人民網(wǎng)北京9月18日電 （記者梁秋坪、郝萍）今年以來，為進一步健全網(wǎng)絡(luò)空間安全綜合治理體系，按照公安部部署要求，各地公安機關(guān)深入推進“護網(wǎng)—2025”專項工作，聚焦人民群眾反映強烈的網(wǎng)絡(luò)和數(shù)據(jù)安全問題，堅持打管銜接，持續(xù)加大監(jiān)管和集中整治力度，以實際行動捍衛(wèi)網(wǎng)絡(luò)空間安全。今日，公安部網(wǎng)安局公布6起不履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護義務(wù)的行政執(zhí)法典型案例。

案例一、貴州公安機關(guān)偵辦的某政務(wù)服務(wù)系統(tǒng)未采取技術(shù)防護措施被網(wǎng)絡(luò)攻擊案

2025年5月，貴州某單位政務(wù)服務(wù)系統(tǒng)遭網(wǎng)絡(luò)攻擊，被涉詐犯罪嫌疑人利用，造成群眾財產(chǎn)損失400余萬元。貴州公安機關(guān)網(wǎng)安部門查明該系統(tǒng)運營者、承建方、運維方等未落實網(wǎng)絡(luò)安全主體責(zé)任，未采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，未采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，未按規(guī)定留存網(wǎng)絡(luò)日志，未及時處置系統(tǒng)漏洞等安全風(fēng)險，造成嚴(yán)重后果。當(dāng)?shù)卣块T已依法對該單位直接負(fù)責(zé)的主管人員和其他直接責(zé)任人給予處分，當(dāng)?shù)毓矙C關(guān)已依法對系統(tǒng)承建方、運維方等予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

《網(wǎng)絡(luò)安全法》第七十二條規(guī)定，國家機關(guān)政務(wù)網(wǎng)絡(luò)的運營者不履行本法規(guī)定的網(wǎng)絡(luò)安全義務(wù)的，由其上級機關(guān)或者有關(guān)機關(guān)責(zé)令改正，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。供應(yīng)鏈企業(yè)作為網(wǎng)絡(luò)安全的重要參與者，必須切實履行網(wǎng)絡(luò)安全保護義務(wù)，加強網(wǎng)絡(luò)安全管理，提升網(wǎng)絡(luò)安全防護能力。公安機關(guān)將繼續(xù)加強對重要單位和系統(tǒng)的供應(yīng)鏈安全評估，依法嚴(yán)厲查處各類網(wǎng)絡(luò)安全違法行為。

案例二、江蘇公安機關(guān)偵辦的某短信平臺未采取技術(shù)防護措施被網(wǎng)絡(luò)攻擊案

2025年5月，江蘇蘇州吳江某公司建設(shè)的短信群發(fā)系統(tǒng)被攻擊冒用，并發(fā)送詐騙短信27000余條。江蘇公安機關(guān)網(wǎng)安部門查明因相關(guān)短信群發(fā)平臺未進行等保備案測評，未采取技術(shù)防護措施，導(dǎo)致被犯罪嫌疑人攻擊控制，短信服務(wù)被冒用濫發(fā)。當(dāng)?shù)毓矙C關(guān)已依法對該系統(tǒng)建設(shè)運維方予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

網(wǎng)絡(luò)安全等級保護制度是法律要求，是維護國家網(wǎng)絡(luò)空間主權(quán)的關(guān)鍵，是保障公共服務(wù)穩(wěn)定的基礎(chǔ)，是降低企業(yè)安全風(fēng)險、保護權(quán)益的必要措施。網(wǎng)絡(luò)運營者通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可提升系統(tǒng)的安全防護能力，降低被網(wǎng)絡(luò)攻擊的風(fēng)險。

案例三、河南公安機關(guān)偵辦的某學(xué)校系統(tǒng)遭攻擊導(dǎo)致數(shù)據(jù)泄露案

2025年3月，不法分子在境外網(wǎng)上兜售舞鋼市某學(xué)校個人信息數(shù)據(jù)。河南公安機關(guān)網(wǎng)安部門查明，相關(guān)數(shù)據(jù)泄露源頭為該校智慧刷卡計費系統(tǒng)。由于該系統(tǒng)存在高危漏洞且數(shù)據(jù)未采取加密存儲，系統(tǒng)未設(shè)置訪問控制、安全認(rèn)證等技術(shù)措施，導(dǎo)致系統(tǒng)數(shù)據(jù)被犯罪嫌疑人網(wǎng)絡(luò)攻擊竊取，且該校在委托第三方公司處理業(yè)務(wù)數(shù)據(jù)和個人信息時，未在合同中明確接收方的數(shù)據(jù)安全保護義務(wù)并監(jiān)督其履約。當(dāng)?shù)毓矙C關(guān)已依法對該校予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

