《安全內參&奇安信：2024網絡安全執法案例集（52頁）.pdf》由會員分享，可在線閱讀，更多相關《安全內參&奇安信：2024網絡安全執法案例集（52頁）.pdf（52頁珍藏版）》請在三個皮匠報告上搜索。

1、2024年9月2024網絡安全執法案例集發布機構：安全內參、奇安信行業安全研究中心報告簡介本報告由安全內參和奇安信行業安全研究中心聯合編寫，旨在結合具體執法案例，幫助網絡安全工作者、政企機構管理者加強網絡安全合規建設水平。報告收錄的全部案例，均來自安全內參收集整理的2023年2024年6月底互聯網公開信息，每頁案例備注部分均提供了相關新聞鏈接。您可以在安全內參官方網站上檢索相關新聞原文：https:/ 主體主體黑產團伙、政企機構違法違法/犯罪犯罪 性質性質數據篡改、建設運維管理疏失所屬行業所屬行業政府與事業單位影響范圍影響范圍政企機構利益關鍵詞關鍵詞信息系統數據遭篡改觸犯法條觸犯法條網絡安全法

2、第二十一、五十九條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2023年9月，天津公安南開分局網絡安全保衛支隊接到線索：轄區內某單位的重要信息系統數據遭到惡意篡改，嚴重危害網絡安全！南開分局網絡安全保衛支隊分析發現，該單位運營使用的信息系統存在多重問題：一是防范網絡侵入技術措施不完善，物理網絡環境內部存在監測漏洞；二是監測、記錄網絡運行狀態的網絡日志不足6個月；三是對于安全缺陷、漏洞等風險，該單位未立即采取補救措施亦未向有關部門報告，信息系統持續“帶病”運營，給了不法分子可乘之機。依據網絡安全法相關規定，南開分局對該單位及相關主管人員分別予以罰款5萬元的行政處罰。

3、法律鏈接法律鏈接據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。某政務系統測試期間泄露公民數據違法違法/犯罪犯罪 主體主體黑產團伙、政企機構違法違法/犯罪犯罪 性質性質數據竊取、建設運維管理疏失所屬行業所屬行業政府與事業單位影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條網絡安全法第二十一條、第二十二條數據安全法第四十二條個人信息保護法第五十七條機構責任

4、機構責任未履行安全管理義務涉及領域涉及領域數據安全案例回顧案例回顧2023年9月，上海網信部門發布一則案例。某政府信息系統技術承包商違規將政務數據置于互聯網進行測試期間，相關存儲端存在高危漏洞，導致大量公民數據泄露，以致成為境外不法分子竊取政務數據的“供應鏈”入口。經查，該公司租用1臺私有云服務器，存儲了大量公民信息和政務信息，涉及公民個人信息數據1.5萬余條。2022年7月，相關公民個人信息在境外黑客論壇被披露兜售。有關部門已要求該公司立即下線政府網站頁面、關閉相關云服務端口、配合開展網絡資產清查，并對該公司作出行政處罰。法律鏈接法律鏈接據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或

5、者被竊取、篡改。發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施。據數據安全法相關要求：網絡運營者不得泄露、篡改、毀損其收集的個人信息。據個人信息保護法相關要求：發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施。行業：能源能源央企行業綜述本次報告共收錄2023年能源央企行業網絡安全行政執法典型案例2起。其中1起案例是由于涉事企業存在建設運維管理疏失而遭到行政處罰，而另外一起案例則是黑產團伙的有組織犯罪，是通過制造作弊加油機，篡改系統數據，從而實現非法斂財的目的。本章節的信息來源為安全內參：https:/ 主體主體企業違法違法/犯罪犯罪 性質性質

6、建設運維管理疏失所屬行業所屬行業能源影響范圍影響范圍公眾利益關鍵詞關鍵詞存在數據泄露風險觸犯法條觸犯法條數據安全法第二十七、四十五條網絡安全法第二十一條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年3月，湖南省懷化市沅陵縣公安局網安部門在工作中發現轄區某燃氣公司繳費系統存有大量客戶姓名、電話、身份證號、家庭住址等敏感數據。經查，該公司辦公電腦未設置開機密碼，繳費系統賬號密碼均為弱口令，并且該企業未制定數據安全管理制度、未充分落實網絡安全等級保護制度。懷化沅陵縣公安局根據數據安全法第二十七條、第四十五條第一款之規定，給予該企業警告，并責令限期改正。法律鏈接據數據安全

