快遞面單變“洩密單”？500萬條公民個人資訊被非法擷取

破壞計算機資訊系統非法篡改打車資料？非法售賣快遞物流面單個人資訊？網際網路公司未履行個人資訊保護義務且存在超範圍收集公民個人資訊行為？罰！7月26日，廣州市警察局網絡警察支隊公布2022年廣州市網絡安全十大典型案例。

據悉，2022年，廣州警方以“淨網”專項行動為抓手，強力推進打擊突出網絡違法犯罪、網絡安全執法檢查等工作，全面治理網絡亂象，不斷淨化網絡生态，有力確定了網絡空間平安穩定和清理有序。

◉案例1：

某科技公司未履行資料安全保護義務導緻存在資料洩露風險隐患被處罰

2022年3月，廣州警方工作發現，廣州某科技公司向各地駕校提供的某駕培平台儲存處理了駕校教育訓練學員的姓名、證件号、手機号、個人照片等公民個人資訊資料被挂在外網售賣。經查，該公司沒有建立資料安全管理制度和操作規程，對采集到的個人資訊未采取去辨別化和加密措施，且系統存在未授權通路漏洞，未落實網絡安全等級保護制度，存在資料洩露的重大風險隐患，違反《資料安全法》第二十七條之規定。

廣州警方依據《資料安全法》第四十五條第一款規定，對該公司作出警告并處罰款人民币5萬元，該案是廣東省首宗适用《資料安全法》進行執法的行政案件。

【警方提示】

資料作為第五大生産要素，其安全已經成為事關國家安全與經濟社會發展的重大問題。根據《資料安全法》相關規定，各機關開展資料處理活動必須在網絡安全等級保護制度的基礎上，建立健全全流程資料安全管理制度，組織開展資料安全教育教育訓練，采取相應的技術措施和其他必要措施，保障資料安全，依法做到資料采集合規、資料留存保護、資料使用合法。對于不履行資料安全保護義務的違法行為，公安機關将依法堅決打擊，切實保障數字經濟健康發展。

◉案例2：

提供虛假加粉點贊、虛假人氣關注服務，某幫派非法引流被處罰

2022年，廣州警方根據線索深入研判發現一個利用技術手段為娛樂明星、網紅主播視訊作品及直播間，提供虛假加粉點贊、虛假人氣關注服務的團夥。

該團夥為躲避網絡平台風控措施，專門開發和營運用于短視訊刷贊、點贊的程式，通過使用技術手段批量模拟真人使用者刷贊。該團夥豢養虛假使用者賬号超10萬個，使用技術手段實作虛假點贊約100萬餘人/日，涉案金額大、犯罪生态鍊條完整，嚴重擾亂網絡空間秩序。廣州警方開展統一收網行動，抓獲犯罪嫌疑人21名，繳獲作案電腦、手機、黑客程式工具一批。

【警方提示】

“網絡水軍”從事編造虛假資訊、诽謗攻擊、非法推廣、非法删帖等違法活動，危害網際網路生态，擾亂正常的市場秩序，是違法的行為，切勿以身試法。

◉案例3：

某公司資訊系統僅備案未按規定開展等級保護測評被處罰

2022年7月，廣州警方在工作中發現，廣州某教育科技有限公司營運使用的“某線上1對1系統”确定為第二級資訊系統，且在2021年7月到公安機關進行了網絡安全等級保護備案。但該系統上線運作前及運作之後，廣州某教育科技有限公司一直未按規定對系統的安全等級狀況開展等級保護測評，未充分落實網絡安全等級保護制度，未履行網絡安全保護義務，違反了《廣東省計算機資訊系統安全保護條例》第十二條之規定。

根據《廣東省計算機資訊系統安全保護條例》第四十條第一款第（二）項之規定，廣州警方對該公司作出行政處罰，并責令其限期改正。

【警方提示】

網絡安全等級保護制度是《網絡安全法》規定網絡營運者必須落實的一項法定義務，也是新時期保障網絡安全的一項基本國策和基本制度。第二級及以上資訊系統建設完成後，除依法應當到公安機關進行等級保護備案外，還應當依據國家規定的技術标準，對資訊系統的安全等級狀況開展等級保護測評，且測評合格後方可投入運作使用。

