北京
《网络数据安全管理条例》正式施行一年来,在上级网信部门指导下,上海市网信办依据《网络安全法》《数据安全法》《个人信息保护法》,以及《网络数据安全管理条例》(以下简称《条例》)等法律法规,持续加大执法力度,规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益。现将典型案例发布如下。
一、未依法履行网络数据安全主体责任,导致发生数据泄露
法律和《条例》明确规定,网络数据处理者在境内开展网络数据处理活动,应当加强网络数据安全防护,建立健全网络数据安全管理制度,采取相应技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用等,并对所处理网络数据的安全承担主体责任。网信部门办案中发现,部分涉案企业未能依法履行网络数据安全主体责任,未采取有效安全防护措施,致使网络数据遭到攻击窃取而泄露。
案例1:某物流运输网络科技企业数据泄露案
该企业主营业务是为物流行业提供技术开发和运维服务,包括面向客户管理货物的运输业务。工作中发现,涉案企业IP开放ES数据库9200端口向公共网络传输大量业务数据,导致其包含部分敏感个人信息的数据疑似被境外可疑IP访问窃取。经查,企业未开展网络安全等级保护测评,涉事系统相关信息未采取加密、访问控制、端口安全策略等防护技术措施,存在未授权访问漏洞,存在数据泄露风险,违反《数据安全法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例2:某物联网科技企业用户数据泄露案
该企业主营业务是为农业、工业、环保、消防、养殖等领域提供物联网技术应用开发。工作中发现,企业涉事服务器存储物联网系统日志信息,并包含敏感个人信息,曾对互联网开放端口导致数据泄露。经查,该企业未有效履行网络数据安全保护义务,未制定网络数据安全管理制度,未采取相应技术措施保障数据安全,存在未授权访问、弱口令等漏洞,违反《数据安全法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以警告处罚。
案例3:某事务中心档案查询系统信息泄露案
该中心主要负责为相关单位提供档案信息管理服务,工作中发现,其档案查询系统存在未授权访问漏洞,用户可通过输入身份证号直接查询到档案状态信息,存在个人信息泄漏风险。经查,该中心未有效履行网络数据安全、个人信息保护主体责任和义务,安全管理制度虚置,未采取加密、访问控制、安全策略等技术措施,系统未按规定留存相关网络日志,违反《个人信息保护法》和《条例》等有关规定。网信部门依法责令中心限期改正,并予以警告处罚。
二、未落实网络数据跨境安全管理要求,导致数据违法违规出境
法律和《条例》明确规定,网络数据处理者向境外提供重要数据或个人信息,应当遵循合法正当必要原则,按照国家网信部门的规定,选择申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等多种方式合规开展数据出境活动。网信部门办案中发现,部分涉案企业未能真正落实相关规定要求,导致数据违规出境造成个人信息安全风险。
案例4:某酒店管理企业违法违规出境用户数据案
该企业主营业务为酒店管理,主要为顾客提供酒店住宿、度假、餐饮等国际旅行服务,因酒店在线上预定场景涉及数据出境,向网信部门申报了数据出境安全评估,但在收到国家网信部门《评估结果通知书》明确相关个人信息数据项出境必要性不足的情况下,未能采取切实有效措施,仍违法违规出境境内自然人个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以罚款处罚。
案例5:某物业管理企业违法违规出境用户数据案
该企业主营业务包括物业管理、酒店管理等全球服务,其运营的APP主要帮助用户管理会员账号和预订,办理入住手续。经查,该企业在未申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情况下,自行向境外提供用户住宿信息,且涉及金融账户等敏感个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以警告处罚。
三、未有效履行个人信息安全保护义务,导致个人信息权益受到侵害
法律和《条例》明确规定,网络数据处理者收集、处理个人信息,不得超范围收集个人信息,不得通过强制、误导、欺诈、胁迫等方式取得个人信息,并对收集的用户个人信息做好相应安全防护措施。网信部门办案中发现,部分涉案企业未能依法履行个人信息保护义务,违规收集、处理个人信息导致公民权益受到侵害。
案例6:某咖啡企业违法违规收集使用个人信息案
该企业主要通过微信小程序等向用户售卖咖啡并收集存储相关用户数据。经查,该企业小程序存在诱导用户提供手机号码、注册会员等问题,并在收集后未能依法履行个人信息保护义务,存在网络数据安全管理制度不健全,未采取加密、去标识等相应安全技术措施存储处理用户个人信息等违法违规行为,违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并给予警告处罚。
案例7:某SDK网络科技企业违法违规收集个人信息案
该企业主要通过SDK为App提供广告营销服务,经查,企业未按其所声明的个人信息收集使用规则,在未通过隐私政策等方式向用户告知的情况下,擅自收集用户已安装的应用列表信息,违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,予以警告处罚,并要求SDK运营者严格落实各项管理要求,从严处理相关责任人。
案例8:某酒店管理企业存在个人信息泄露风险案
该企业运营的App主要为用户提供酒店订单查询服务,经查,企业的API接口未设置身份校验机制,可以根据订单号遍历查询任意人的酒店订单信息,包括客户入住信息、支付信息等个人信息,存在严重个人信息泄露安全风险,违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并对企业开展立案调查,予以警告处罚。
(原标题:《亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例》)
来源:网信上海
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