7、法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。某公司破壞加油機信息系統案違法違法/犯罪犯罪 主體主體黑產團伙、內部人員違法違法/犯罪犯罪 性質性質篡改數據所屬行業所屬行業能源影響范圍影響范圍國家利益關鍵詞關鍵詞破壞加油機信息系統觸犯法條觸犯法條刑法第二百八十六條網絡安全法第二十一條機構責任機構責任未履行安全管理義務

8、涉及領域涉及領域數據安全案例回顧2023年3月，黑龍江大慶公安機關在聯合執法檢查中發現，轄區內某加油站移動加油車存在偷油功能。經查，涉案作弊移動加油機系浙江某公司生產，該公司在生產移動車載加油機過程中，勾連技術人員實現遙控加油機達到“缺斤少兩”功能。4月9日至25日，黑龍江大慶公安機關組織在共3省4市開展抓捕行動，先后抓獲關鍵環節犯罪嫌疑人26人，成功打掉一作弊移動加油機生產廠商，扣押作弊移動加油機主板2000余個。法律鏈接據刑法相關要求：違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年

9、以上有期徒刑。據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。行業：交通運輸交通運輸行業綜述本次報告共收錄交通運輸行業網絡安全執法典型案例3起。這三個案例都是典型的“非法入侵”事件，即黑客或內部人員使用非法手段篡改數據或獲取數據。具體問題包括：黑客非法入侵計算機，篡改數據，獲取信息；內部人員利用工作便利非法獲取數據，非法售賣個人信息。本章節的信息來源為安全內參：https:/ 主體主體企業違法違法/犯罪犯罪 性質性質非法盜賣個人信息所屬行業所屬行業交通運輸影響范圍影響范圍個人利益關鍵詞關鍵詞非法出售個人信息觸犯法條觸犯法條刑法第二百五十三條之一刑法修正案（七）第二百五十三

10、條機構責任機構責任未履行安全管理義務涉及領域涉及領域個人信息案例回顧2023年3月，佛山公安機關破獲一起非法盜賣公民個人信息案，抓獲犯罪嫌疑人47名，涉案金額300余萬元。經查，當地一家汽車服務公司為拓展汽車維修中介業務，勾結保險公司、拖車公司以及路政部門工作人員，非法獲取交通事故車主信息，并根據車輛品牌、事發地等聯系特定汽車4S店、汽修廠，通過各種好處誘導事故車主前往指定地點維修，賺取信息“中介”費用。相關汽車修理機構通過故意夸大損失、以換代修等方式侵害相關保險公司及車主利益。法律鏈接據刑法相關要求：違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并

11、處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。據刑法修正案（七）相關規定：國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人.某市新能源車“克隆”電池案違法違法/犯罪犯罪 主體主體黑產團伙違法違法/犯罪犯罪 性質性質數據篡改所屬行業所屬行業交通運輸影響范圍影響范圍公眾利益關鍵詞關鍵詞篡改能源電池數據觸犯法條觸犯法條 刑法 第二百八十六條網絡安全法第二十一條數據安全法第二十九條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年5月，上海公安機關發現

12、轄區某新能源車企動力電池數據存在異常。通過企業信息系統排查，有多個ID的動力電池在北京、江蘇、上海、福建等多地同時出現并使用的情況。經深入分析發現，這些ID號的車輛在之前都因交通事故而被后臺鎖住了電池組，無法充電和行駛，相關電池組內的數據極有可能被人為盜刷篡改，破解鎖定功能。此類被鎖定的故障電池重新上路行駛，極有可能引發電池短路甚至起火等高危情況，嚴重危害駕乘人員生命安全，造成極大交通安全隱患。法律鏈接據刑法相關要求：對計算機信息系統中存儲、處理或傳輸的數據和應用程序進行刪除、修改、增加的操作影響計算機系統的正常運行，后果嚴重的行為根據刑法給予處罰。據網絡安全法相關要求：網絡運營者應當防止網絡

13、數據泄露或者被竊取、篡改。據數據安全法相關要求：發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。交管系統遭“黃牛黨”入侵違法違法/犯罪犯罪 主體主體黑產團伙違法違法/犯罪犯罪 性質性質系統入侵所屬行業所屬行業交通運輸影響范圍影響范圍公眾利益關鍵詞關鍵詞非法入侵系統觸犯法條觸犯法條刑法第二百八十六條數據安全法第三十二條網絡安全法第二十七機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2023年10月消息，無錫江陰市檢察院辦理了一起破壞計算機信息系統案。10名犯罪嫌疑人均為二手車“黃?！?，他們通過非法手段，侵入某全國性交管平臺系統，為不

