【警示】2021 等保處罰十大經典案例
案例一 瀘州某醫院不履行網絡安全保護義務案
簡要案情: 2021年6月,瀘州某醫院遭受網絡攻擊,造成全院系統癱瘓。瀘州公安機關迅速調集技術力量趕赴現場,指導相關單位開展事件調查和應急處置工作。經調查發現,該醫院未制定內部安全管理制度和操作流程,未確定網絡安全負責人,未采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,導致被黑客攻擊造成系統癱瘓。瀘州公安機關根據《中華人民共和國網絡安全法》第二十一條和五十九條之規定,對該院處以責令改正并警告的行政處罰。
案件警示: 部分單位在信息化建設和應用中,存在“重應用,輕防護”的思想,對網絡安全工作不重視、安全防護意識淡薄,未嚴格按照法律要求履行網絡安全主體責任,存在較大安全隱患和漏洞被黑客利用進行攻擊,導致部分信息系統或數據遭到破壞。公安機關通過開展“一案雙查”,對于相關單位未履行安全管理義務情況開展調查并給予行政處罰,倒逼單位主動整改,切實履行網絡安全保護義務。
案例二 廣安某單位不履行網絡保護義務案
簡要案情: 2021年2月,廣安某單位所使用的智慧政務一體化平臺被黑客攻擊植入木馬病毒,導致系統文件被加密勒索,廣安公安機關立即以破壞計算機信息系統立案偵查。通過一案雙查發現,該單位未制定內部安全管理制度和操作規程,未采取防范計算機病毒的技術措施,未對重要數據備份和加密,未履行網絡安全保護義務。廣安公安機關根據《中華人民共和國網絡安全法》第二十一條和第五十九條之規定,對該單位作出罰款一萬元、對單位具體責任人趙某作出罰款五千元的行政處罰。
案件警示: 網絡運營單位因未落實網絡安全防護措施造成勒索病毒攻擊破壞,不但要承擔勒索病毒帶來的損失,還要受到法律的懲處。
案例三 涼山某單位未履行安全保護義務案
簡要案情: 近日,涼山公安機關接到報案稱,轄區某學校
60余名學生中考志愿被他人篡改。經連夜偵查發現,系因某單位網站密碼安全等級低,存在網絡漏洞,被一升學無望心生報復的不法分子惡意攻擊篡改。涼山公安機關根據《中華人民共和國網絡安全法》第六十四條之規定,對該單位作出行政警告處罰,并責令限期整改。
案件警示: 網絡運營單位不履行相關安全管理義務,極易為不法分子違法犯罪活動滋生蔓延提供“土壤”和“空間”,造成嚴重危害后果。任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。
案例四 廣元某企業不履行個人信息保護義務案
簡要案情: 2021年7月,廣元公安機關在工作中發現某企業未按約加強對簽約代理商的安全培訓和日常監管,未采取必要的監管和技術措施保護公民個人信息,致使簽約代理商員工利用職務之便,在為客戶辦理手機號開卡及其他通訊業務時,違規向他人提供客戶手機號碼和短信驗證碼,惡意注冊、出售網絡賬號,并非法獲利,造成公民個人信息嚴重受損,該企業涉嫌不履行個人信息保護義務。廣元公安機關根據《中華人民共和國網絡安全法》第二十二條、第四十一條和第四十六條之規定,對該企業處行政警告處罰,對該企業簽約代理商員工李某某、違法行為人趙某某、羅某某、舒某某分別立為刑事案件和行政案件進行偵查和查處。截至目前,全市共開展行政查處24人,刑事查處4人,收繳涉案號卡3100個,涉案碼數3000條,涉及金額20余萬元。
案件警示: 企業在開展業務過程中獲取并留存大量公民個人信息,安全保護措施的落實情況直接關系到公民個人信息安全,企業對數據信息保護措施落實不到位,責任領導和工作人員漠視管理制度,造成危害后果必將受到法律嚴懲。
案例五 成都某公司不履行網絡信息安全管理義務案
簡要案情: 2021年4月,成都公安機關對轄區某公司開展網絡安全監督檢查時,發現該公司上架購買的版權歌曲,未對歌曲內容進行審核,未及時刪除違法有害信息,造成違法有害信息在互聯網上傳播,該公司在實際工作中未履行網絡信息安全管理義務。成都公安機關根據《中華人民共和國網絡安全法》第四十七條和第六十四條之規定,對該公司作出罰款50萬元的行政處罰。
案件警示: 網絡運營者應當加強對其用戶發布信息的管理,發現法律、行政法規禁止發布或者傳輸的信息,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關部門報告。
案例六 南充某物業公司未落實安全技術保護措施案
