为深入落实习近平总书记关于网络安全的系列重要讲话精神,进一步强化《网络安全法》等法律法规的贯彻执行,近期,上海市通信管理局结合网络安全威胁监测、用户投诉举报、网络安全回头看专项复查等工作,严格监督执法,重拳出击整治,严肃查处了一批网络安全违法违规案件。为推动加强本市公共互联网安全保障工作,督促各网络运营者切实履行网络安全主体责任,现将部分网络安全违规典型案例予以通报。

一、上海上上不锈钢管有限公司联网信息系统发生网络安全事件被责令暂停互联网信息服务。

2018年11月,上海上上不锈钢管有限公司某联网信息系统发生重大网络安全事件,并对公共互联网安全产生严重威胁。市通信管理局依据《网络安全法》、工业和信息化部《公共互联网网络安全威胁监测与处置办法》等有关要求,组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施,及时阻断网络安全威胁的扩散;同时,责令涉事单位暂停相关系统的互联网信息服务,限期落实网络安全整改,在整改工作完成之前,涉事系统及其关联平台不得上线

二、上海聚力传媒技术有限公司、上海匹匹扣网络科技有限公司因未对安全漏洞风险采取整改措施被行政处罚。

2019年1月,市通信管理局在网络安全回头看专项复查中发现,上海聚力传媒技术有限公司在接到《上海市通信管理局网络安全威胁通报(2018年第36期)》并责令改正的要求后,未对其移动互联网APP应用“PP体育”存在的安全风险采取补救措施,未落实整改要求;上海匹匹扣网络科技有限公司在接到上海市通信管理局网络安全威胁通报(2018年第42期)并责令改正的要求后,未对其移动互联网APP应用“旅游圈”存在的安全风险采取补救措施,未落实整改要求。对此,市通信管理局依据《网络安全法》有关规定,对两家企业分别处以罚款人民币五万元,并对两家企业直接负责的网络安全主管人员季某和李某分别处以罚款人民币一万元

三、上海涵预网络科技有限公司、上海科技网络通信有限公司因未履行网站备案手续被行政处罚。

2019年2月,上海涵预网络科技有限公司某联网信息系统发生网络安全事件,并对公共互联网安全造成威胁。市通信管理局立即组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施,及时阻断安全威胁的扩散。后续经查,涉事网络平台未按照有关要求在工业和信息化部备案管理系统履行备案手续,通过其网络接入服务单位上海科技网络通信有限公司违规接入公共互联网并提供互联网信息服务。对此,市通信管理局依据《非经营性互联网信息服务备案管理办法》对上海涵预网络科技有限公司责令改正并处罚款人民币一万元,对涉事平台的网络接入服务单位上海科技网络通信有限公司责令改正并处罚款人民币一万元

四、某零售连锁企业未提供互联网账号注销服务被责令整改。

2018年12月,市通信管理局接用户投诉发现,本市某零售连锁企业在其运营管理的互联网服务平台上,未向其注册用户提供注销账号的服务。对此,市通信管理局依据《电信和互联网用户个人信息保护规定》有关要求,对企业负责人进行约谈通报,责令企业立即落实整改,采取有效措施,在用户合理终止使用互联网信息服务后,为其提供注销号码或者账号的服务。

五、某宽带接入服务单位互联网平台存在严重漏洞导致用户信息泄露风险。

2019年1月,市通信管理局监测发现本市某宽带接入服务单位的某电子商城平台存在严重安全漏洞,外部人员可利用相关漏洞查看商城用户的姓名、地址、手机号码等个人信息,从而导致用户信息泄露等严重风险。市通信管理局组织有关网络安全专业机构对相关问题进行了现场记录和分析取证,并按照《网络安全法》有关精神对企业负责人进行严肃约谈通报,责令其立即采取补救措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

六、某在线旅游服务企业明文存储游客信息存在严重安全风险。

2019年1月,市通信管理局发现本市某在线旅游服务企业在其互联网信息系统内以明文形式存储游客的身份证件信息、护照信息、手机号码等个人信息,未按照《网络安全法》有关法律要求,采取技术措施和其他必要措施保障其收集的用户个人信息安全;且企业未明确个人信息在使用、传输和存储过程中的防护要求,存在严重的用户信息安全风险。市通信管理局在组织有关网络安全专业机构对相关漏洞进行现场记录和分析取证后,对企业负责人进行了严肃约谈通报,责令其立即采取技术防护措施,完善数据安全管理制度,确保其收集、存储的个人信息和数据安全,保障互联网用户的合法权益。

七、某直播平台企业网络日志留存少于六个月。

2018年12月,市通信管理局核查发现,本市某网络直播平台企业未按照《网络安全法》有关要求采取监测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志少于六个月。对此,市通信管理局约谈企业相关负责人,责令其深入加强网络安全法律法规学习,切实履行网络运营者的安全责任义务,限期落实整改,按照法律规定留存相关的网络日志不少于六个月。

八、某网络音频FM企业未制定网络安全事件应急预案等安全事件管理制度。

2019年1月,市通信管理局核查发现,本市某网络音频FM公司未按照《网络安全法》有关要求制定网络安全事件应急预案;同时,企业网络安全事件管理不到位,未制定事件报告和处置制度,未对安全事件制定通报流程,在发生安全事件后未按照规定向市通信管理局等主管部门报告有关情况。市通信管理局针对上述问题约谈企业主要负责人,要求其牢固树立网络安全责任意识,严格落实企业安全管理,完善应急预案和事件报告制度,切实履行网络运营者的安全保护义务。

市通信管理局相关负责人强调,网络安全事关国家安全,各网络运营者要以上述典型案例为警示,进一步加强树立正确的网络安全观,进一步深入学习网络安全法律法规,对法律规定的网络安全责任义务要不折不扣的履行落实,不断强化内部安全管理,不断提升安全防护水平。下一步,市通信管理局将围绕关键系统安全防护、网络安全威胁处置、用户个人信息保护等重点工作,着力强化监督检查和执法力度,严厉打击各类违法违规行为,坚定不移筑牢公共互联网安全的坚固长城!

声明:本文来自上海通信圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。