14、能正常過戶的二手車，非法辦理改綁手機號、補辦行駛證、補辦車牌等業務。主犯楊某婷，在河北戶籍地被警方抓獲，其他9名二手車“黃?！币蚕嗬^在山東、北京等省市落網。據刑法相關要求：違反國家規定，侵入計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，都應得到相應處罰。據數據安全法相關要求：任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。據網絡安全法相關要求：任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。行業：教育培訓教育培訓行業綜述本次報告共收錄2

15、023年至2024年上半年，教育培訓機構網絡安全執法典型案例4起。這4起案例均與安全漏洞有關，其中3起案例為數據泄露事件，數據泄露原因均為系統存在高危安全漏洞，且泄露數據均為個人信息。這些被泄露的信息，有的被黑產團伙在境外黑產平臺上售賣，有的則直接被詐騙團伙用于網絡詐騙。根據網絡安全法相關要求：“網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞”。網絡運營者缺乏對安全漏洞的有效運營和管理，被告知安全漏洞后不及時修復，都很容易使系統遭到攻擊，相關政企機構及主要責任人，也會一并遭到處罰。特別值得一提的是，其中1起案例，公安機關對某高校的行政處罰金額高達80萬元。這頁是本次報告收錄的單次處罰

16、金額最高的案例。本章節的信息來源為安全內參：https:/ 主體主體個人黑客、詐騙團伙、企業違法違法/犯罪犯罪 性質性質網絡詐騙、建設運維管理疏失所屬行業所屬行業教育培訓影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條刑法第二百八十六條網絡安全法第二十一條、第五十九條數據安全法第二十七條個人信息保護法第十條機構責任機構責任未履行法定安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2023年2月，多名在廈門某教育培訓機構學習的學員接到自稱是該機構工作人員的詐騙電話后報案。經查，犯罪嫌疑人朱某某利用系統漏洞，非法入侵該教育機構的辦公管理系統，竊取近兩萬條包含學號、姓名、手機號、

17、身份證號等內容的學員信息數據并售出，從中獲利1380元。當年8月，朱某某因犯侵犯公民個人信息罪，被判處有期徒刑9個月，緩刑1年，并處罰金4000元。目前，購買信息的違法人員正在進一步追查中。同時，思明公安分局網安隊對該案件采取“一案雙查”，啟動對該教育培訓機構網絡安全義務履行情況的監督檢查。法律鏈接據刑法相關要求：侵入計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據.。據網絡安全法相關要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊.。據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理

18、制度，組織開展數據安全教育培訓.據個人信息保護法相關要求：任何組織、個人不得非法買賣、提供或者公開他人個人信息。某軟件學校網站存在數據泄露風險違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業教育培訓影響范圍影響范圍公眾利益關鍵詞關鍵詞存在數據泄露風險觸犯法條觸犯法條數據安全法第二十七、四十五條網絡安全法第二十一條個人信息保護法第九條機構責任機構責任未履行法定安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2023年3月，株洲市公安局荷塘分局網安大隊接株洲市網絡與信息安全信息通報中心通報，株洲某軟件學校網站存在短文件名泄露漏洞。經網安大隊檢查發現，

19、該網站系統中存在大量學生姓名、身份證號、電話號碼、家庭住址等敏感信息，該學校未對前述數據采取應有的技術保護措施，未履行數據安全保護義務，存在數據泄露風險。株洲市公安局荷塘分局根據數據安全法第四十五條，給予該學校警告，并責令限期改正。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度.。據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。某中學路由器管理界面遭劫持篡改違法違法/犯罪犯罪 主體主體個人黑客、學校違法違法

20、/犯罪犯罪 性質性質非法入侵所屬行業所屬行業教育培訓影響范圍影響范圍公眾利益關鍵詞關鍵詞存在漏洞導致信息被篡改觸犯法條觸犯法條數據安全法第二十七條網絡安全法第二十一條、第五十九條機構責任機構責任未履行法定安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2023年7月，湖南省常德市公安局網技支隊接到上級線索，鼎城區某中學智慧校園系統路由器被黑客攻擊。經查，該校智慧校園系統I的路由器存在高危漏洞，已 被入侵劫持并篡改，登錄該路由器管理界面時會跳轉到劫持后的界面。進一步調查顯示：學校網絡安全意識淡薄，系統網絡安全防護不到位，存在未制定切實有效的網絡安全管理制度及應急處理方案、未按規定部署網絡日志

21、設備等多項違法行為。依據網絡安全法相關規定，鼎城區公安局對該校及相關主管人員分別依法予以罰款。對運維公司依法予以警告。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施.。據網絡安全法相關要求：網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。某高校發生大量數據泄露案件違法違法/犯罪犯罪 主體主體