◉案例4：

某幫派售賣非法控制停車場車輛道閘系統工具被處罰

2022年6月，廣州警方工作中發現一個依托電商平台，推廣、銷售具備非法拷貝、控制功能的車閘遙控裝置的作案團夥。經進一步偵查，警方發現該團夥生産的車閘遙控裝置可以擷取停車場車輛道閘系統控制信号，進而獲得車閘開啟權，每套裝置獲利20-200元人民币不等，嚴重破壞停車場經營秩序。

廣州警方開展統一收網行動，一舉抓獲犯罪嫌疑人15名，繳獲非法控制車閘遙控裝置1萬餘套，搗毀窩點倉庫1個，查明涉案金額超百萬元。

【警方提示】

違反國家規定，擅自提供專門用于侵入、非法控制計算機資訊系統的程式、工具的行為涉嫌違法犯罪，切勿以身試法。

◉案例5：

某醫院第三級等保系統未落實“每年至少進行一次等級保護測評”法定義務而被處罰

2022年9月，廣州警方在工作中發現，廣州某醫院建設營運的“電子病曆EMR系統”确定為三級網絡，并于2020年6月按規定到公安機關進行了網絡安全等級保護備案。但該系統自投入運作以來，醫院一直未按規定對其安全等級狀況開展等級保護測評，經公安機關督促整改後仍未進行改正，且醫院的相關負責人員對該資訊系統的安全情況完全不了解、不清楚，更沒有對系統安全風險及時進行排查整改，未落實網絡安全等級保護制度，未履行網絡安全保護義務，違反了《資訊安全等級保護管理辦法》第十四條之規定。

根據《資訊安全等級保護管理辦法》第四十條第一款第（四）項之規定，廣州警方對該醫院作出行政處罰，并責令其限期改正。

【警方提示】

醫療衛生、教育行業等領域資訊系統衆多，且承載了大量的個人敏感資訊和重要資料，是網絡安全保護的重要行業，也是網絡安全等級保護工作的重點對象。根據《資訊安全等級保護管理辦法》的規定，資訊系統建設完成後，營運、使用機關應當依據國家相關技術标準，定期對資訊系統安全等級狀況開展等級保護測評，且第三級資訊系統應當每年至少進行一次等級保護測評。

各網絡營運者均要嚴格遵守相關法律法規規定，嚴格落實網絡安全等級保護定級、備案、測評等法定要求，建立健全内部安全管理制度和操作規程，落實網絡安全保護責任，采取相關技術措施，保障資訊系統安全穩定運作。

◉案例6：

某幫派破壞計算機資訊系統非法篡改打車資料被處罰

2022 年5 月，廣州警方工作中發現，有人使用代理伺服器代叫“網約車”。經深入偵查發現，犯罪嫌疑人通過非法破壞計算機資訊系統篡改網絡資料包，修改打車目的地坐标和訂單号，進而繞過打車平台關于長途網約車的預支款機制，通過下遊中介進行“代打車”，修改打車金額為起步價，繞開打車平台因距離遠、價錢高需提前支付預付款的限制，進而實施“代叫車”；打車結束後，以正常打車價的3 到5 折向乘客收取費用，并棄用打車賬号（即逃單），以此非法獲利。

廣州警方開展統一收網行動，成功打掉了該涉嫌破壞計算機資訊系統罪和詐騙罪的作案團夥，抓獲犯罪嫌疑人共20人，扣押涉案伺服器、電腦、手機、銀行卡、POS 機、微信賬号、服務端和手機用戶端程式等涉案物品一批，經查，該團夥非法獲利達28萬餘元。

【警方提示】

技術本身沒有好壞，但利用技術危害網絡安全、牟取不當利益的，必将受到法律嚴懲。

◉案例7:

某醫療門診機構資訊系統上線運作前未按規定開展等級保護測評被處罰

2022年12月，廣州警方在工作中發現，廣州某醫療門診機構營運使用的“網際網路醫院系統”确定為三級網絡，雖然到公安機關進行了網絡安全等級保護備案，但該系統上線運作前及運作之後，廣州某醫療門診機構一直未按規定對系統的安全等級狀況開展等級保護測評，未充分落實網絡安全等級保護制度，未履行網絡安全保護義務，違反了《廣東省計算機資訊系統安全保護條例》第十二條之規定。

