互联网信息内容安全管理制度——责任篇

2014-12-23 10:22:38

4245人阅读

导语：

我国的互联网信息内容安全管理制度主要体现在《计算机信息网络国际联网安全保护管理办法》中，该法规明确规定了各类互联网安全可以存在问题的解决办法，自发布之日起生效

我国的互联网信息内容安全管理制度主要体现在《计算机信息网络国际联网安全保护管理办法》中，该办法第10条规定：“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：(一)负责本网络的安全保护管理工作，建立健全安全保护管理制度；(二)落实安全保护技术措施，保障本网络的运行安全和信息安全；(三)负责对本网络用户的安全教育和培训；(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核；(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度；(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；(七)按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。”

互联网信息发布单位包括网络接入单位，从事信息服务的联网单位，开办电子公告版、新闻组、提供广播式发送电子邮件功能的联网单位等，这些信息发布单位必须建立和完善自己单位的互联网信息内容安全管理制度，严格依照法律规定进行信息内容安全管理，否则要承担相应的责任。《计算机信息网络国际联网安全保护管理办法》第21条规定：“有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。（一）未建立安全保护管理制度的；（二）未采取安全技术保护措施的；（三）未对网络用户进行安全教育和培训的；（四）未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的；（五）对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；（六）未建立电子公告系统的用户登记和信息管理制度的；（七）未按照国家有关规定，删除网络地址、目录或者关闭服务器的；（八）未建立公用帐号使用登记制度的；（九）转借、转让用户帐号的。”

第一节互联网信息内容安全管理责任

一、互联网信息服务单位安全管理的法律责任

《计算机信息网络国际联网安全保护管理办法》第5条规定：“任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： (一) 煽动抗拒、破坏宪法和法律、行政法规实施的； (二) 煽动颠覆国家政权，推翻社会主义制度的； (三) 煽动分裂国家、破坏国家统一的； (四) 煽动民族仇恨、民族歧视，破坏民族团结的； (五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事实诽谤他人的； (八) 损害国家机关信誉的； (九)其他违反宪法和法律、行政法规的。”　　第6条规定：“任何单位和个人不得从事下列危害计算机信息网络安全的活动： (一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； (二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的； (三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； (四) 故意制作、传播计算机病毒等破坏性程序的； (五) 其他危害计算机信息网络安全的。”　　第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”　　第10条规定：“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。”第12条规定：“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。　　前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。”

《互联网信息服务管理办法》第14条规定：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。　　互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”　　第16条规定：“互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。”

二、互联网单位备案责任

互联网单位，是指在中华人民共和国境内，通过专线或接入网络与互联网相连接的单位。互联网单位包括互联网运营单位、互联网信息服务单位、联网单位等。

《计算机信息网络国际联网安全保护管理办法》第11条规定：“ 用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。”第12条规定：“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。　　前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。”第23条规定：“违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。”

互联网接入服务单位、互联网数据中心、互联网信息服务单位、互联网联网单位均为备案对象。以上单位凡服务器托管地与维护地不在同一行政区划内的，都必须向服务器托管地和维护地的公安网监部门申请备案。备案要求如下：

（一）互联网接入服务单位（ISP）备案

1.互联网接入服务单位的界定

互联网接入服务单位（Internet Service Provider，简称ISP），是指负责提供互联网接入网络运行的单位。接入网络，是指通过接入互联网络进行国际联网的计算机信息网络；接入网络可以是多级连接的网络。

2.互联网接入服务单位备案提交的材料

（1）公安部统一制定的备案表一式两份（加盖备案单位公章）；

（2）本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；

（3）信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件；

（4）本单位的计算机信息网络安全保护管理制度，包括互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等；

（5）互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等；

（6）本单位的网络拓扑图（标明内部IP使用情况）；

（7）本单位的IP分配、使用和变更情况；

（8）本单位的接入方式，使用、新增和变更情况；

（9）本单位的用户注册登记、使用与变更情况（包括固定IP用户、动态IP用户、托管主机用户）。

（二）互联网数据中心（IDC）备案

1.互联网数据中心的界定

互联网数据中心（Internet Data Center，简称IDC），是指向企业、商户或网站服务器群提供大规模、高质量、安全可靠的专业化服务器托管、虚拟空间租用、网络带宽出租等业务的平台。