22、黑產團伙、學校違法違法/犯罪犯罪 性質性質非法入侵所屬行業所屬行業教育培訓影響范圍影響范圍公眾利益關鍵詞關鍵詞敏感數據泄露并被售賣觸犯法條觸犯法條數據安全法第二十七，二十九條、四十五條網絡安全法第二十一條個人信息保護法第十條機構責任機構責任未履行法定安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2024年1月，南昌公安網安部門在工作中發現，南昌某高校3萬余條師生個人信息數據在境外互聯網上被公開售賣。涉案高校存儲教職工信息、學生信息、繳費信息等3000余萬條信息的數據庫被黑客非法入侵，其中3萬余條教職工、學生個人敏感信息數據被非法兜售。南昌公安網安部門對該學校作出責令改正、警告并處80萬元

23、人民幣罰款的處罰，對主要責任人作出人民幣5萬元罰款的處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。據網絡安全法相關要求：網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息行業：醫療衛生醫療衛生行業綜述本次報告共收錄2023年醫

24、療衛生行業網絡安全執法典型案例8起。醫療衛生行業的內鬼作案特征非常明顯。在8起案例中，有2起涉及內部人員監守自盜。其中1起為數據分析師作案，1起為醫院護工作案。醫院加強內部人員安全管理非常有必要。黑產團伙針對醫院的網絡攻擊活動也是多種多樣。有的是黃牛黨入侵系統，竊取數據，并利用黑客工具預約搶號。有的是利用AI換臉技術，冒充醫生盜刷醫?？?。此外，完全因為安全建設運維管理疏失而遭到處罰的案例也有四起。其中，醫院被定級為等保三級，卻未按要求進行等保測評的案例最值得其他醫院引以為戒。因為三級以上的醫院，其很多信息系統都會被定級在等保三級。本章節的信息來源為安全內參：https:/ 主體主體黑產團伙違法

25、違法/犯罪犯罪 性質性質盜刷醫保所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞黑產團伙盜刷他人醫保觸犯法條觸犯法條刑法第二百六十四條個人信息保護法第十條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023 年 4月，重慶石油路派出接到某醫院醫生報案，稱其醫?？ㄔ跊]有丟失的情況下，被盜刷42805元。石油路派出所迅速開展工作，當日即將犯罪嫌疑人段某抓獲，隨后有抓獲其同伙袁某某、李某某，查獲贓物價值6萬余元。經查，該團伙先由兩名上家通過某境外聊天軟件購買一批醫生的信息（含身份證號碼、名字、工作單位等），然后通過網絡搜索查找能夠匹配的醫生照片，再利用AI換臉軟件，

26、把搜索到的受害人照片制作成平臺所需的動態人臉識別視頻，通過平臺的實名認證后，獲取電子醫保支付二維碼，進而盜刷受害人醫?？?。法律鏈接據刑法相關要求：盜竊公私財物，數額較大的，或者多次盜竊、入戶盜竊、攜帶兇器盜竊、扒竊的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金據個人信息保護法相關要求：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息某市破壞疫苗預約系統案違法違法/犯罪犯罪 主體主體黑產團伙違法違法/犯罪犯罪 性質性質破壞系統、竊取數據所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞利用黑客技術破壞系統觸犯法條觸犯法條刑法第二百

27、八十五條網絡安全法第二十一條數據安全法第三十二條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年5月，四川雅安公安機關在工作發現本地一預約HPV疫苗平臺被黑客破壞，導致大量HPV疫苗資源被黑客非法預約給他人。經查，陳某某等人長期利用黑客技術手段，非法獲取“分布在國內18個省、47個市的衛健委HPV疫苗預約平臺加密傳輸的數據包，并對其進行解密、分析后，配置到自己編寫的程序中，通過配置用戶信息，在未經官方授權情況下偽造數據包，繞過官方后臺服務器安全策略，以毫秒級間隔向服務器發送預約疫苗指令，為用戶提高疫苗預約幾率。2023年5月，雅安公安機關對該系列案集中收網，抓獲犯罪

28、嫌疑人36人，涉案金額1000余萬元。法律鏈接據刑法相關要求：侵入計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，都應得到相應處罰。據網絡安全法相關要求：任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。據數據安全法相關要求：任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。某醫院數據保護不力造成數據泄露違法違法/犯罪犯罪 主體主體政企機構違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞數

