國家網信辦發(fā)布近期網絡安全、數(shù)據(jù)安全、個人信息保護相關執(zhí)法典型案例

近段時間以來，全國網信系統(tǒng)認真貫徹落實《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)，持續(xù)加大網絡安全、數(shù)據(jù)安全、個人信息保護相關執(zhí)法工作力度，各地網信部門依法查處一批涉網頁篡改、數(shù)據(jù)泄露、違法違規(guī)處理個人信息、新技術新應用未經評估上線等違法違規(guī)案件。現(xiàn)將典型案例發(fā)布如下。

1.廣東某科技股份有限公司網頁篡改案。網信部門工作發(fā)現(xiàn)，該企業(yè)用于業(yè)務審批等的辦公協(xié)作平臺登錄頁面被篡改為違法有害內容。經查，該企業(yè)涉事系統(tǒng)存在任意文件上傳漏洞，遭受勒索軟件攻擊，該企業(yè)當天發(fā)現(xiàn)后僅重裝系統(tǒng)，未修復系統(tǒng)漏洞。其后，攻擊者利用該漏洞上傳遠程控制木馬，將登錄頁面篡改為違法有害內容。該企業(yè)未依法履行網絡安全保護義務，未采取必要技術措施保障網絡安全，未及時修復系統(tǒng)漏洞，造成網頁篡改后果，違反《網絡安全法》相關規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

2.新疆某互聯(lián)網科技有限公司網頁篡改案。網信部門工作發(fā)現(xiàn)，該企業(yè)門戶網站及開發(fā)運維的8個網站子頁面被篡改為涉賭違法信息。經查，該企業(yè)上述網站存在安全缺陷和漏洞，相關網頁源代碼php文件被惡意篡改，出現(xiàn)涉賭違法信息。事件發(fā)生時，網站管理員休假不在崗，網站處于無人管理狀態(tài)。該企業(yè)作為網絡產品、服務提供者，未及時發(fā)現(xiàn)其開發(fā)的網站存在安全缺陷和漏洞，未立即采取補救措施，未按照規(guī)定及時告知用戶并向主管部門報告，違反《網絡安全法》相關規(guī)定，屬地網信辦已依法責令其改正，并予以警告處罰。

3.山東某醫(yī)學檢驗有限公司數(shù)據(jù)泄露案。網信部門工作發(fā)現(xiàn)，該企業(yè)某系統(tǒng)相關數(shù)據(jù)被搜索引擎爬蟲爬取。經查，涉事系統(tǒng)開啟目錄瀏覽功能，存在目錄遍歷和未授權訪問漏洞，未正確配置防火墻入侵防護策略，未按照規(guī)定留存相關網絡日志。相關搜索引擎爬蟲通過遍歷請求爬取了網站組織架構和文件，導致系統(tǒng)相關數(shù)據(jù)泄露。該企業(yè)未依法履行網絡安全、數(shù)據(jù)安全保護義務，涉事系統(tǒng)未依法留存相關網絡日志，未采取技術措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)泄露后果，違反《網絡安全法》《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

4.浙江某科技股份有限公司數(shù)據(jù)被竊取案。網信部門工作發(fā)現(xiàn)，該企業(yè)FTP系統(tǒng)相關數(shù)據(jù)被竊取。經查，該企業(yè)為方便共享、打印系統(tǒng)文件，將涉事系統(tǒng)設置為允許匿名訪問，并設置云服務器安全組規(guī)則不生效，長期存在未授權訪問漏洞，導致涉事系統(tǒng)相關數(shù)據(jù)被竊取。該企業(yè)未依法履行網絡安全、數(shù)據(jù)安全保護義務，涉事系統(tǒng)未采取技術措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網絡安全法》《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

5.重慶某科技公司數(shù)據(jù)被竊取案。網信部門工作發(fā)現(xiàn)，該企業(yè)用于汽車租賃服務的“OA信息系統(tǒng)”相關數(shù)據(jù)被竊取。經查，該企業(yè)涉事系統(tǒng)3306端口開放MySQL數(shù)據(jù)庫服務，未設置用戶密碼，存在弱口令漏洞，導致涉事系統(tǒng)相關數(shù)據(jù)被先后竊取159次。該企業(yè)未依法履行網絡安全、數(shù)據(jù)安全保護義務，涉事系統(tǒng)未采取技術措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網絡安全法》《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

