北京
《網絡數據安全管理條例》正式施行一年來,在上級網信部門指導下,上海市網信辦依據《網絡安全法》《數據安全法》《個人信息保護法》,以及《網絡數據安全管理條例》(以下簡稱《條例》)等法律法規,持續加大執法力度,規范網絡數據處理活動,保障網絡數據安全,促進網絡數據依法合理有效利用,保護個人、組織的合法權益。現將典型案例發布如下。
一、未依法履行網絡數據安全主體責任,導致發生數據泄露
法律和《條例》明確規定,網絡數據處理者在境內開展網絡數據處理活動,應當加強網絡數據安全防護,建立健全網絡數據安全管理制度,采取相應技術措施和其他必要措施,保護網絡數據免遭篡改、破壞、泄露或者非法獲取、非法利用等,并對所處理網絡數據的安全承擔主體責任。網信部門辦案中發現,部分涉案企業未能依法履行網絡數據安全主體責任,未采取有效安全防護措施,致使網絡數據遭到攻擊竊取而泄露。
案例1:某物流運輸網絡科技企業數據泄露案
該企業主營業務是為物流行業提供技術開發和運維服務,包括面向客戶管理貨物的運輸業務。工作中發現,涉案企業IP開放ES數據庫9200端口向公共網絡傳輸大量業務數據,導致其包含部分敏感個人信息的數據疑似被境外可疑IP訪問竊取。經查,企業未開展網絡安全等級保護測評,涉事系統相關信息未采取加密、訪問控制、端口安全策略等防護技術措施,存在未授權訪問漏洞,存在數據泄露風險,違反《數據安全法》和《條例》有關規定。網信部門依法責令企業限期改正,并予以警告、罰款處罰。
案例2:某物聯網科技企業用戶數據泄露案
該企業主營業務是為農業、工業、環保、消防、養殖等領域提供物聯網技術應用開發。工作中發現,企業涉事服務器存儲物聯網系統日志信息,并包含敏感個人信息,曾對互聯網開放端口導致數據泄露。經查,該企業未有效履行網絡數據安全保護義務,未制定網絡數據安全管理制度,未采取相應技術措施保障數據安全,存在未授權訪問、弱口令等漏洞,違反《數據安全法》和《條例》有關規定。網信部門依法責令企業限期改正,并予以警告處罰。
案例3:某事務中心檔案查詢系統信息泄露案
該中心主要負責為相關單位提供檔案信息管理服務,工作中發現,其檔案查詢系統存在未授權訪問漏洞,用戶可通過輸入身份證號直接查詢到檔案狀態信息,存在個人信息泄漏風險。經查,該中心未有效履行網絡數據安全、個人信息保護主體責任和義務,安全管理制度虛置,未采取加密、訪問控制、安全策略等技術措施,系統未按規定留存相關網絡日志,違反《個人信息保護法》和《條例》等有關規定。網信部門依法責令中心限期改正,并予以警告處罰。
二、未落實網絡數據跨境安全管理要求,導致數據違法違規出境
法律和《條例》明確規定,網絡數據處理者向境外提供重要數據或個人信息,應當遵循合法正當必要原則,按照國家網信部門的規定,選擇申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證等多種方式合規開展數據出境活動。網信部門辦案中發現,部分涉案企業未能真正落實相關規定要求,導致數據違規出境造成個人信息安全風險。
案例4:某酒店管理企業違法違規出境用戶數據案
該企業主營業務為酒店管理,主要為顧客提供酒店住宿、度假、餐飲等國際旅行服務,因酒店在線上預定場景涉及數據出境,向網信部門申報了數據出境安全評估,但在收到國家網信部門《評估結果通知書》明確相關個人信息數據項出境必要性不足的情況下,未能采取切實有效措施,仍違法違規出境境內自然人個人信息,其行為違反《個人信息保護法》和《條例》有關規定。網信部門依法責令企業限期改正,并予以罰款處罰。
案例5:某物業管理企業違法違規出境用戶數據案
該企業主營業務包括物業管理、酒店管理等全球服務,其運營的APP主要幫助用戶管理會員賬號和預訂,辦理入住手續。經查,該企業在未申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情況下,自行向境外提供用戶住宿信息,且涉及金融賬戶等敏感個人信息,其行為違反《個人信息保護法》和《條例》有關規定。網信部門依法責令企業限期改正,并予以警告處罰。
三、未有效履行個人信息安全保護義務,導致個人信息權益受到侵害
法律和《條例》明確規定,網絡數據處理者收集、處理個人信息,不得超范圍收集個人信息,不得通過強制、誤導、欺詐、脅迫等方式取得個人信息,并對收集的用戶個人信息做好相應安全防護措施。網信部門辦案中發現,部分涉案企業未能依法履行個人信息保護義務,違規收集、處理個人信息導致公民權益受到侵害。
案例6:某咖啡企業違法違規收集使用個人信息案
該企業主要通過微信小程序等向用戶售賣咖啡并收集存儲相關用戶數據。經查,該企業小程序存在誘導用戶提供手機號碼、注冊會員等問題,并在收集后未能依法履行個人信息保護義務,存在網絡數據安全管理制度不健全,未采取加密、去標識等相應安全技術措施存儲處理用戶個人信息等違法違規行為,違反《個人信息保護法》和《條例》有關規定。網信部門依法責令企業限期改正,并給予警告處罰。
案例7:某SDK網絡科技企業違法違規收集個人信息案
該企業主要通過SDK為App提供廣告營銷服務,經查,企業未按其所聲明的個人信息收集使用規則,在未通過隱私政策等方式向用戶告知的情況下,擅自收集用戶已安裝的應用列表信息,違反《個人信息保護法》和《條例》有關規定。網信部門依法責令企業限期改正,予以警告處罰,并要求SDK運營者嚴格落實各項管理要求,從嚴處理相關責任人。
案例8:某酒店管理企業存在個人信息泄露風險案
該企業運營的App主要為用戶提供酒店訂單查詢服務,經查,企業的API接口未設置身份校驗機制,可以根據訂單號遍歷查詢任意人的酒店訂單信息,包括客戶入住信息、支付信息等個人信息,存在嚴重個人信息泄露安全風險,違反《個人信息保護法》和《條例》有關規定。網信部門依法責令企業限期改正,并對企業開展立案調查,予以警告處罰。
(原標題:《亮劍浦江|強化網絡數據安全 上海發布2025年執法典型案例》)
來源:網信上海
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