29、據保護不力觸犯法條觸犯法條數據安全法第二十九條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年6月，衡南縣網信辦在省、市網信辦的指導下，對違反數據安全法的相關單位及責任人作出行政處罰。衡南縣某醫院未履行數據安全保護義務，造成部分數據泄露，違反中華人民共和國數據安全法第二十九條規定。衡南縣網信辦依據中華人民共和國數據安全法第四十五條規定，對該醫院作出責令整改，給予警告，并處罰款5萬元的行政處罰。同時，對第三方技術公司及相關責任人處以1.2萬元罰款。法律鏈接據數據安全法相關要求：開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生

30、數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。某醫院未落實等保三級要求被處罰違法違法/犯罪犯罪 主體主體醫院違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業醫療機構影響范圍影響范圍公眾利益關鍵詞關鍵詞未按照規定開展等保測評觸犯法條觸犯法條信息安全等級保護管理辦法第十四條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年7月，廣州某醫院建設運營的“電子病歷EMR系統”確定為等保三級網絡，并于2020年6月按規定到公安機關進行了網絡安全等級保護備案。但該系統自投入運行以來，醫院一直未按規定對其安全等級狀況開展等級保護測評，經公

31、安機關督促整改后仍未進行改正，且醫院的相關負責人員對該信息系統的安全情況完全不了解、不清楚，更沒有對系統安全風險及時進行排查整改，未落實網絡安全等級保護制度，未履行網絡安全保護義務，違反了信息安全等級保護管理辦法第十四條之規定。廣州警方對該醫院作出行政處罰，并責令其限期改正。法律鏈接據信息安全等級保護管理辦法相關要求：信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評。某醫院護工出售“死者”信息獲利違法違法/犯罪犯罪 主體主體內部人員違法違法/犯罪犯罪 性質性質出售公民信息所屬

32、行業所屬行業醫療衛生影響范圍影響范圍個人利益關鍵詞關鍵詞非法提供個人信息觸犯法條觸犯法條刑法第二百五十三條之一網絡安全法第四十四條機構責任機構責任未履行法定安全保護義務涉及領域涉及領域個人信息案例回顧2023年9月，廣州市荔灣區人民法院公布了一起侵犯公民個人信息罪案件，兩名醫院護工利用工作便利出售死亡患者個人信息獲利10萬余元，最終被依法判刑。易某和唐某是廣州某醫院護工，兩人利用工作便利，在跟隨醫院救護車急救過程中，未經同意擅自將包括急救病人及喪者家屬的居住住址、聯系方式等公民個人信息，分別按照每條1000元、2000元的價格非法出售給某殯葬服務公司實際控制人勞某（另案處理）。經統計，易某先后

33、違法獲利87000元，唐某違法獲利合計25000元。法律鏈接據個人信息保護法相關要求：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；據網絡安全法相關要求：任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。某醫檢機構不履行數據安全保護義務違法違法/犯罪犯罪 主體主體醫院違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞平臺存在安全隱患觸犯法條觸犯法條數據安全法第二十七、二十九、四十五條個人信息保護法第五十七條網絡安全法第二十五條機構責任機構責任未履

34、行安全保護義務涉及領域涉及領域數據安全案例回顧2023年9月，江蘇宿遷公安網安部門對當地某醫學檢驗機構檢查時發現，該機構運營的醫學檢驗信息平臺存在SQL注入漏洞、弱口令等網絡安全隱患，且未建立數據安全管理制度，未組織數據安全教育培訓，未采取相應技術措施保障數據安全，未對其數據處理活動開展風險監測和定期風險評估，可致敏感業務數據泄露，涉嫌未履行數據安全保護義務。宿遷公安機關依據數據安全法第四十五條規定，對該機構予以行政警告并處罰款10萬元。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓.據個人信息保護法相關要求：發

35、生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施據網絡安全法相關要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。某醫藥公司不履行數據安全保護義務違法違法/犯罪犯罪 主體主體醫院違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞存在網絡安全漏洞觸犯法條觸犯法條數據安全法第二十七、二十九、四十五條網絡安全法第二十五條個人信息保護法第九條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年9月，江蘇鹽城公安網安部門在對當地某醫藥公司檢查時

36、發現，該公司醫療健康信息的會員管理系統存有大量公民個人信息，經現場檢測發現該系統存在網絡安全漏洞，且該公司未建立數據安全管理制度，未組織開展數據安全教育培訓，也未采取相應技術措施保障數據安全，涉嫌未履行數據安全保護義務。鹽城公安機關依據數據安全法，對該公司予以行政警告并責令限期改正。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度.據網絡安全法相關要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。據個人信息保護法相關要求：個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所

