公安部公布!护网—2025专项工作6起行政执法典型案例
今年至今,为更好完善网络空间安全治理机制,依照公安部门下达的指令,各地区公安机关持续深化“护网—2025”专项活动,着重处理民众普遍关切的网络及数据安全难题,注重打击与管理的协同配合,不断强化监督和集中处理,以切实行动守护网络空间安全。现在,公安部的网络安全管理局公布了六个没有执行网络安全、数据安全、个人资料保护责任的行政案例。
贵州公安机关查处的一起涉及政务服务系统的事件,该系统缺乏必要的安全防护,遭受了网络入侵,具体情况如下
2025年5月,贵州某机构的公共服务平台遭遇网络入侵,有不法分子借机作案,导致民众经济损失超过四百万元。贵州省公安网络安全管理部门查实,该系统负责运营的单位、承建单位以及维护单位等没有履行网络安全的主要责任,没有运用技术手段来防止计算机病毒和网络攻击、网络入侵等危害网络安全的行为,没有采取监测和记录网络运行状况、网络安全事件的技术措施,没有依照规定保存网络运行记录,没有迅速处理系统存在的漏洞等安全风险,因此导致了严重的后果。当地政府部门依照法规,已对这单位直接负责的领导人员及其他直接涉事者实施惩处,当地公安机关依照法规,已对系统承建方、运维方等实施行政处罚,并要求其限期修正。涉案人员依照法规,已移交另案审理。
安全提示
《网络安全法》第七十二条规定,若国家机关政务网络运营者未履行本法规定的网络安全责任,则由其上级单位或相关单位责令其纠正,并对直接负责的主管人员及其他直接责任者依法进行惩处。供应链企业是网络安全的关键角色,必须切实担当起网络安全防护的职责,强化网络安全管理,增强网络安全防御水平。公安部门将不断强化对关键组织及网络基础设施的物料供应安全审查,依据法规坚决打击所有网络犯罪活动。
案例二、江苏公安机关查处的一起短信平台遭黑客入侵事件该平台未设置安全防护机制
2025年5月,苏州吴江某企业所建短信批量发送平台遭非法入侵,并对外发送欺诈信息超两万七千条。江苏省公安网络安全部门经查,确认该平台因未履行等级保护测评手续,且未部署必要的安全防护手段,才被违法人员攻破并操控,致使短信服务遭到滥用。目前,当地公安机关已依法对平台的建设及管理单位实施行政处罚,并要求其在规定时间内完成整改。[]
安全提示
网络安全等级保护制度具有法律约束力,关乎国家网络空间主权的维护,是保障公共服务平稳运行的根本,也是减少企业安全威胁、维护自身利益的重要手段。网络管理者借助等级保护工作,能够识别系统内部存在的安全漏洞与薄弱环节,有助于增强系统的安全防御水平,从而降低遭受网络侵袭的可能性。
案例三、河南公安机关侦办的某学校系统遭攻击导致数据泄露案
二零二五年三月,有非法人员于海外网络平台售卖舞钢市某教育机构的资料信息。河南省公安网络安全管理部门经过调查,确认这些资料外泄的渠道是该机构的智能刷卡收费系统。该系统存在严重安全缺陷,且信息未做加密处理,缺乏访问权限管理和安全验证机制,致使系统信息遭犯罪分子网络入侵盗取,另外学校在委托外部机构处理业务数据和个人资料时,合同里没有规定接收方的数据安全责任,也没有监督其执行情况,当地公安机关已依法对学校进行处罚并要求其整改,犯罪分子也依法另行处理
安全提示
学校及各类教育组织掌握的学生资料数量庞大且涉及隐私,一旦外泄,极易被不法之徒利用进行欺诈、非法放贷等违法行为,从而对学生群体的财产与人身安全构成重大风险。教育机构作为信息管理者,须完善资料划分与分级管控机制,对信息获取、存放、流转等阶段部署专业安全举措,加强系统边界防御,建立体系化、阶梯式网络与资料安全屏障,确保系统与资料安全可靠。
案例四、安徽公安机关侦办的某电子商务公司旅客购票信息泄露案
2025年5月,位于安徽合肥的一家电子商务公司,其运营的网站出现了旅客购票资料的外泄事件。安徽省公安网络安全管理部门经过调查,发现该企业对网络与数据安全重视不足,既没有建立网络安全管理规范,也未制定个人信息保护规范,没有执行等级保护工作,没有依照规定保存网络日志资料,没有应用技术防护手段,也没有迅速处理系统漏洞隐患,因而造成相关资料被犯罪分子大量窃取。当地公安机关已依法对该企业实施行政处罚,并要求其在规定时间内完成整改。犯罪嫌疑人已依法另案处理。
安全提示
网络安全中存在高危漏洞、高危端口、弱口令等问题,会使网络系统失去防护能力,容易被黑客入侵,进而造成信息外泄、系统瘫痪、非法获取权限等不良影响。《网络安全法》明确要求,网络服务提供方必须承担安全保护责任,需要制定安全事件应对方案,并且要迅速处理计算机病毒、系统缺陷、网络渗透等安全威胁。
案例五、云南公安机关侦办的某科技公司APP数据泄露案
二零二五年四月,云南省公安系统网络安全单位展开针对侵害民众个人隐私的专项治理,摧毁了数个实施此类犯罪的组织,经查证,部分民众个人资料遭泄露的源头系云南某科技企业制作的“通讯录”软件程序。经过调查,该公司内部管理存在严重问题,没有建立用户身份信息的验证流程,对于公民信息数据的保护工作没有做到位,安全防范措施存在缺陷,因而造成众多公民的个人资料遭到外泄,这些信息被犯罪分子盗取并转卖。当地公安机关已经依据相关法规对该公司及实际控制人实施了行政处罚,并要求其在规定时间内进行整改。与此案无关的犯罪嫌疑人已经被另外立案处理。
安全提示
网络管理者、信息处理方必须切实履行安全职责,建立并完善内部管理规范,执行网络和信息最小权限原则,同时应用多重身份验证手段,加强员工安全教育,增强安全防范意识,从而构建坚实的网络与信息安全屏障。
案例六、上海当局处置的某个国际企业违背个人资料管理责任事件
2025年5月,一些媒体透露了海外某个知名时尚品牌遭遇了信息失窃的情况,接着,在中国大陆,许多客户陆续收到了这家公司的提醒短讯。上海公安机关网络安全管理部门经过调查,发现该品牌的中国公司存在多项违规行为,包括没有通过数据出境安全评估,也没有签订个人信息出境标准合同或获得个人信息保护认证,违法将用户个人信息传输至境外总部,没有充分告知用户其个人信息在境外接收方的处理方式,没有取得用户的单独同意,同时也没有对收集到的个人信息实施加密或去标识化等安全技术措施。当地公安机关已依法对该公司予以行政处罚并责令限期改正。
安全提示
个人隐私依法受到保护。个人信息管理者应当引以为戒,依照合法、公平、合理及诚实信用标准,执行《个人信息保护法》中关于信息处理及境外提供的条款,严格管理个人资料获取、保存、应用、处置、流转、披露、公布、移除等各个环节,确保用户隐私安全真正实现。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权本站发表,未经许可,不得转载。
