上海市公安局关于印发《上海市公安局关于网络安全管理行政处罚的裁量基准》的通知（2021 年 3 月 6 日）沪公行规〔2021〕1 号 各分局、市局各部门、各公安处（局）：   《上海市公安局关于网络安全管理行政处罚的裁量基准》已经 2021 年 3 月 1 日市局党 委会审议通过，现印发给你们，请认真贯彻执行。裁量基准自 2021 年 3 月 8 日起施行，有 效期至 2026 年 3 月 7 日。   上海市公安局关于网络安全管理行政处罚的裁量基准   第一章 总则   一、为规范公安机关行使网络安全管理行政处罚裁量权，促进行政执法公平公正，保障 网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合 法权益，依照《中华人民共和国行政处罚法》《公安机关办理行政案件程序规定》等有关规 定，结合本市实际，制定本裁量基准。   二、本市公安机关依据《中华人民共和国网络安全法》（以下简称《网络安全法》）《中 华人民共和国计算机信息系统安全保护条例》（以下简称《信息系统安全保护条例》）、《互 联网上网服务营业场所管理条例》（以下简称《上网场所管理条例》）、《计算机信息网络 国际联网安全保护管理办法》（以下简称《联网安全管理办法》）等规定作出行政处罚决定 的，适用本裁量基准。   三、对违反公安机关网络安全管理行为的处罚，必须以事实为依据，与违法行为的事实、 性质、情节以及社会危害程度相当。   四、违法行为人有下列情形之一的，应当依法从轻或者减轻行政处罚：   （一）主动消除或者减轻违法行为危害后果的；   （二）受他人胁迫或者诱骗实施违法行为的；   （三）配合行政机关查处违法行为有立功表现的；   （四）其他依法从轻或者减轻行政处罚的。   违法行为轻微并及时改正，没有造成危害后果的，不予行政处罚。   违法行为人有下列情形之一的，应当从重处罚：   （一）违法情节恶劣，造成严重后果的；   （二）经公安机关责令改正违法行为后，继续实施违法行为的；   （三）隐匿、销毁违法行为证据的；   （四）共同违法行为中起主要作用或者教唆、胁迫、诱骗他人实施违法行为的；   （五）多次实施违法行为的；   （六）对报案人、控告人、举报人、证人等打击报复的；   （七）一年内因同类违法行为受到两次以上公安行政处罚的；   （八）妨碍执法人员查处违法行为的。   从轻、减轻、从重处罚和不予处罚应有证据证明，并将相关证据材料附卷。   第二章 裁量基准   一、网络运营者不履行网络安全保护义务   【法律依据】   《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络 安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权 的访问，防止网络数据泄露或者被窃取、篡改：   （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责 任；   （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；   （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关 的网络日志不少于六个月；   （四）采取数据分类、重要数据备份和加密等措施；   （五）法律、行政法规规定的其他义务。   第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病 毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案， 采取相应的补救措施，并按照规定向有关主管部门报告。   第五十九条第一款网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护 义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的， 处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。   【裁量基准】   初次违反规定，且未导致危害网络安全等后果的，责令改正，给予警告。   有下列情形之一的，处一万元以上五万元以下罚款，对直接负责的主管人员处五千元以 上两万元以下罚款：   （一）拒不改正的；   （二）导致危害网络安全等后果的；   （三）在发生危害网络安全的事件时，未立即启动应急预案，或者未采取相应的补救措 施，或者未按照规定向有关主管部门报告的；   （四）对国家安全、社会秩序和公共利益造成较重影响后果，影响人民群众工作、生活 或者造成较大经济损失的。   有下列情形之一的，处五万元以上十万元以下罚款，对直接负责的主管人员处两万元以 上五万元以下罚款：   （一）拒不改正且导致危害网络安全等后果，或者因不履行网络安全保护义务被罚款后 一年内再次被查获的；   （二）未履行《网络安全法》第二十一条规定的多项网络安全保护义务，导致危害网络 安全等后果的；   （三）在发生危害网络安全的事件时，未立即启动应急预案，且未采取相应的补救措施， 且未按照规定向有关主管部门报告的；   （四）致使网络系统被攻击篡改，导致被张贴违法有害信息，造成不良社会影响的；   （五）导致刑事案件证据灭失的；   （六）对国家安全、社会秩序和公共利益造成严重影响后果，严重影响人民群众工作、 生活或者造成重大经济损失的。   二、关键信息基础设施的运营者不履行网络安全保护义务   【法律依据】   《网络安全法》第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续 运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。   