37、處理的個人信息的安全。某大藥房違反數據安全法被罰百萬違法違法/犯罪犯罪 主體主體內部人員違法違法/犯罪犯罪 性質性質竊取數據所屬行業所屬行業醫療衛生影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條刑法第二百五十三條之一數據安全法第二十七、第二十九條網絡安全法第二十一條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年10月，浙江溫州公安網安部門查處了一起某大藥房“內鬼”侵犯公民個人信息案。溫州網安部門在日常工作中發現有人在暗網上售賣溫州某大藥房銷售數據。通過偵查發現，該大藥房數據分析師利用工作便利將大量交易數據導出并售賣。同時，該大藥房也因未履行數據保

38、護義務造成數據泄露的違法行為被公安機關罰款110萬元法律鏈接據刑法相關要求：向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度.據網絡安全法相關要求：網絡運營者防止網絡數據泄露或者被竊取、篡改。行業：IT信息技術IT信息技術行業綜述本次報告共收錄IT信息技術相關企業網絡安全執法典型案例8起。所謂“IT信息技術”行業，主要是指從事軟件、系統、IT服務的開發、運營工作的相關企業，其產品與服務主要服務于各類政企機構

39、和互聯網企業。一旦其開發的產品或系統存在安全漏洞或運營疏失，就很容易造成數據泄露，危害公民個人信息安全。本次報告收錄的8個典型案例，均與數據泄露有關。其中，僅一起案例是涉事企業存在風險，但數據尚未被證實泄露。而另外7起事件，均為已經發生較大規模數據泄露，而遭到查處。被處罰的企業普遍存在：未建立健全全流程數據安全管理制度、未組織開展數據安全教育培訓、未采取相應的技術措施和其他必要措施、未對其數據處理活動開展風險監測等問題。相關機構被處罰的主要依據是數據安全法,涉事機構的罰款金額主要集中在5萬元到10萬元之間。其中1起案例，有相關責任人個人被罰款1萬元。本章節的信息來源為安全內參：https:/

40、主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條數據安全法第二十七、二十九、四十五條網絡安全法第二十一條個人信息保護法第五十七條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年1月，網信衡陽發文，北京某科技公司開發的應用網站數據庫存在未授權訪問漏洞，泄露了大量公民的個人信息。經查，該公司開發了一家教學網站，收集存儲了包含用戶姓名、手機號、電子郵箱在內的大量個人信息。但該公司未建立健全全流程數據安全管理制度，未組織開展數據安全教育培訓，未采取相應的技術措施和其他必要措施

41、，保障數據安全，并因安全漏洞造成個人信息泄露等問題。衡陽市網信辦依據數據安全法第四十五條有關規定，對該科技公司作出責令改正，給予警告，并處人民幣10萬元罰款的行政處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。開展數據處理活動應當加強風險監測，.據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施某生物技術公司泄露數據被處罰違法違法/犯罪犯

42、罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條數據安全法第二十七，二十九、四十五條網絡安全法第二十一條個人信息保護法第五十七條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年6月，公安部網安局發文，昌平網安部門檢查發現，昌平某生物技術有限公司存在數據泄漏的情況，其委托的另一軟件公司研發的“基因外顯子數據分析系統”，泄露了包含公民信息、技術等信息，涉及泄漏數據總量達19.1GB。經檢查，該軟件公司在開發系統互聯網測試階段，未對相關數據進行加密，未落實安全保護措施，

43、屬于未履行數據安全保護義務。北京市公安局昌平分局依據數據安全法第四十五條第一款規定，給予警告并處罰款5萬元的行政處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。開展數據處理活動應當加強風險監測，.據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。某市兩公司存在數據泄露隱患被處罰違法違法/犯罪犯罪

44、主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條數據安全法第二十七條網絡安全法第二十一條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年6月，北京朝陽網安部門接市公安局網安總隊通報，轄區某科技公司存在數據泄露隱患，分局迅速組織相關力量前往該科技公司進行現場網絡安全檢查。經工作發現，該科技公司一款APP產品后臺存儲的客戶姓名、手機號、微信賬號、郵箱等信息46萬余條數據被暴露在互聯網上，該數據一旦被不法分子獲取，將導致大量公民個人信息泄露，給廣大人民群眾個人合法權益造成重

45、大影響。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度.開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施。據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。某企業因泄露大量數據被處罰違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條數據安全法第二十七，二十九、四十五條網絡安全法第二十一條個人信息保護法第五十七條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安

46、全案例回顧2023年7月，網信重慶發文，渝中區網信辦依法對屬地一科技公司涉數據泄露等違法違規行為進行立案查處，作出責令限期五日改正，給予行政警告，并處10萬元罰款的行政處罰。經查，該公司開發運營的某OA信息系統因未履行好網絡數據安全保護義務，導致大量數據泄露，情節嚴重。且該公司作為網絡數據處理者，未依法建立健全全流程網絡數據安全管理制度，未依法組織開展網絡數據安全教育培訓，未采取相應的技術措施和其他必要措施等保障網絡數據安全。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數

