概述

早就听说网安工作中有不少高压线，但是从来没有人说清楚过到底哪些事情不可做，哪些事情必须做，于是整理了近年来中国大陆涉及《网络安全法》、《个人信息保护法》、《数据安全法》的处罚案例。用于帮助网络运营者、网络安全从业者以及相关从业人员了解我国相关法律法规，避免在工作中触碰法律红线，做好自我保护。

主管部门

根据国务院印发于2004年的《全面推进依法行政实施纲要》，行政执法主体包括：（1）在法定职权范围开展行政执法行为的行政机关；（2）由法律、法规授权或者行政机关委托行使行政执法权的非行政机关。

对于网络安全及隐私保护领域，相关行政执法事项主要由网信部门、工信部门、公安部门以及市场监督管理部门负责。

具体到各个细分行业，不少行业主管部门也逐渐承担起对所在行业的网络信息安全的管理责任。例如，在金融行业，中国银行保险监督管理委员会、中国人民银行等会配合对金融相关的数据合规问题进行监督管理；在教育行业，教育部、国家新闻出版署等相关部门会参与到个人信息保护相关的治理行动中；其他领域的行政主管部门，如国家质量监督检验检疫总局、国家食品药品监管总局、国家宗教事务局、国家版权局等，也同样针对各自领域内的数据和信息进行相应的规范。

行政执法行为

根据《行政处罚法》第8条规定:“行政处罚的种类:（一）警告；（二）罚款；（三）没收违法所得、没收非法财物；（四）责令停产停业；（五） 暂扣或者吊销许可证、暂扣或者吊销执照（六）行政拘留；（七） 法律、行政法规规定的其他行政处罚。”其中，就责令停产停业这一处罚，在互联网环境下，除了常规的停业整顿外，还包括关闭网站、关闭通讯群组、暂停系统运行、暂停新用户注册等形式。

相关法律法规

法律、行政法规

• 《网络安全法》
• 《数据安全法》
• 《个人信息保护法》
• 《民法典》
• 《消费者权益保护法》
• 《电子商务法》
• 《刑法》
• 《征信业管理条例》

其他规定

• 《电信和互联网用户个人信息保护规定》
• 《儿童个人信息网络保护规定》
• 《App违法违规收集使用个人信息行为认定方法》
• 《个人信息范围规定》
• 《数据安全管理办法》
• 《网络安全等级保护条例》
• 《关键信息基础设施安全保护条例》
• 《个人信息处境办法》

司法解释及其他规范性文件

• 《侵犯公民个人信息刑事案件解释》
• 《检察机关办理侵犯公民个人信息案件指引》
• 《网络犯罪解释》

国家标准

• 《个人信息安全规范（2017）》
• 《个人信息去标识化指南》
• 《大数据安全管理指南》
• 《个人信息安全影响评估指南》
• 《个人信息告知同意指南》

涉及《网络安全法》的处罚案例

未履行网络安全保护义务;

• 罚款-浙江-公司网站的负责人-未落实网络安全等级保护制度
• 罚款-河北-网络安全负责人-未制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任
• 罚款-浙江-法人代表-未采取防范计算机病毒和网络攻击
• 警告-江苏省-法人代表-未采取监测、记录网络运行状态、网络安全事件的技术措施，并按规定留存相关网络日志不少于六个月
• 罚款-浙江-工作人员-未采取数据分类、重要数据备份和加密等措施；导致网络数据泄露或者被窃取、篡改
• 罚款-山东-法人代表-未制定网络安全事件应急预案

未履行网络产品和服务安全义务;

• 罚款-浙江-法人代表-未按规定告知、报告安全风险
• 拘留-广西-个人-提供本人名下银行卡帮助他们进行诈骗违法犯罪

未落实实名制等违反用户身份管理规定;

• 罚款-江苏-论坛运营人员-未按要求履行网络用户身份管理义务

违法展开网络安全服务活动;

• 罚款-深圳-个人-未按规定开展网络安全检测、风险评估等活动

危害网络安全行为;

• 拘留-广西-个人-为危害网络安全活动提供帮助
• 拘留-湖南-个人-为他人从事危害网络安全的活动提供技术支持

侵害个人信息权力;

• 罚款-浙江-法人代表-在苹果操作系统平台上不公布隐私政策
• 罚款-浙江-个人-非法获取个人信息

利用网络从事与违法犯罪相关的活动；

• 刑事拘留-湖南-个人-涉嫌帮助信息网络犯罪活动
• 拘留-浙江-个人-非法利用信息网络销售管制物品
• 刑事拘留-山东-个人-违法利用信息网络

未履行信息安全管理义务；

• 停业整顿-江苏-网站运营者-对网站上发布的法律、行政法规禁止发布或者传输的信息未停止传输，导致不当言论扩散

阻碍执法；

• 罚款-江苏-个人-网络运营管理主管人员-拒不向公安机关提供技术支持和协助

发布传输违法信息的法律责任；

• 罚款-浙江-个人-传输违法信息,传播淫秽信息
• 罚款-江苏-微信公众号直接负责人-制作、下载、复制、查阅、发布、传播有害信息

涉及《个人信息保护法》的处罚案例

非法处理个人信息、未依法履行个人信息保护义务

• 没收违法所得-江苏-法人代表-非法购买公民的姓名、电话号码并获利
• 警告-江苏-法人代表-未对小区业主个人信息采取必要的加密、去标识等安全技术措施，以防业主信息数据被盗取、泄露
• 没收违法所得-江苏-法人代表-在经营过程中将顾客的姓名、电话号码出售
• 警告-江苏-法人代表-未公开收集、使用个人信息的规则，也未明示收集、使用信息的目的、方式和范围，涉嫌不履行个人信息保护义务
• 警告-四川-法人代表-未经个人同意，非法收集、使用个人信息

涉及《数据安全法》的处罚案例

超范围采集个人信息

• 罚款-广州-法人代表-没有建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患

未履行数据安全保护义务

• 罚款-湖南-法人代表-未制定数据安全管理制度，服务器存在未授权访问漏洞，用户隐私数据存在泄露风险
• 罚款-广州-法人代表-有建立数据安全管理制度和操作规程，对采集到的个人信息未采取去标识化和加密措施，且系统存在未授权访问漏洞等严重数据安全隐患
• 罚款-上海-法人代表-处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险

项目持续更新中，Github传送门

网络安全从业者自保指南

https://github.com/vuln000/Sec-Yourself