學(xué)校等教育機構(gòu)收集處理的個人信息多且敏感，一旦泄露，可能被不法分子用于詐騙、非法信貸等違法犯罪活動，嚴(yán)重威脅學(xué)生群體財產(chǎn)和人身安全。學(xué)校作為數(shù)據(jù)處理者，應(yīng)健全數(shù)據(jù)分類分級保護制度，針對數(shù)據(jù)采集、存儲、傳輸?shù)拳h(huán)節(jié)采取專用安全防護措施，強化網(wǎng)絡(luò)邊界防護，形成體系化、層次化網(wǎng)絡(luò)和數(shù)據(jù)安全防護能力，保障網(wǎng)絡(luò)和數(shù)據(jù)安全。

案例四、安徽公安機關(guān)偵辦的某電子商務(wù)公司旅客購票信息泄露案

2025年5月，安徽合肥某電子商務(wù)有限公司旗下網(wǎng)站內(nèi)的旅客購票信息遭泄露。安徽公安機關(guān)網(wǎng)安部門查明，由于該公司網(wǎng)絡(luò)和數(shù)據(jù)安全保護意識薄弱，未制定網(wǎng)絡(luò)安全管理制度和個人信息保護制度，未開展等級保護工作，未按規(guī)定要求留存網(wǎng)絡(luò)日志數(shù)據(jù)，未采取技術(shù)防護措施，未及時處置系統(tǒng)漏洞風(fēng)險，導(dǎo)致相關(guān)數(shù)據(jù)被犯罪嫌疑人批量爬取。當(dāng)?shù)毓矙C關(guān)已依法對該公司予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

“高危漏洞、高危端口、弱口令”風(fēng)險問題將導(dǎo)致網(wǎng)絡(luò)系統(tǒng)在黑客面前“不設(shè)防”，可能被黑客攻擊利用導(dǎo)致信息泄露、系統(tǒng)崩潰、權(quán)限被非法獲取等嚴(yán)重后果?！毒W(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者應(yīng)履行網(wǎng)絡(luò)安全保護義務(wù)，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置計算機病毒、系統(tǒng)漏洞、網(wǎng)絡(luò)入侵等安全風(fēng)險。

案例五、云南公安機關(guān)偵辦的某科技公司APP數(shù)據(jù)泄露案

2025年4月，云南公安機關(guān)網(wǎng)安部門集中開展侵犯公民個人信息打擊整治工作，打掉一批侵犯公民信息的犯罪團伙，查明部分公民個人信息數(shù)據(jù)泄露源頭為云南某科技有限公司開發(fā)的“通訊錄”APP。經(jīng)查，該公司因內(nèi)部管理混亂，缺乏用戶身份信息核對機制，對公民信息數(shù)據(jù)未盡到保護責(zé)任，保護措施不力，導(dǎo)致大量公民個人信息泄露，被犯罪嫌疑人非法獲取并販賣。當(dāng)?shù)毓矙C關(guān)已依法對該公司和實際負(fù)責(zé)人予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

網(wǎng)絡(luò)運營者、數(shù)據(jù)處理者必須嚴(yán)格落實安全主體責(zé)任，健全完善內(nèi)部管理制度，落實網(wǎng)絡(luò)和數(shù)據(jù)最小訪問原則和多因素認(rèn)證措施，強化員工安全培訓(xùn)，提升安全意識，筑牢網(wǎng)絡(luò)和數(shù)據(jù)安全防線。

案例六、上海公安機關(guān)辦理的某跨國公司不履行個人信息保護義務(wù)案

2025年5月，多家媒體報道境外某時尚消費品牌發(fā)生數(shù)據(jù)泄露事件，中國大陸地區(qū)用戶也陸續(xù)收到該公司警示短信。上海公安機關(guān)網(wǎng)安部門查明，該品牌中國公司未通過數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同或通過個人信息保護認(rèn)證，違規(guī)向境外總部傳輸用戶個人信息，未向用戶充分告知其個人信息境外接收方的處理方式，未取得用戶“單獨同意”，未對收集的個人信息采取加密、去標(biāo)識化等安全技術(shù)措施。當(dāng)?shù)毓矙C關(guān)已依法對該公司予以行政處罰并責(zé)令限期改正。

安全提示

公民個人信息受法律保護。請個人信息處理者以此案為鑒，遵循合法、正當(dāng)、必要和誠信原則，落實《個人信息保護法》關(guān)于個人信息處理、跨境提供相關(guān)規(guī)定，規(guī)范個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動，切實保護用戶個人信息安全。