人民網北京9月18日電 （記者梁秋坪、郝萍）今年以來，為進一步健全網絡空間安全綜合治理體系，按照公安部部署要求，各地公安機關深入推進“護網—2025”專項工作，聚焦人民群眾反映強烈的網絡和數(shù)據(jù)安全問題，堅持打管銜接，持續(xù)加大監(jiān)管和集中整治力度，以實際行動捍衛(wèi)網絡空間安全。今日，公安部網安局公布6起不履行網絡安全、數(shù)據(jù)安全、個人信息保護義務的行政執(zhí)法典型案例。

案例一、貴州公安機關偵辦的某政務服務系統(tǒng)未采取技術防護措施被網絡攻擊案

2025年5月，貴州某單位政務服務系統(tǒng)遭網絡攻擊，被涉詐犯罪嫌疑人利用，造成群眾財產損失400余萬元。貴州公安機關網安部門查明該系統(tǒng)運營者、承建方、運維方等未落實網絡安全主體責任，未采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施，未采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，未按規(guī)定留存網絡日志，未及時處置系統(tǒng)漏洞等安全風險，造成嚴重后果。當?shù)卣块T已依法對該單位直接負責的主管人員和其他直接責任人給予處分，當?shù)毓矙C關已依法對系統(tǒng)承建方、運維方等予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

《網絡安全法》第七十二條規(guī)定，國家機關政務網絡的運營者不履行本法規(guī)定的網絡安全義務的，由其上級機關或者有關機關責令改正，對直接負責的主管人員和其他直接責任人員依法給予處分。供應鏈企業(yè)作為網絡安全的重要參與者，必須切實履行網絡安全保護義務，加強網絡安全管理，提升網絡安全防護能力。公安機關將繼續(xù)加強對重要單位和系統(tǒng)的供應鏈安全評估，依法嚴厲查處各類網絡安全違法行為。

案例二、江蘇公安機關偵辦的某短信平臺未采取技術防護措施被網絡攻擊案

2025年5月，江蘇蘇州吳江某公司建設的短信群發(fā)系統(tǒng)被攻擊冒用，并發(fā)送詐騙短信27000余條。江蘇公安機關網安部門查明因相關短信群發(fā)平臺未進行等保備案測評，未采取技術防護措施，導致被犯罪嫌疑人攻擊控制，短信服務被冒用濫發(fā)。當?shù)毓矙C關已依法對該系統(tǒng)建設運維方予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

網絡安全等級保護制度是法律要求，是維護國家網絡空間主權的關鍵，是保障公共服務穩(wěn)定的基礎，是降低企業(yè)安全風險、保護權益的必要措施。網絡運營者通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內部的安全隱患與不足之處，可提升系統(tǒng)的安全防護能力，降低被網絡攻擊的風險。

案例三、河南公安機關偵辦的某學校系統(tǒng)遭攻擊導致數(shù)據(jù)泄露案

2025年3月，不法分子在境外網上兜售舞鋼市某學校個人信息數(shù)據(jù)。河南公安機關網安部門查明，相關數(shù)據(jù)泄露源頭為該校智慧刷卡計費系統(tǒng)。由于該系統(tǒng)存在高危漏洞且數(shù)據(jù)未采取加密存儲，系統(tǒng)未設置訪問控制、安全認證等技術措施，導致系統(tǒng)數(shù)據(jù)被犯罪嫌疑人網絡攻擊竊取，且該校在委托第三方公司處理業(yè)務數(shù)據(jù)和個人信息時，未在合同中明確接收方的數(shù)據(jù)安全保護義務并監(jiān)督其履約。當?shù)毓矙C關已依法對該校予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

學校等教育機構收集處理的個人信息多且敏感，一旦泄露，可能被不法分子用于詐騙、非法信貸等違法犯罪活動，嚴重威脅學生群體財產和人身安全。學校作為數(shù)據(jù)處理者，應健全數(shù)據(jù)分類分級保護制度，針對數(shù)據(jù)采集、存儲、傳輸?shù)拳h(huán)節(jié)采取專用安全防護措施，強化網絡邊界防護，形成體系化、層次化網絡和數(shù)據(jù)安全防護能力，保障網絡和數(shù)據(jù)安全。

案例四、安徽公安機關偵辦的某電子商務公司旅客購票信息泄露案

2025年5月，安徽合肥某電子商務有限公司旗下網站內的旅客購票信息遭泄露。安徽公安機關網安部門查明，由于該公司網絡和數(shù)據(jù)安全保護意識薄弱，未制定網絡安全管理制度和個人信息保護制度，未開展等級保護工作，未按規(guī)定要求留存網絡日志數(shù)據(jù)，未采取技術防護措施，未及時處置系統(tǒng)漏洞風險，導致相關數(shù)據(jù)被犯罪嫌疑人批量爬取。當?shù)毓矙C關已依法對該公司予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

“高危漏洞、高危端口、弱口令”風險問題將導致網絡系統(tǒng)在黑客面前“不設防”，可能被黑客攻擊利用導致信息泄露、系統(tǒng)崩潰、權限被非法獲取等嚴重后果?！毒W絡安全法》規(guī)定，網絡運營者應履行網絡安全保護義務，制定網絡安全事件應急預案，及時處置計算機病毒、系統(tǒng)漏洞、網絡入侵等安全風險。

案例五、云南公安機關偵辦的某科技公司APP數(shù)據(jù)泄露案

2025年4月，云南公安機關網安部門集中開展侵犯公民個人信息打擊整治工作，打掉一批侵犯公民信息的犯罪團伙，查明部分公民個人信息數(shù)據(jù)泄露源頭為云南某科技有限公司開發(fā)的“通訊錄”APP。經查，該公司因內部管理混亂，缺乏用戶身份信息核對機制，對公民信息數(shù)據(jù)未盡到保護責任，保護措施不力，導致大量公民個人信息泄露，被犯罪嫌疑人非法獲取并販賣。當?shù)毓矙C關已依法對該公司和實際負責人予以行政處罰并責令限期改正。犯罪嫌疑人已依法另案處理。

安全提示

網絡運營者、數(shù)據(jù)處理者必須嚴格落實安全主體責任，健全完善內部管理制度，落實網絡和數(shù)據(jù)最小訪問原則和多因素認證措施，強化員工安全培訓，提升安全意識，筑牢網絡和數(shù)據(jù)安全防線。

案例六、上海公安機關辦理的某跨國公司不履行個人信息保護義務案

2025年5月，多家媒體報道境外某時尚消費品牌發(fā)生數(shù)據(jù)泄露事件，中國大陸地區(qū)用戶也陸續(xù)收到該公司警示短信。上海公安機關網安部門查明，該品牌中國公司未通過數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證，違規(guī)向境外總部傳輸用戶個人信息，未向用戶充分告知其個人信息境外接收方的處理方式，未取得用戶“單獨同意”，未對收集的個人信息采取加密、去標識化等安全技術措施。當?shù)毓矙C關已依法對該公司予以行政處罰并責令限期改正。

安全提示

公民個人信息受法律保護。請個人信息處理者以此案為鑒，遵循合法、正當、必要和誠信原則，落實《個人信息保護法》關于個人信息處理、跨境提供相關規(guī)定，規(guī)范個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動，切實保護用戶個人信息安全。