第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安 全保护义务：   （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行 安全背景审查；   （二）定期对从业人员进行网络安全教育、技术培训和技能考核；   （三）对重要系统和数据库进行容灾备份；   （四）制定网络安全事件应急预案，并定期进行演练；   （五）法律、行政法规规定的其他义务。   第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签 订安全保密协议，明确安全和保密义务与责任。   第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络 的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送 相关负责关键信息基础设施安全保护工作的部门。   第五十九条第二款关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第 三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的 主管人员处一万元以上十万元以下罚款。   【裁量基准】   初次违反规定，且未导致危害网络安全等后果的，责令改正，给予警告。   有下列情形之一的，处十万元以上五十万元以下罚款，对直接负责的主管人员处一万元 以上五万元以下罚款：   （一）拒不改正的；   （二）导致危害网络安全等后果的；   （三）未履行第三十三条、第三十四条、第三十六条、第三十八条规定的两项网络安全 保护义务，导致危害网络安全等后果的；   （四）对国家安全、社会秩序和公共利益造成较重影响后果，影响人民群众工作、生活 或者造成较大经济损失的。   有下列情形之一的，处五十万元以上一百万元以下罚款，对直接负责的主管人员处五万 元以上十万元以下罚款：   （一）拒不改正且导致危害网络安全等后果，或者因不履行网络安全保护义务被罚款后 一年内再次被查获的；   （二）未履行第三十三条、第三十四条、第三十六条、第三十八条规定的多项网络安全 保护义务，导致危害网络安全等后果的；   （三）致使网络系统被攻击篡改，导致被张贴违法有害信息，造成不良社会影响的；   （四）导致刑事案件证据灭失的；   （五）对国家安全、社会秩序和公共利益造成严重影响后果，严重影响人民群众工作、 生活或者造成重大经济损失的。   三、设置恶意程序；未按规定告知、报告安全风险   【法律依据】   《网络安全法》第二十二条第一款网络产品、服务应当符合相关国家标准的强制性要求。 网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等 风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。   第二十二条第二款网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在 规定或者当事人约定的期限内，不得终止提供安全维护。   第四十八条第一款任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程 序，不得含有法律、行政法规禁止发布或者传输的信息。   第六十条违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之 一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处 五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：   （一）设置恶意程序的；   （二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照 规定及时告知用户并向有关主管部门报告的；   （三）擅自终止为其产品、服务提供安全维护的。   【裁量基准】   初次违反规定，且未导致危害网络安全等后果的，责令改正，给予警告。   有下列情形之一的，处五万元以上二十五万元以下罚款，对直接负责的主管人员处一万 元以上五万元以下罚款：   （一）拒不改正的；   （二）导致危害网络安全等后果的；   （三）对国家安全、社会秩序和公共利益造成较重影响后果，影响人民群众工作、生活 或者造成较大经济损失的。   有下列情形之一的，处二十五万元以上五十万元以下罚款，对直接负责的主管人员处五 万元以上十万元以下罚款：   （一）拒不改正且导致危害网络安全等后果，或者因设置恶意程序、未按规定告知、报 告安全风险被罚款后一年内再次被查获的；   （二）发现其网络产品、服务存在安全缺陷、漏洞等风险时，未立即采取补救措施，且 未按照规定及时告知用户并向有关主管部门报告的，同时拒不改正或者导致危害网络安全等 后果的；   （三）对国家安全、社会秩序和公共利益造成严重影响后果，严重影响人民群众工作、 生活或者造成重大经济损失的。   四、网络运营者不履行身份信息核验义务   【法律依据】   《网络安全法》第二十四条第一款网络运营者为用户办理网络接入、域名注册服务，办 理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户 签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息 的，网络运营者不得为其提供相关服务。   第六十一条网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息， 或者对不提供真实身份信息的用户提供相关服