簡要案情: 2021年2月,南充公安機關執法檢查發現轄區某物業公司安裝人臉識別門禁系統,先后收集業主姓名、身份證號碼、住址門牌和人臉識別照片等個人信息共計6000余條,該物業公司采集公民個人信息未落實安全技術保護措施,存儲公民個人信息電腦未指定專人保管負責,且存在登錄密碼保存可直接點擊登錄等網絡安全管理漏洞和個人信息泄漏風險。南充公安機關根據《中華人民共和國網絡安全法》第二十一條、第五十九條之規定,對該物業公司給予警告的行政處罰。
案件警示: 收集公民個人信息,必須事先取得當事人同意,沒有提示風險,在未征得居民同意情況下收集人臉識別等個人信息數據,屬于非法獲取,涉嫌“侵犯公民個人信息罪”。同時,企業應兼顧效益與安全,采取技術措施和其他必要措施,確保其收集的個人信息數據安全。
案例七 綿陽某單位不履行網絡安全保護義務案
簡要案情: 2021年3月,綿陽市民姜某某在訪問瀏覽綿陽一網站時發現一則刷單廣告,其按照廣告內容下載使用APP聊天軟件后,被刷單詐騙3萬余元。綿陽公安機關在偵辦此案時調查發現,受害人訪問的網站為綿陽市某單位開辦,該網站長期存在大量高危漏洞,前期公安機關已檢查通報督促其限期整改,但該單位仍未引起高度重視,未及時維護處置安全隱患,導致網站被不法分子非法入侵,篡改掛載大量詐騙、賭博、色情廣告暗鏈。綿陽公安機關根據《中華人民共和國網絡安全法》第二十五條、第五十九條之規定,對該單位處以10000元人民幣的罰款,并對該單位法人代表李某某處以個人罰款5000元人民幣的罰款。
案件警示: 部分單位不重視網絡安全,未履行法律、行政法規規定的信息網絡安全管理義務,日常疏于對單位網絡的安全管理和巡查防護,對通報的網絡安全隱患不重視,整改不積極,經監管部門責令改正而仍未整改徹底,導致出現嚴重安全后果,應當承擔法律責任。
案例八 自貢某公司涉嫌非法獲取個人信息案
簡要案情: 2021年5月,自貢公安機關工作發現,轄區某公司片區負責人經公司同意后,以7000元的價格非法購買公民個人信息14000余條,后分發給公司工作人員,使用非法獲取的公民個人信息開展招生工作,涉嫌非法獲取個人信息。自貢公安機關根據《中華人民共和國網絡安全法》第四十四條、六十八條之規定,對該公司作出罰款三十萬元的行政處罰。
案件警示: 企業在經營過程中應當堅守法律底線,不得非法獲取、非法提供和非法使用公民個人信息。除法律另有規定或者權利人明確同意外,任何組織或者個人不得以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧。個人信息遭到泄露,相關權利人可以通過行政、民事、刑事手段保護自身合法權益。
案例九 成都某公司不履行網絡信息安全管理義務案
簡要案情: 2021年6月,成都公安機關檢查發現,轄區某公司APP聊天工具,未對群聊內容、圖片、語音進行嚴格審核,未及時刪除違法有害信息,造成大量網絡黑灰產信息在群聊里發布,該公司在實際工作中未履行網絡信息安全管理義務。成都公安機關根據《中華人民共和國網絡安全法》第四十七條、第六十四條之規定,對該公司作出罰款10萬元、對公司技術負責人作出罰款1萬元的行政處罰。
案件警示: 網絡運營者對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄,在開展業務過程中對相關內容審核措施落實不到位,造成大量違法有害信息在互聯網上傳播的嚴重后果,線下極易引起現實危害,最終將受到法律嚴懲。
案例十 廣安某單位被網絡攻擊篡改案
簡要案情: 2021年3月,廣安某單位互聯網門戶網站被攻擊篡改,廣安公安機關第一時間督促采取應急處置措施,并立案對該單位遭受攻擊事件開展調查,通過工作發現,該單位信息系統未按規定設立防火墻,未安裝網絡流量監測軟件,未記錄網站訪問日志,未采取防范計算機病毒和網絡攻擊、網絡入侵等危害網絡安全行為的技術措施,網站建設完成至今,未更新安全策略、未落實等級測評等安全防護措施。 廣安公安機關根據《中華人民共和國網絡安全法》第二十一條、第五十九條之規定對負有主體責任的該單位作出罰款1萬元,對直接責任人作出罰款5千元的行政處罰; 對托管單位某公司作出罰款1萬元、對直接責任人作出罰款5千元的行政處罰。
案件警示: 關鍵信息基礎設施運營者未履行法定網絡安全保護義務,未按照國家網絡安全等級保護制度要求,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改,導致危害網絡安全等后果,將追究其法律責任。
