2022年,广州警方以“净网”专项行动为抓手,强力推进打击突出网络违法犯罪、网络安全执法检查等工作,全面治理网络乱象,不断净化网络生态,有力确保了网络空间平安稳定和清理有序。在此选取2022年广州市网络安全十大典型案例,以期起到警示作用。

一、某科技公司未履行数据安全保护义务导致存在数据泄露风险隐患被处罚

2022年3月,广州警方工作发现,广州某科技公司向各地驾校提供的某驾培平台储存处理了驾校培训学员的姓名、证件号、手机号、个人照片等公民个人信息数据被挂在外网售卖。经查,该公司没有建立数据安全管理制度和操作规程,对采集到的个人信息未采取去标识化和加密措施,且系统存在未授权访问漏洞,未落实网络安全等级保护制度,存在数据泄露的重大风险隐患,违反《数据安全法》第二十七条之规定。广州警方依据《数据安全法》第四十五条第一款规定,对该公司作出警告并处罚款人民币5万元,该案是广东省首宗适用《数据安全法》进行执法的行政案件。

警方提示:数据作为第五大生产要素,其安全已经成为事关国家安全与经济社会发展的重大问题。根据《数据安全法》相关规定,各单位开展数据处理活动必须在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,依法做到数据采集合规、数据留存保护、数据使用合法。对于不履行数据安全保护义务的违法行为,公安机关将依法坚决打击,切实保障数字经济健康发展。

二、某犯罪团伙提供虚假加粉点赞、虚假人气关注服务,非法引流被处罚

2022年,广州警方根据线索深入研判发现一个利用技术手段为娱乐明星、网红主播视频作品及直播间,提供虚假加粉点赞、虚假人气关注服务的团伙。该团伙为躲避网络平台风控措施,专门开发和运营用于短视频刷赞、点赞的程序,通过使用技术手段批量模拟真人用户刷赞,该团伙豢养虚假用户账号超10万个,使用技术手段实现虚假点赞约100万余人/日,涉案金额大、犯罪生态链条完整,严重扰乱网络空间秩序。广州警方开展统一收网行动,抓获犯罪嫌疑人21名,缴获作案电脑、手机、黑客程序工具一批。

警方提示:“网络水军”从事编造虚假信息、诽谤攻击、非法推广、非法删帖等违法活动,危害互联网生态,扰乱正常的市场秩序,是违法的行为,切勿以身试法。

三、某公司信息系统仅备案未按规定开展等级保护测评被处罚

2022年7月,广州警方在工作中发现,广州某教育科技有限公司运营使用的“某在线1对1系统”确定为第二级信息系统,且在2021年7月到公安机关进行了网络安全等级保护备案。但该系统上线运行前及运行之后,广州某教育科技有限公司一直未按规定对系统的安全等级状况开展等级保护测评,未充分落实网络安全等级保护制度,未履行网络安全保护义务,违反了《广东省计算机信息系统安全保护条例》第十二条之规定。根据《广东省计算机信息系统安全保护条例》第四十条第一款第(二)项之规定,广州警方对该公司作出行政处罚,并责令其限期改正。

警方提示:网络安全等级保护制度是《网络安全法》规定网络运营者必须落实的一项法定义务,也是新时期保障网络安全的一项基本国策和基本制度。第二级及以上信息系统建设完成后,除依法应当到公安机关进行等级保护备案外,还应当依据国家规定的技术标准,对信息系统的安全等级状况开展等级保护测评,且测评合格后方可投入运行使用。

四、某犯罪团伙售卖非法控制停车场车辆道闸系统工具被处罚

2022年6月,广州警方工作中发现一个依托电商平台,推广、销售具备非法拷贝、控制功能的车闸遥控设备的作案团伙。经进一步侦查,警方发现该团伙生产的车闸遥控设备可以获取停车场车辆道闸系统控制信号,从而获得车闸开启权,每套设备获利20-200元人民币不等,严重破坏停车场经营秩序。广州警方开展统一收网行动,一举抓获犯罪嫌疑人15名,缴获非法控制车闸遥控设备1万余套,捣毁窝点仓库1个,查明涉案金额超百万元。

警方提示:违反国家规定,擅自提供专门用于侵入、非法控制计算机信息系统的程序、工具的行为涉嫌违法犯罪,切勿以身试法。

五、某医院第三级等保系统未落实“每年至少进行一次等级保护测评”法定义务而被处罚

2022年9月,广州警方在工作中发现,广州某医院建设运营的“电子病历EMR系统”确定为三级网络,并于2020年6月按规定到公安机关进行了网络安全等级保护备案。但该系统自投入运行以来,医院一直未按规定对其安全等级状况开展等级保护测评,经公安机关督促整改后仍未进行改正,且医院的相关负责人员对该信息系统的安全情况完全不了解、不清楚,更没有对系统安全风险及时进行排查整改,未落实网络安全等级保护制度,未履行网络安全保护义务,违反了《信息安全等级保护管理办法》第十四条之规定。根据《信息安全等级保护管理办法》第四十条第一款第(四)项之规定,广州警方对该医院作出行政处罚,并责令其限期改正。

警方提示:医疗卫生、教育行业等领域信息系统众多,且承载了大量的个人敏感信息和重要数据,是网络安全保护的重要行业,也是网络安全等级保护工作的重点对象。根据《信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位应当依据国家相关技术标准,定期对信息系统安全等级状况开展等级保护测评,且第三级信息系统应当每年至少进行一次等级保护测评。各网络运营者均要严格遵守相关法律法规规定,严格落实网络安全等级保护定级、备案、测评等法定要求,建立健全内部安全管理制度和操作规程,落实网络安全保护责任,采取相关技术措施,保障信息系统安全稳定运行。