2.互联网数据中心备案提交的材料

（1）公安部统一制定的备案表一式两份（加盖备案单位公章）。

（2）本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）。

（3）信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件。

（4）本单位的计算机信息网络安全保护管理制度，包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全管理制度、互联网安全应急处置制度等。

（5）互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等。

（6）本单位的网络拓扑图（标明内部IP使用情况）。

（7）本单位IP分配、使用和变更情况。

（8）本单位所有托管主机服务用户的基本情况，包括网站相关资料、负责人信息、联系方式等。

（三）互联网信息服务单位（ICP）备案

1.互联网信息服务单位的界定

互联网信息服务单位（Internet Content Provider，简称ICP），是指通过互联网向上网用户提供信息服务活动的单位。

2.互联网信息服务单位备案提交的材料

（1）公安部统一制定的备案表一式两份（加盖备案单位公章）。

（2）本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；个人网站应提交计算机安全员名单及联系方式。

（3）信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件。

（4）本单位的计算机信息网络安全保护管理制度，包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等。

（5）互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等。

（6）本单位的网络拓扑图（标明内部IP使用情况）。

（7）网站网页基本情况，网页栏目设置与变更及栏目负责人的情况。

（8）提供服务或开办栏目的种类，重点说明新闻、交互式栏目、邮件服务、搜索引擎等情况；针对各种服务类型制定的安全保护管理制度及安全保护技术措施等。

（四）互联网联网单位备案

1.互联网联网单位备案的界定

互联网联网，是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相连接。互联网联网单位，是指通过接入网络与互联网连接的计算机信息网络用户。社区、学校、图书馆、宾馆、咖啡馆、娱乐休闲中心等向特定对象提供上网服务的场所也应纳入互联网联网单位管理。

2.互联网联网单位备案提交的材料

（1）公安部统一制定的备案表一式两份（加盖备案单位公章）；

（2）本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；

（3）信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件；

（4）本单位的计算机信息网络安全保护管理制度，包括互联网安全保护管理制度、互联网安全应急处置制度等；

（5）互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等；

（6）本单位的网络拓扑图（标明内部IP使用情况）。

三、互联网信息服务单位安全管理责任

（一）互联网信息服务单位建立安全管理制度的责任要求（1）建立用户、个人上网日志记录保存制度。交互式栏目记录发帖用户IP地址、时间；主页修改访问记录访问者的IP地址、起始时间和终止时间。以上原始记录应至少保留60天，并在公安机关依法检查或查询时，予以提供。

（2）建立信息发布和链接网站审核、登记制度。网站对委托发布信息源的单位和个人进行登记，信息源单位须凭单位介绍信，个人须凭有效身份证件办理委托发布信息的手续；对信息源单位提供的信息内容要依照《计算机信息网络国际联网安全保护管理办法》中第4条和第5条的规定进行审核；对本网站上的宣传主页及链接站点要经常进行检查，发现问题后应在24小时内报告当地公安网监部门，备份后删除。

（3）建立聊天室、电子公告栏、留言板、个人主页上传服务等交互式栏目的信息监视、保存、清除和备份制度。网站应建立由信息审核员（开办单位）、站长（BBS站）、栏目主持人（各类栏目）组成的三级管理，分级负责制。开设BBS的网站应设专职的BBS站长，站长负责对栏目的设置、栏目主持人的资格进行严格考察，明确规定开办的栏目内容和范围；栏目主持人要加强对用户的正确引导和管理，对栏目信息要经常检查，发现重大事件及时报告。实行信息监控制度，发现有害信息做好备份并及时删除，同时报告公安机关：①栏目明确制度。网站应明确BBS开设的各具体栏目和类别，如时事论坛、网民聊天室、文化艺术类留言板、IT行业布告板、新闻跟帖等。②实行版主负责制度。网站开设BBS时应有专门人员对BBS实施有效管理。获准开展BBS的网站必须对获得批准的各个BBS栏目指定专门人员作为版主，并实行版主责任制。版主负责监管该栏目的信息内容，除采取必要的技术手段外，应对登载的信息负有人工过滤、筛选和监控的责任。一旦发现BBS栏目中有违法违规的内容，将追究网站和该栏目版主的责任并予以处理。③对BBS用户发出的信息应预先进行技术和人工审核。

（4）建立搜索引擎安全保护管理制度。

（5）建立异常情况及违法犯罪案件报告和协查制度。落实案件、事故报告和调查协助工作机制，凡发现有违反国家法律、法规的行为，应保留有关原始记录，做好数据备份，并于24小时之内向当地公安机关报告，重大案件和事故应立即报告，并配合公安机关做好调查处置工作。