6.廣東某保險代理有限公司數(shù)據(jù)被竊取案。網信部門工作發(fā)現(xiàn)，該企業(yè)提供保險代理服務的后臺系統(tǒng)相關數(shù)據(jù)被竊取。經查，該企業(yè)涉事系統(tǒng)存在越權遍歷訪問漏洞，攻擊者可通過遍歷URL ID的方式批量獲取數(shù)據(jù)，且該企業(yè)購買的云防火墻服務已過期，未按照規(guī)定留存相關網絡日志，導致涉事系統(tǒng)相關數(shù)據(jù)被竊取。該企業(yè)未依法履行網絡安全、數(shù)據(jù)安全保護義務，涉事系統(tǒng)未依法留存相關網絡日志，未采取技術措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網絡安全法》《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

7.湖南某科技股份有限公司數(shù)據(jù)存在泄露安全風險案。網信部門工作發(fā)現(xiàn)，該企業(yè)內網數(shù)據(jù)庫相關數(shù)據(jù)存在泄露安全風險。經查，該企業(yè)內網數(shù)據(jù)庫存在未授權訪問漏洞和弱口令漏洞，某軟件研發(fā)工程師為工作便利，將合作項目中掌握的大量用戶數(shù)據(jù)拷貝至企業(yè)內網數(shù)據(jù)庫，并打開企業(yè)內網的公共互聯(lián)網訪問端口，導致內網數(shù)據(jù)庫相關數(shù)據(jù)暴露在互聯(lián)網上。該企業(yè)未依法履行網絡安全、數(shù)據(jù)安全保護義務，未建立網絡安全和數(shù)據(jù)安全管理制度，涉事系統(tǒng)未采取技術措施和其他必要措施保障數(shù)據(jù)安全，存在數(shù)據(jù)泄露安全風險，違反《網絡安全法》《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

8.北京某科技有限公司運營的App超范圍收集個人信息案。網信部門工作發(fā)現(xiàn)，該企業(yè)運營的App違反必要原則，收集與其提供的服務無關的個人信息。經查，該企業(yè)開發(fā)的App在用戶未使用任何功能情況下，后臺運行時收集上傳用戶應用程序安裝、卸載信息。用戶使用上傳AI頭像等功能時，調用非必要存儲權限。相關行為超出了實現(xiàn)個人信息處理目的最小必要范圍，違反《網絡安全法》《個人信息保護法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)。屬地網信辦已依法責令其改正，并予以警告、罰款處罰。

9.上海某科技有限公司違法違規(guī)收集人臉信息案。網信部門工作發(fā)現(xiàn)，該企業(yè)運營的自動售貨機存在違法違規(guī)收集人臉信息等問題。經查，該企業(yè)運營的自動售貨機在用戶支付環(huán)節(jié)存在未經同意收集人臉信息等問題，同時該企業(yè)存在未建立個人信息保護影響評估制度、相關系統(tǒng)存在SQL注入高危漏洞等問題，違反《網絡安全法》《個人信息保護法》《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正，并予以警告處罰。

10.浙江某科技有限責任公司運營的App提供深度合成服務未按規(guī)定進行安全評估案。網信部門工作發(fā)現(xiàn)，該企業(yè)運營的App提供AI換臉服務未按規(guī)定進行安全評估。經查，該企業(yè)運營的App是一款深度合成類服務產品，提供視頻換臉、圖片換臉、照片舞動配音等圖片處理功能，用戶可對上傳圖片、視頻中的人物進行換臉，但未按規(guī)定落實安全評估要求，相關深度合成內容也未作顯著標識，存在較大安全風險，違反《互聯(lián)網信息服務深度合成管理規(guī)定》《生成式人工智能服務管理暫行辦法》《互聯(lián)網信息服務算法推薦管理規(guī)定》《具有輿論屬性或社會動員能力的互聯(lián)網信息服務安全評估規(guī)定》等規(guī)定。網信部門已依法責令移動應用程序分發(fā)平臺依規(guī)依約對該App予以下架處置。

國家網信辦有關負責人表示，網絡空間已經成為人們生產生活的新空間，讓互聯(lián)網在法治軌道上健康運行是全社會的共同責任。網信部門將認真貫徹習近平新時代中國特色社會主義思想，特別是習近平法治思想和習近平總書記關于網絡強國的重要思想，深入推進依法治網，依法查處相關違法違規(guī)行為，切實維護國家網絡安全、數(shù)據(jù)安全，保護人民群眾合法權益。

來源：“網信中國”微信公眾號