47、據安全。開展數據處理活動應當加強風險監測，.據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。某科技公司未履行數據安全保護義務違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞有數據泄露風險觸犯法條觸犯法條數據安全法第二十七，二十九、四十五條網絡安全法第二十一條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年9月，

48、公安部網安局發文，江蘇蘇州公安網安部門工作發現，成都某科技有限公司在為蘇州某信息科技股份有限公司相關系統運維過程中，未建立健全全流程數據安全管理制度，為圖工作方便，私自將該公司30余萬條運營數據上傳至互聯網，且未落實任何技術防護措施保障數據安全，未對其數據處理活動開展風險監測，可致該批數據泄露，涉嫌未履行數據安全保護義務。蘇州公安機關依據數據安全法第四十五條規定，對該公司予以行政警告并處罰款5萬元。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全.。開展數據處理活動應

49、當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。某科技公司未履行數據安全保護義務違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞存在漏洞觸犯法條觸犯法條數據安全法第二十七、四十五條網絡安全法第二十五條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年10月，浙江省網信辦依法對杭州某科技公司未履行數據安全保

50、護義務的問題進行立案調查。經查實，該公司旗下某生活類APP相關數據庫服務端口直接暴露在互聯網環境中，存在未授權訪問漏洞，未按要求履行數據安全保護義務，違反數據安全法第二十七條之規定。浙江省網信辦依據數據安全法等法律法規，對杭州某科技公司作出罰款5萬元的行政處罰，對該公司直接負責人作出罰款1萬元的行政處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。據網絡安全法相關

51、要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。某企業疑似發生刪庫勒索事件違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條網絡安全法第二十五條數據安全法第二十七條、二十九條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年10月，南昌市網信辦通報，南昌縣某企業存在數據漏洞風險，疑似出現刪庫勒索事件。經查，該企業運營的mongodb數據庫存在未授權訪問安全漏洞；該企業未采取相應的技術措施和其他必

52、要措施保障數據安全，其運營的數據庫被黑客刪庫并勒索；該企業未加強風險監測，發生刪庫勒索事件時未采取處置措施和履行主動報告義務。南昌市網信辦依據數據安全法第四十五條的規定，對該企業作出警告并處罰款5萬元、對直接負責的主管人員作出罰款1萬元的行政處罰。法律鏈接據網絡安全法相關要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。開展數據處理活動應當加強風險監測，.某科技公司因數據

53、庫存在漏洞處罰違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業IT信息技術影響范圍影響范圍公眾利益關鍵詞關鍵詞泄露數據后刪庫觸犯法條觸犯法條數據安全法第二十七條，四十五條網絡安全法第二十一條個人信息保護法第五十七條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧2023年11月，網信上海發文，網信機構在工作中發現，某科技公司一臺用于存儲業務日志和大量個人信息的數據庫服務器，因存在未授權訪問漏洞，導致部分數據被竊并傳輸到境外。同時企業私自刪除涉事數據庫逃避責任，沒有按照規定及時向網信部門報告，未有效履行數據安全保護義務。上海市網信辦依

54、據數據安全法第二十七條、第四十五條，對該科技公司作出責令改正，給予警告，并處人民幣8萬元罰款的行政處罰；對公司直接責任人員作出罰款人民幣1萬元的行政處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度。開展數據處理活動應當加強風險監測，.據網絡安全法相關要求：網絡運營者應當防止網絡數據泄露或者被竊取、篡改。據個人信息保護法相關要求：發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。行業：生活服務生活服務行業綜述本次報告共收錄2023-2024年生活服務類企業網絡安全執法

55、典型案例4起。相比于其他行業，生活服務類企業的網絡安全建設與運營水平極其低下，普遍存在用戶信息明文存儲、辦公終端與服務器裸奔、超級管理員賬號隨意發放等情況，導致電腦被黑客入侵和竊取數據非常的容易。由于生活服務類企業，很多都是中小企業，甚至是小微企業，我們不可能要求他們像大企業一樣進行系統性的網絡安全建設。但是，安全意識的提升仍然是非常必要的。例如，為存儲用戶信息的文件加設密碼，管理員權限要嚴格控制并且避免設置弱口令等，這些簡單的要求就可以大大提升此類企業的網絡安全管理水平。在這四起案例中，有一起涉及黑產團伙與企業員工內外勾結，傳播木馬病毒，并竊取客戶個人信息的典型案例。這與生活服務類企業人員流