（6）建立安全教育和培训制度。对网站相关部门的安全专管员、技术员等进行定期或不定期的安全教育和培训，积极参加公安机关开展的专题安全培训工作，并建立培训台账。

（7）建立重要网络系统的系统备份及应急预案制度。针对网站实际建立信息网络重大事故案件应急预案工作机制，定期或不定期进行演习，并建立工作台账。

（二）电子邮件服务安全管理责任要求

1.电子邮件服务安全管理责任

（1）应当将电子邮件服务和使用规则告知用户，并向用户提供举报和投诉垃圾电子邮件的方式。

（2）电子邮件服务器应当使用固定IP地址。

（3）应当及时堵塞电子邮件服务器安全漏洞。

（4）向用户提供群组发送电子邮件服务的，应当建立相应的管理制度。

（5）提供公众电子邮件服务的，应当向用户提供自行屏蔽垃圾电子邮件的方式。

（6）应当遵守国家相关管理规定和技术标准。

（7）应当对用户的电子邮件内容和个人信息采取保密措施，除国家有关机关依法检查外，不得向他人提供用户的电子邮件内容和个人信息，不得将用户的个人信息用于获取目的以外的其他用途。

2.安全保护管理制度要求

（1）网络安全漏洞检测和系统升级管理制度。必须定期对电子邮件服务器进行安全漏洞检测，同时对系统进行升级。

（2）操作权限管理制度。规范管理电子邮件服务器管理员的管理权限，确保责任落实到人。

（3）用户登记、验证制度。用户必须注册后才可使用电子邮箱。对外提供电子邮件服务的，用户的注册资料必须包括用户的手机号码或常用的电子邮箱，网站必须对用户注册的手机号码或电子邮箱进行验证；对单位内部提供电子邮件服务的，负责电子邮件服务开设的管理员必须妥善保管用户递交的电子邮件开通申请或开通登记表中用户的姓名及联系方式等信息。

（4）建立应急处置预案。有关单位应当建立对网络突发事件的应急处置预案。

（5）报警制度。对电子邮件服务器中发生的安全事故及各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向当地公安网监部门报告。

（6）协查制度。公安机关行政执法过程中，有关单位应当如实提供有关资料，并提供相关技术支持和必要协助。

（7）联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。

（8）告知制度。应当将电子邮件服务和使用规则告知用户，服务商应向用户公示举报和投诉有害垃圾电子邮件的方式，建立反有害垃圾电子邮件工作制度；同时还应公布公安机关的举报电话和举报电子邮箱。

3.安全保护技术措施要求

（1）垃圾电子邮件清理功能技术要求：①具备对发送垃圾电子邮件的特定网络地址、电子邮箱进行屏蔽的功能；②具备限制来自相同客户端网络地址的并发连接数量超过最大限制值的功能；③具备限制来自相同客户端网络地址的连接频率超过最大限制值的功能；④具备限制本地电子邮件用户一次性发送同一电子邮件发送数量的功能；⑤具备判别电子邮件虚假路由，对伪造虚假路由的电子邮件限制发送的功能；⑥具备关闭电子邮件服务器匿名转发或采取用户身份认证、电子邮件转发授权控制措施的功能；⑦具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能，其中特征指电子邮件长度、信头字段、信体符合特定条件。

（2）通过在线或者离线两种方式向公安机关提供有害垃圾电子邮件。

（三）互联网娱乐平台安全管理责任要求

互联网娱乐平台安全管理单位，是指以公共信息网络为平台，发行、运营互联网网络游戏的单位和互联网网络游戏开发、代理、运营的单位。

1.安全保护管理制度要求

（1）建立用户发布信息责任公告制度和有害信息用户举报渠道。

（2）发生网络安全事故、事件的报告制度。

（3）发现含有有害信息的地址、目录或者服务器时，应当通知有关单位关闭或删除。

（4）建立健全网上违法犯罪案件协查工作制度。

（5）报警制度。对各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向当地公安网监部门报告。

（6）联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。

2.安全保护技术措施要求

（1）留存用户注册信息，记录用户登录和退出的网络地址、时间，并留存60天。用户自己注销帐户后，该帐户信息及其之前上网记录应保留60天后再删除。