近日,一份行政处罚决定书引发关注。2023年8月20日,江苏镇江市公安局丹徒分局民警接报警,发现一家牛肉汤馆提供的无线网络WiFi为开放式,输入密码即可登录,未记录用户号码。这家店铺被予以行政警告处罚。
记者在江苏公安执法公示平台搜索发现,这并非个例。仅2023年8月,镇江市公安局丹徒分局就开出了14份针对公共场所提供开放式WiFi的行政处罚决定书。根据处罚决定书,这样的做法被认为是没有履行网络安全保护义务。
事实上,据镇江市公安局网络安全保卫支队官方账号发布的信息,早在2018年2月,镇江警方就开始对公共场所WiFi分阶段调查、登记、备案,推动WiFi审计设备的普遍安装和使用。3个月后,2018年5月,镇江开出了第一张“WiFi罚单”。
对WiFi用户资料做记录的规定,已有至少17年历史。早在2006年,公安部出台的《互联网安全保护技术措施规定》中就明确,互联网服务提供者和互联网使用单位应当落实记录并留存用户登录和退出时间等。此外,还应当安装并运行互联网公共上网服务场所安全管理系统,并提供符合公共安全行业技术标准的联网接口。
网络安全法是中国第一部规范网络空间问题的法律,自2017年6月1日起施行。第21条规定,网络运营者应当按照规定履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中就包括,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。
若网络运营者不履行上述义务,网络安全法第59条规定,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
对因不履行网络安全管理义务而带来危害的,严重者可入刑。
刑法286条规定:网络服务提供者经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播、用户信息泄露或刑事案件证据灭失,造成严重后果的,处3年以下有期徒刑、拘役或者管制,并处或者单处罚金。
一些城市对于公共场所无线上网作出了更细致的规定。例如,2018年6月,江苏省扬州市公安局出台《关于加强公共无线上网场所网络安全治理的通告》,要求开通上网服务的公共场所在网络正式联通之日起30日内,向属地县级公安机关网络安全保卫部门备案。
此外,扬州发布的规定还要求,公共上网场所应采取手机短信验证、真实身份信息核验等实名认证方式;规范上网服务标识,在场所醒目位置统一悬挂“扬州市公共安全无线覆盖区域”的网络服务标识,禁止以“公共账号或固定密码”等非实名方式提供服务;禁止向身份不明或拒绝身份查验的用户提供上网服务等。
来源:南方周末
附录:《网络安全法》相关条款
第二十一条:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第五十九条:
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
微评:我觉得,小吃店根本没有保护用户信息安全的能力,要是大家把手机号提供给小吃店,被小吃店有意或无意中泄露出去,那危害不是更大?