56、動性強，人員管理松散不無關系。本章節的信息來源為安全內參：https:/ 主體主體內部人員、黑產團伙違法違法/犯罪犯罪 性質性質傳播病毒、竊取數據所屬行業所屬行業生活服務影響范圍影響范圍公眾利益關鍵詞關鍵詞泄露客戶信息觸犯法條觸犯法條刑法第二百八十六條網絡安全法第四十二條數據安全法第二十七條機構責任機構責任未履行安全管理義務涉及領域涉及領域個人信息案例回顧2023年1月，浙江省余姚某汽車4S店電腦被安裝遠程木馬軟件，導致客戶信息泄露。余姚警方立即開展偵查，鎖定該4S店內部工作人員潘某有重大作案嫌疑，并查明以李某虎為首的非法獲取計算機信息系統數據犯罪團伙。4月11日，余姚警方組織警力赴安徽六安、

57、江蘇鎮江等6省26地抓獲李某虎、張某、黎某等犯罪嫌疑人38名，扣押電腦43臺、手機75部、銀行卡200余張，凍結資金100余萬元，涉案資金達5000余萬元。法律鏈接據刑法相關要求：故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，應當得到處罰。據網絡安全法相關要求：網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。某足浴店用戶信息未加密被責令整改違法違法/犯罪犯

58、罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業生活服務影響范圍影響范圍公眾利益關鍵詞關鍵詞數據保護不力觸犯法條觸犯法條數據安全法第二十七，二十九，三十、四十五條網絡安全法第四十二條機構責任機構責任未履行安全管理義務涉及領域涉及領域違規整改案例回顧案例回顧2023年8月，江蘇省淮安市公安局淮陰分局西壩派出所的兩位民警依法對一家足浴會所進行檢查，發現該場所的電腦存儲有顧客姓名、手機號碼、身份證號碼等敏感數據且未設置密碼，未制定數據安全管理制度，未采取必要措施保障數據安全。根據數據安全法第二十七條、第二十九條、第三十條、第四十五條之規定，決定對 該 足療會所處以責令整改

59、、警告的行政處罰。法律鏈接據數據安全法相關要求：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施。重要數據.據網絡安全法相關要求：網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失某火鍋店數據保護不力被處罰違法違法/犯罪犯罪 主體主體企業、內部人員違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業生活服務影響范圍影響范圍公眾利益關鍵詞關鍵詞未對敏感信息進行加密

60、觸犯法條觸犯法條數據安全法第二十七條，第三十二條網絡安全法第四十二條個人信息保護法第五十一條機構責任機構責任未履行安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2024年1月29日，上海市網信辦通報，已依法對一批未有效履行消費者個人信息保護責任、存在嚴重問題的知名企業予以行政處罰。某 知名火鍋連鎖品牌違法違規行為集中體現在兩個環節：在收集個人信息環節，其外送微信小程序仍在強制索取精準位置信息；在存儲個人信息環節，其創設近30年來形成的1.5億條會員個人信息以及18萬條公司員工信息未加密存儲，多年來一直處于裸奔狀態”；運營管理平臺的“超級管理員”賬號竟然高達20余個。法律鏈接據數據安全法相

61、關要求：任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度.據網絡安全法相關要求：網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失.據個人信息保護法相關要求：個人信息處理者應當采取相應的加密、去標識化等安全技術措施某超市電腦遭黑客遠控變“肉雞”違法違法/犯罪犯罪 主體主體企業違法違法/犯罪犯罪 性質性質建設運維管理疏失所屬行業所屬行業生活服務影響范圍影響范圍公眾利益關鍵詞關鍵詞遠程控制觸犯法條觸犯法條網絡安全法第二十五、五十九機構責任機構責任未

62、履行安全保護義務涉及領域涉及領域數據安全案例回顧案例回顧2024年2月，南昌市網信辦在日常的網絡安全監測中發現，屬地某連鎖超市所屬IP疑似被黑客遠控，頻繁對外發起網絡爆破攻擊。經過立案調查、現場勘驗、遠程勘驗（采樣技術分析）、筆錄問詢等工作，查明：所屬的服務器和多臺終端感染木馬病毒；該連鎖超市未及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，導致 所屬網絡持續對內對外發起大規模網絡攻擊，導致產生危害網絡安全的后果。南昌市網信辦依據網絡安全法，對該連鎖超市作出罰款5萬元、對直接負責的主管人員作出罰款1萬元的行政處罰。法律鏈接據網絡安全法相關要求：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。謝謝Thanks!讓 網 絡 更 安 全讓 世 界 更 美 好