這兩天狗哥意外看到了一條很抓人眼球的新聞：

“國內首例《網路安全法》處罰案例誕生”

這麼快就開始處罰了？

趕緊點進來看看具體

：

2017年7月20日，檢查中發現，汕頭市某資訊科技有限公司於2015年11月向公安機關報備的資訊系統安全等級為第三級，經測評合格後投入使用，但2016年至今未按規定定期開展等級測評。

根據《資訊保安等級保護管理辦法》第十四條第一款規定，資訊系統安全保護等級為第三級的資訊系統應當每年至少進行一次等級測評。根據新出臺的《網路安全法》規定，定期開展測評屬於第二十一條第（五）項規定的“法律、行政法規規定的其他義務”。

汕頭市某資訊科技有限公司之行為已違反《資訊保安等級保護管理辦法》第十四條第一款和《網路安全法》第二十一條第（五）項規定，構成未按規定履行網路安全等級測評義務。根據《網路安全法》第五十九條第一款規定，依法對該單位給予警告處罰並責令其改正。

（以上內容轉自微信公眾號：汕頭網警巡查執法）

最可怕的是新聞最後，網警蜀黍們加了一句：

“你們可能一直在違法，只是沒有處罰而已”

無獨有偶，這兒還有個別的案例

重慶某公司自2017年6月1日後，在提供網際網路資料中心服務時，存在未依法留存使用者登入相關網路日誌的違法行為。

根據《網路安全法》第二十一條（三）項：採取監測、記錄網路執行狀態、網路安全事件的技術措施，並按照規定留存相關的

網路日誌

不少於六個月；第五十九條之規定，決定給予該公司警告處罰，並責令限期十五日內進行整改。

這說明兩件事

，第一是，如果沒有符合《網路安全法》的要求，真的是會被處罰的；第二是，預計全國各地依法處罰的案例會越來越多。

汕頭的那個案例非常典型，因為不少單位沒有按照要求每年及時開展等級保護測評，一旦被發現，警告處罰責令改正都是妥妥的。也許考慮到情節不嚴重，沒有什麼惡劣後果，以及系初犯，這次的處罰很輕只是警告而已，如果後果比較嚴重，處罰可能就會上升到這個程度：

網路安全法第七十一條：有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，並予以公示。

如果這個案例涉及到的機構是國家機關政務網路的運營者的話，後果更嚴重，要依法給予處分：

網路安全法第七十二條：國家機關政務網路的運營者不履行本法規定的網路安全保護義務的，由其上級機關或者有關機關責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

為了避免重蹈以上幾個單位的覆轍，咱們應該來分析一下還有哪些行為可能會被處罰：

①第二十一條（二）項：採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施。伺服器在裸奔的，單位網路系統在裸奔的，安全防護措施明顯不到位的，會被依照此條款進行責令整改；

②第二十一條（四）項，採取資料分類、重要資料備份和加密等措施。沒有對重要資料進行備份和加密的會被依照此條款進行責令整改；

③第二十五條：網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。沒有網路安全事件應急預案的，沒有及時處置高危漏洞、網路攻擊的；在發生網路安全事件時處置不恰當的，會被依照此條款責令整改，拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

④關鍵資訊基礎設施單位除了以上幾點，還有可能會被依據：第三十四條（三）項：對重要系統和資料庫進行容災備份。沒有對重要系統和資料庫進行容災備份的會被依照此條款責令改正。第三十四條（四）項：制定網路安全事件應急預案，並定期進行演練。沒有網路安全事件應急預案的，或者沒有定期演練的，會被依照此條進行責令改正。這條不得不等認為很多單位都不符合，這個要處罰起來一大片等著呢。

⑤關鍵資訊基礎設施單位：第三十八條 關鍵資訊基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護工作的部門。每年沒有做過安全檢測評估的單位要被責令改正。

友情提醒各位網路運營者，特別是網路運營者主要負責人，網路安全相關負責人，三級等保每年請及時開展測評；還沒有開展等級保護測評的更要抓緊了，趕緊啟動起來；最後建議對定級不準確不合理的網路運營者們，準確履行自己的網路安全義務是職責所在，工作不到位的一定要及時改進，等到國家機關發現問題就晚啦！

最後狗哥還是要補充一句，《網路安全法》不是一根大棒，處罰更加不是目的，畢竟網路安全受益的是自己，責任自然也應當由自己承擔；不要等著被處罰了再去整改，不要等著出了安全事件再去整改，不然你懂的，最終的收場就完全不可控了。