人民網北京9月18日電 (記者梁秋坪、郝萍)今年以來,為進一步健全網絡空間安全綜合治理體系,按照公安部部署要求,各地公安機關深入推進“護網—2025”專項工作,聚焦人民群眾反映強烈的網絡和數據安全問題,堅持打管銜接,持續加大監管和集中整治力度,以實際行動捍衛網絡空間安全。今日,公安部網安局公布6起不履行網絡安全、數據安全、個人信息保護義務的行政執法典型案例。
案例一、貴州公安機關偵辦的某政務服務系統未采取技術防護措施被網絡攻擊案
2025年5月,貴州某單位政務服務系統遭網絡攻擊,被涉詐犯罪嫌疑人利用,造成群眾財產損失400余萬元。貴州公安機關網安部門查明該系統運營者、承建方、運維方等未落實網絡安全主體責任,未采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,未采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,未按規定留存網絡日志,未及時處置系統漏洞等安全風險,造成嚴重后果。當地政府部門已依法對該單位直接負責的主管人員和其他直接責任人給予處分,當地公安機關已依法對系統承建方、運維方等予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。
安全提示
《網絡安全法》第七十二條規定,國家機關政務網絡的運營者不履行本法規定的網絡安全義務的,由其上級機關或者有關機關責令改正,對直接負責的主管人員和其他直接責任人員依法給予處分。供應鏈企業作為網絡安全的重要參與者,必須切實履行網絡安全保護義務,加強網絡安全管理,提升網絡安全防護能力。公安機關將繼續加強對重要單位和系統的供應鏈安全評估,依法嚴厲查處各類網絡安全違法行為。
案例二、江蘇公安機關偵辦的某短信平臺未采取技術防護措施被網絡攻擊案
2025年5月,江蘇蘇州吳江某公司建設的短信群發系統被攻擊冒用,并發送詐騙短信27000余條。江蘇公安機關網安部門查明因相關短信群發平臺未進行等保備案測評,未采取技術防護措施,導致被犯罪嫌疑人攻擊控制,短信服務被冒用濫發。當地公安機關已依法對該系統建設運維方予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。
安全提示
網絡安全等級保護制度是法律要求,是維護國家網絡空間主權的關鍵,是保障公共服務穩定的基礎,是降低企業安全風險、保護權益的必要措施。網絡運營者通過開展等級保護工作可以發現系統內部的安全隱患與不足之處,可提升系統的安全防護能力,降低被網絡攻擊的風險。
案例三、河南公安機關偵辦的某學校系統遭攻擊導致數據泄露案
2025年3月,不法分子在境外網上兜售舞鋼市某學校個人信息數據。河南公安機關網安部門查明,相關數據泄露源頭為該校智慧刷卡計費系統。由于該系統存在高危漏洞且數據未采取加密存儲,系統未設置訪問控制、安全認證等技術措施,導致系統數據被犯罪嫌疑人網絡攻擊竊取,且該校在委托第三方公司處理業務數據和個人信息時,未在合同中明確接收方的數據安全保護義務并監督其履約。當地公安機關已依法對該校予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。
安全提示
學校等教育機構收集處理的個人信息多且敏感,一旦泄露,可能被不法分子用于詐騙、非法信貸等違法犯罪活動,嚴重威脅學生群體財產和人身安全。學校作為數據處理者,應健全數據分類分級保護制度,針對數據采集、存儲、傳輸等環節采取專用安全防護措施,強化網絡邊界防護,形成體系化、層次化網絡和數據安全防護能力,保障網絡和數據安全。
案例四、安徽公安機關偵辦的某電子商務公司旅客購票信息泄露案
2025年5月,安徽合肥某電子商務有限公司旗下網站內的旅客購票信息遭泄露。安徽公安機關網安部門查明,由于該公司網絡和數據安全保護意識薄弱,未制定網絡安全管理制度和個人信息保護制度,未開展等級保護工作,未按規定要求留存網絡日志數據,未采取技術防護措施,未及時處置系統漏洞風險,導致相關數據被犯罪嫌疑人批量爬取。當地公安機關已依法對該公司予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。
安全提示
“高危漏洞、高危端口、弱口令”風險問題將導致網絡系統在黑客面前“不設防”,可能被黑客攻擊利用導致信息泄露、系統崩潰、權限被非法獲取等嚴重后果。《網絡安全法》規定,網絡運營者應履行網絡安全保護義務,制定網絡安全事件應急預案,及時處置計算機病毒、系統漏洞、網絡入侵等安全風險。
案例五、云南公安機關偵辦的某科技公司APP數據泄露案
2025年4月,云南公安機關網安部門集中開展侵犯公民個人信息打擊整治工作,打掉一批侵犯公民信息的犯罪團伙,查明部分公民個人信息數據泄露源頭為云南某科技有限公司開發的“通訊錄”APP。經查,該公司因內部管理混亂,缺乏用戶身份信息核對機制,對公民信息數據未盡到保護責任,保護措施不力,導致大量公民個人信息泄露,被犯罪嫌疑人非法獲取并販賣。當地公安機關已依法對該公司和實際負責人予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。
安全提示
網絡運營者、數據處理者必須嚴格落實安全主體責任,健全完善內部管理制度,落實網絡和數據最小訪問原則和多因素認證措施,強化員工安全培訓,提升安全意識,筑牢網絡和數據安全防線。
案例六、上海公安機關辦理的某跨國公司不履行個人信息保護義務案
2025年5月,多家媒體報道境外某時尚消費品牌發生數據泄露事件,中國大陸地區用戶也陸續收到該公司警示短信。上海公安機關網安部門查明,該品牌中國公司未通過數據出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證,違規向境外總部傳輸用戶個人信息,未向用戶充分告知其個人信息境外接收方的處理方式,未取得用戶“單獨同意”,未對收集的個人信息采取加密、去標識化等安全技術措施。當地公安機關已依法對該公司予以行政處罰并責令限期改正。
安全提示
公民個人信息受法律保護。請個人信息處理者以此案為鑒,遵循合法、正當、必要和誠信原則,落實《個人信息保護法》關于個人信息處理、跨境提供相關規定,規范個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動,切實保護用戶個人信息安全。