六、某犯罪团伙破坏计算机信息系统非法篡改打车数据被处罚。

2022 年5 月,广州警方工作中发现,有人使用代理服务器代叫“网约车”。经深入侦查发现,犯罪嫌疑人通过非法破坏计算机信息系统篡改网络数据包,修改打车目的地坐标和订单号,从而绕过打车平台关于长途网约车的预支款机制,通过下游中介进行“代打车”,修改打车金额为起步价,绕开打车平台因距离远、价钱高需提前支付预付款的限制,进而实施“代叫车”;打车结束后,以正常打车价的3 到5 折向乘客收取费用,并弃用打车账号(即逃单),以此非法获利。

广州警方开展统一收网行动,成功打掉了该涉嫌破坏计算机信息系统罪和诈骗罪的作案团伙,抓获犯罪嫌疑人共20 人,扣押涉案服务器、电脑、手机、银行卡、POS 机、微信账号、服务端和手机客户端程序等涉案物品一批,经查,该团伙非法获利达28万余元。

警方提示:技术本身没有好坏,但利用技术危害网络安全、牟取不当利益的,必将受到法律严惩。

七、某医疗门诊机构信息系统上线运行前未按规定开展等级保护测评被处罚

2022年12月,广州警方在工作中发现,广州某医疗门诊机构运营使用的“互联网医院系统”确定为三级网络,虽然到公安机关进行了网络安全等级保护备案,但该系统上线运行前及运行之后,广州某医疗门诊机构一直未按规定对系统的安全等级状况开展等级保护测评,未充分落实网络安全等级保护制度,未履行网络安全保护义务,违反了《广东省计算机信息系统安全保护条例》第十二条之规定。根据《广东省计算机信息系统安全保护条例》第四十条第一款第(二)项之规定,广州警方对该医疗门诊机构作出行政处罚,并责令其限期改正。

警方提示:广州警方将依据《网络安全法》《数据安全法》《信息安全等级保护管理办法》《广东省计算机信息系统安全保护条例》等法律规定,进一步加大网络安全监管和执法力度,继续深入开展网络安全执法检查,严厉查处未落实网络安全等级保护制度(未备案、未测评)等违法行为,切实维护网络安全。

八、某犯罪团伙非法售卖快递物流面单个人信息被处罚

2022年4月,广州警方工作中发现一个通过售卖快递物流面单为电信诈骗等上游犯罪提供公民信息的犯罪团伙,该团伙通过买通物流公司人员收买快递面单,向上家售卖牟利,严重侵犯公民个人信息。广州警方开展统一收网行动,抓获该团伙犯罪嫌疑人21名,起获作案手机、作案电脑100余台,收缴非法获取的公民个人信息高达500万条。

警方提示:快递物流等掌握大量公民个人信息的行业要加强从业人员管理,严格遵守各项法律法规,告诫员工切莫以身试法。广大群众要提高防范意识,如遇信息泄露,可向公安机关、互联网管理部门、市场监管部门、消协、行业主管部门和相关机构进行投诉举报。

九、某企业未及时修复网站漏洞被依法处罚

2022年3月,广州警方在工作中发现,广州某企业所运营的网站存在高危漏洞,存在网络安全隐患,遂对该企业发出网络安全整改通知书,要求其限期修复漏洞。但该企业管理人员网络安全意识淡薄,未引起足够重视,导致漏洞逾期未修复。该行为违反了《网络安全法》第二十五条之规定,广州警方依法对其作出行政处罚,详细解释其行为可能造成的危害后果,并责令其限期改正。

警方提示:网络漏洞属于常见的网络安全隐患,但若不及时处置,容易引发黑客攻击或数据泄露风险,导致企业或公民个人信息、财产的泄漏和损失。《网络安全法》规定网络运营者应承担相应的网络安全责任和义务,在收到公安机关出具的《网络安全整改通知书》后,应立即按照要求修复漏洞消除隐患,确保系统网络和数据安全。若对网络漏洞逾期不改或拒不整改而造成网络安全危害后果的,公安机关将依法追究其法律责任。

十、某互联网公司未履行个人信息保护义务且存在超范围收集公民个人信息被处罚

2022年6月,广州警方在工作中发现,广州某互联网公司开发运营的某教育类APP在未经用户同意就违规收集个人信息,甚至在用户关闭APP进程后,仍不间断收集个人信息。并且,该公司未向用户明示全部收集个人信息的目的、方式和范围,向第三方明文传输用户敏感信息,存在数据安全风险隐患,违反了《网络安全法》第四十一条规定。警方在复核过程中,发现该公司逾期仍未落实相关整改措施,导致上述违法违规行为仍然存在。根据《网络安全法》有关规定,广州警方依法作出对该公司处罚款2万元、对该APP主要负责人处罚款1万元的处罚,并责令限期改正。

警方提示:随着互联网信息技术发展,互联网公司等网络运营者收集掌握着越来越多的公民个人信息,根据《网络安全法》和《数据安全法》要求,网络运营者要严格履行个人信息保护义务,收集、使用个人信息应当遵循合法、正当、必要和诚信原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得收集与提供服务无关的个人信息,不得将个人信息用作与提供服务无关的用途。近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,各类网络运营者要严格落实网络和数据安全主体责任,认真履行网络安全保护义务,合法合规收集、使用个人信息,切勿以身试法,触碰法律红线。广大市民群众也要提升自身个人信息保护意识,通过正规应用商店下载APP,并仔细阅读APP隐私政策,拒绝接受不合理的权限申请。

声明:本文来自广州网警巡查执法,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。