根據《廣東省計算機資訊系統安全保護條例》第四十條第一款第（二）項之規定，廣州警方對該醫療門診機構作出行政處罰，并責令其限期改正。

【警方提示】

廣州警方将依據《網絡安全法》《資料安全法》《資訊安全等級保護管理辦法》《廣東省計算機資訊系統安全保護條例》等法律規定，進一步加大網絡安全監管和執法力度，繼續深入開展網絡安全執法檢查，嚴厲查處未落實網絡安全等級保護制度（未備案、未測評）等違法行為，切實維護網絡安全。

◉案例8:

某幫派非法售賣快遞物流面單個人資訊被處罰

2022年4月，廣州警方工作中發現一個通過售賣快遞物流面單為電信詐騙等上遊犯罪提供公民資訊的幫派，該團夥通過買通物流公司人員收買快遞面單，向上家售賣牟利，嚴重侵犯公民個人資訊。廣州警方開展統一收網行動，抓獲該團夥犯罪嫌疑人21名，起獲作案手機、作案電腦100餘台，收繳非法擷取的公民個人資訊高達500萬條。

【警方提示】

快遞物流等掌握大量公民個人資訊的行業要加強從業人員管理，嚴格遵守各項法律法規，告誡員工切莫以身試法。廣大群衆要提高防範意識，如遇資訊洩露，可向公安機關、網際網路管理部門、市場監管部門、消協、行業主管部門和相關機構進行投訴舉報。

◉案例9：

某企業未及時修複網站漏洞被依法處罰

2022年3月，廣州警方在工作中發現，廣州某企業所營運的網站存在高危漏洞，存在網絡安全隐患，遂對該企業發出網絡安全整改通知書，要求其限期修複漏洞。但該企業管理人員網絡安全意識淡薄，未引起足夠重視，導緻漏洞逾期未修複。該行為違反了《網絡安全法》第二十五條之規定，廣州警方依法對其作出行政處罰，詳細解釋其行為可能造成的危害後果，并責令其限期改正。

【警方提示】

網絡漏洞屬于常見的網絡安全隐患，但若不及時處置，容易引發黑客攻擊或資料洩露風險，導緻企業或公民個人資訊、财産的洩漏和損失。《網絡安全法》規定網絡營運者應承擔相應的網絡安全責任和義務，在收到公安機關出具的《網絡安全整改通知書》後，應立即按照要求修複漏洞消除隐患，確定系統網絡和資料安全。若對網絡漏洞逾期不改或拒不整改而造成網絡安全危害後果的，公安機關将依法追究其法律責任。

◉案例10：

某網際網路公司未履行個人資訊保護義務且存在超範圍收集公民個人資訊被處罰

2022年6月，廣州警方在工作中發現，廣州某網際網路公司開發營運的某教育類APP在未經使用者同意就違規收集個人資訊，甚至在使用者關閉APP程序後，仍不間斷收集個人資訊。并且，該公司未向使用者明示全部收集個人資訊的目的、方式和範圍，向第三方明文傳輸使用者敏感資訊，存在資料安全風險隐患，違反了《網絡安全法》第四十一條規定。

警方在複核過程中，發現該公司逾期仍未落實相關整改措施，導緻上述違法違規行為仍然存在。根據《網絡安全法》有關規定，廣州警方依法作出對該公司處罰款2萬元、對該APP主要負責人處罰款1萬元的處罰，并責令限期改正。

【警方提示】

随着網際網路資訊技術發展，網際網路公司等網絡營運者收集掌握着越來越多的公民個人資訊，根據《網絡安全法》和《資料安全法》要求，網絡營運者要嚴格履行個人資訊保護義務，收集、使用個人資訊應當遵循合法、正當、必要和誠信原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，并經被收集者同意，不得收集與提供服務無關的個人資訊，不得将個人資訊用作與提供服務無關的用途。

近年來，國家不斷加強對網絡安全、資料安全、個人資訊的保護力度，各類網絡營運者要嚴格落實網絡和資料安全主體責任，認真履行網絡安全保護義務，合法合規收集、使用個人資訊，切勿以身試法，觸碰法律紅線。廣大市民群衆也要提升自身個人資訊保護意識，通過正規應用商店下載下傳APP，并仔細閱讀APP隐私政策，拒絕接受不合理的權限申請。

文/廣州日報·新花城記者：張丹羊、葉作林 通訊員：公新文廣州日報·新花城編輯：龍成柳