9月18日,据公安部官网消息,公安部网安局公布“护网—2025”专项工作6起行政执法典型案例,其中包括上海公安机关办理的某跨国公司不履行个人信息保护义务案。
2025年5月,多家媒体报道境外某时尚消费品牌发生数据泄露事件,中国大陆地区用户也陆续收到该公司警示短信。
上海公安机关网安部门查明,该品牌中国公司未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向境外总部传输用户个人信息,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”,未对收集的个人信息采取加密、去标识化等安全技术措施。当地公安机关已依法对该公司予以行政处罚并责令限期改正。
此次公布的另外5起案例如下:
贵州公安机关侦办的某政务服务系统未采取技术防护措施被网络攻击案
2025年5月,贵州某单位政务服务系统遭网络攻击,被涉诈犯罪嫌疑人利用,造成群众财产损失400余万元。贵州公安机关网安部门查明该系统运营者、承建方、运维方等未落实网络安全主体责任,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,未采取监测、记录网络运行状态、网络安全事件的技术措施,未按规定留存网络日志,未及时处置系统漏洞等安全风险,造成严重后果。
当地政府部门已依法对该单位直接负责的主管人员和其他直接责任人给予处分,当地公安机关已依法对系统承建方、运维方等予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
江苏公安机关侦办的某短信平台未采取技术防护措施被网络攻击案
2025年5月,江苏苏州吴江某公司建设的短信群发系统被攻击冒用,并发送诈骗短信27000余条。江苏公安机关网安部门查明因相关短信群发平台未进行等保备案测评,未采取技术防护措施,导致被犯罪嫌疑人攻击控制,短信服务被冒用滥发。
当地公安机关已依法对该系统建设运维方予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
河南公安机关侦办的某学校系统遭攻击导致数据泄露案
2025年3月,不法分子在境外网上兜售舞钢市某学校个人信息数据。河南公安机关网安部门查明,相关数据泄露源头为该校智慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储,系统未设置访问控制、安全认证等技术措施,导致系统数据被犯罪嫌疑人网络攻击窃取,且该校在委托第三方公司处理业务数据和个人信息时,未在合同中明确接收方的数据安全保护义务并监督其履约。
当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
安徽公安机关侦办的某电子商务公司旅客购票信息泄露案
2025年5月,安徽合肥某电子商务有限公司旗下网站内的旅客购票信息遭泄露。安徽公安机关网安部门查明,由于该公司网络和数据安全保护意识薄弱,未制定网络安全管理制度和个人信息保护制度,未开展等级保护工作,未按规定要求留存网络日志数据,未采取技术防护措施,未及时处置系统漏洞风险,导致相关数据被犯罪嫌疑人批量爬取。
当地公安机关已依法对该公司予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
云南公安机关侦办的某科技公司APP数据泄露案
2025年4月,云南公安机关网安部门集中开展侵犯公民个人信息打击整治工作,打掉一批侵犯公民信息的犯罪团伙,查明部分公民个人信息数据泄露源头为云南某科技有限公司开发的“通讯录”APP。
经查,该公司因内部管理混乱,缺乏用户身份信息核对机制,对公民信息数据未尽到保护责任,保护措施不力,导致大量公民个人信息泄露,被犯罪嫌疑人非法获取并贩卖。
当地公安机关已依法对该公司和实际负责人予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
