《网络安全法》生效不过三月有余，各地网络安全执法即已如雨后春笋之态涌现： BOSS直聘因在李文星事件中所暴露的用户管理重大疏漏问题，被京津网信部门约谈并责令整改；汕头某公司因未及时履行网络安全等级测评义务被给予警告及责令改正；重庆一网络公司因未依法留存用户登录日志被给予警告及责令限期整改；四川某网站因网络安全防护不力致高危漏洞遭入侵，公司及直接负责人被罚款；宿迁一公司因未及时采取措施处置服务器接入违法网站，被给予警告及责令整改；山西忻州某省直事业单位因未对网站系统漏洞采取补救措施，被给予警告及责令改正。
　　近日，广东省通信管理局发布消息称，其依法相继查处了广州荔支网络技术有限公司、深圳市三人网络科技有限公司、广州市动景计算机科技有限公司、阿里云计算有限公司等四家互联网企业违反《网络安全法》的案件，打响了通信行业主管部门网络安全执法的第一枪。
 

　　由此可见，网络安全执法正向常态化发展，未来随着《网络安全法》配套规定的陆续出台，或将有更多的执法活动展开。　　

　　一、案件简介

　　（一）用户发布内容管理不力致风险

　　据称，广州荔支网络技术有限公司发现用户利用其荔枝FM网络平台发布和传播违法有害信息未立即停止传输，防止信息扩散，保存有关记录并向主管部门报告。因此广东省通信管理局依据《网络安全法》第四十七条、第六十八条，《互联网信息服务管理办法》第十六条、第二十三条等规定，责令其立即整改，并给予警告处罚，要求该公司切实落实信息服务管理责任。
　　（二）用户真实身份认证不周埋隐患
　　经查实，深圳市三人网络科技有限公司未要求用户提供真实身份信息提供网络电话服务，存在被利用于从事信息通信诈骗活动的安全隐患。广东省通信管理局依据《网络安全法》第二十四条第(一)款、第六十一条，《电话用户真实身份信息登记规定》第十七条，责令其立即整改，罚款五万元，并责令停业整顿，关闭网站。
　　阿里云计算有限公司为用户提供网络接入服务未落实真实身份信息登记和网站备案相关要求，导致用户假冒其他机构名义获取网站备案主体资格。依据《网络安全法》第二十四条第(一)款、第六十一条，其被责令立即整改，切实落实网站备案真实性核验要求。
　　（三）安全漏洞检测修补不善留弊端
　　广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险，未能及时全面检测和修补，已被用于传播违法有害信息，造成不良影响。广东省通信管理局依据《网络安全法》第二十二条第一款，责令其立即整改，采取补救措施，并要求其开展通信网络安全防护风险评估，建立新业务上线前安全评估机制和已上线业务定期核查机制，对已上线网络产品服务进行全面检查，排除安全风险隐患，避免类似事件再次发生。
　　二、重点解读
　　此次广东省通信管理局的执法行动，反映了通信行业主管部门的执法关注重点，相关企业应当予以注意：
　　（一）用户发布信息内容的管理
　　由广州荔支网络技术有限公司一案可以看出，执法部门关注网络服务提供者对于用户发布信息的管理。根据《网络安全法》第四十七条之规定，网络运营者为用户提供发布信息的平台时，应当履行法律规定的义务，建立用户发布信息管理制度，加强对用户发布信息的管理。对于法律、行政法规禁止发布或传输的信息，应当依法采取必要的处置措施，包括立即停止传输该信息；采取消除等处置措施，防止信息扩散；保存有关记录，为依法追究信息发布者责任提供证据；就相关情况向有关主管部门报告等。
　　（二）用户真实身份认证的落实
　　在前述四起案件中，深圳市三人网络科技有限公司以及阿里云计算有限公司，均因违反《网络安全法》第二十四条第一款规定遭到广东省通信管理局的查处，足见执法机构对于用户实名制度之重视。值得注意的是，2017年9月7日，国家互联网信息办公室印发了《互联网用户公众账号信息服务管理规定》，其中强调，互联网用户公众账号信息服务提供者应当按照“后台实名、前台自愿”的原则，对使用者进行基于组织机构代码、身份证件号码、移动电话号码等真实身份信息认证。使用者不提供真实身份信息的，不得为其提供信息发布服务。该规定将于2017年10月8日起正式施行，相信届时网络用户实名制将进一步得到加强。对于网络服务提供者来说，应当建立和完善用户真实身份认证制度，以应对更为严格的用户管理要求。
　　（三）网络安全保护义务的履行
　　网络产品和服务的安全缺陷、漏洞等，由于技术等原因在所难免，但是安全缺陷、漏洞出现时，如未能及时修补而被不法之徒加以利用将可能导致不良后果的发生。目前，执法部门已多次对安全漏洞修复不及时的行为作出处罚，包括前面提到的四川某网站以及山西忻州某省直事业单位的案例，以及此次广东省通信管理局对广州市动景计算机科技有限公司的查处。可见，网络安全保护义务的履行是各地执法机构普遍关注的重点。企业应当注意的是，从法律规定以及执法案例来看，违反相关规定不仅公司将受到责令改正、警告、罚款等处罚，直接负责的主管人员也将可能需要承担罚款的个人责任。
　　三、企业应对
　　随着网络安全执法活动进入常态化发展，我们建议相关企业从以下几个方面出发，采取和改进应对措施：
　　（一）建立健全网络安全合规体系；
　　（二）建立和完善用户管理制度，包括用户真实信息收集、核查制度，以及用户发布信息管理制度等；
　　（三）定期检测、排查网络产品和服务可能存在的安全缺陷和漏洞风险，并及时采取补救措施，排除隐患；
　　（四）针对不同岗位的员工进行专门的安全培训、技能考核等，增强员工的技术水平和守法意识；
　　（五）如有遭遇行政调查的风险，及时寻求专业的网络安全法律意见，确保正确应对。