编络科技有限公司运营名为“视读免费小说”的App在运营中涉嫌超范围收集用户信息，未按规定履行个人信息保护义务。根据《中华人民共和国网络安全法》第二十二条第三款、第四十一条、第六十四条第一款之规定，给予杭州趣编网络科技有限公司警告的行政处罚。

（2）2019年12月03日14时许，长河派出所接网警大队传递消息称：位于浙江省杭州市滨江区滨安路*号的杭州施强教育科技有限公司，其公司为“乐桃"的App，隐私政策未按要求单独成文，采集用户权限未明示取得用户授权，于2019年12月03日被公安机关查获。根据《中华人民共和国网络安全法》第二十二条第三款、第四十一条、第四十二条、第四十三条和第六十四条第一款之规定，给予警告的行政处罚。

（3）2017年3月以来，吉xx在无锡市滨湖区xx房产中介部担任行政人事期间，使用QQ等网络通信工具，采用向他人购买的方式非法获取公民个人信息4万余条，后吉xx利用非法获取的上述公民个人信息拨打各小区业主电话寻找房源，后于2017年7月13日被公安机关查获。根据《中华人民共和国网络安全法》第四十四条、第六十四条第二款之规定，对吉xx罚款人民币壹万元。

4.网络信息内容管理制度：在经营徐州楚旸网络科技有限公司中，针对网站的供求信息栏目、游戏工作室论坛中出现的大量法律、行政法规禁止发布的信息，没有保存有关记录，并向有关主管部门报告。2019年4月26日被徐州市公安局鼓楼分局查获。根据《中华人民共和国网络安全法》第四十七条、第六十八条第一款之规定，现决定对刘x罚款贰万元。

5.禁止利用网络实施违法行为：2018年8月份至今，刘x多次在微信群“海安美团外卖红包４群”与朋友圈发布收购驾驶证分数等违法信息内容的文字。2019年5月7日，刘x被海安市公安机关查获。根据《中华人民共和国网络安全法》第四十六条、第六十七条第一款之规定，对刘x政拘留二日。

6.实名制管理制度：刘x经营的徐州楚旸网络科技有限公司在提供网络服务活动中，未按规定履行网络安全保护义务，未按规定要求用户提供真实身份信息、并对不提供真实身份信息的用户提供服务，造成其经营的网站www.zhuanyewanjia.com内出现涉赌、办假证违法信息。

7.网络产品或服务管理制度：南通市苏通网络技术有限公司在为南通市福斯特机械有限公司提供网站服务中存在网站被入侵、病毒攻击等风险隐患，2019年5月南通市福斯特机械有限公司网站被张贴大量招嫖诈骗信息，南通市苏通网络技术有限公司直接负责的主管人员夏x，未按照规定及时告知用户并向有关主管部门报告，后被如皋市公安机关查获。根据《中华人民共和国网络安全法》第二十二条第一款、第六十条第（二）项之规定，决定给予夏x罚款一万元的处罚。

8.VPN管理制度：2019年9月份，在徐州市铜山区大彭镇闸口村，王XX下载并使用名为“蚂蚁加速器”的专门用于从事侵入网络、干扰网络正常功能及防护措施的VPN翻墙软件，后通过微信群提供给他人用于登陆境外社交平台浏览信息。根据《中华人民共和国网络安全法》第二十七条、第六十三条之规定，徐州市铜山区公安局决定对王xx行政拘留二日。

注释：

17网络运营者收集、使用个人信息时，应当公开收集、使用规则。

18经营者收集、使用消费者个人信息，应当公开其收集、使用规则。

19网络运营者收集、使用个人信息，应明示收集使用个人信息的目的、方式和范围。

20经营者收集、使用消费者个人信息，应明示收集、使用信息的目的、方式和范围。

21网络运营者收集、使用个人信息，应经被收集者同意且不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。

22经营者收集、使用消费者个人信息，应经消费者同意且不得违反法律、法规的规定和双方的约定收集、使用信息，经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

23网络运营者不得收集与其提供的服务无关的个人信息。

24经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则。

25网络运营者未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人信息且不能复原的除外。

26个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

27网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络安全的投诉和举报。

28电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起15日内答复投诉人。

29《网络安全法》第21条第5款：网络运营者应当履行法律、行政法规规定的其他安全保护义务。

30 2019年12月10日，针对视觉中国网站(域名vcg.com)和IC photo网站(域名dfic.cn)违规从事互联网新闻信息服务、违规与境外企业开展涉及互联网新闻信息服务业务的合作等问题，国家网信办指导天津网信办会同江苏网信办、北京网信办约谈视觉中国网站负责人，指导上海网信办约谈IC photo网站负责人，责令两家网站立即停止违法违规行为，全面彻底整改。

责任编辑：郑通