今日，公安部网安局公布6起不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。

案例一：贵州公安机关侦办的某政务服务系统未采取技术防护措施被网络攻击案

2025年5月，贵州某单位政务服务系统遭网络攻击，被涉诈犯罪嫌疑人利用，造成群众财产损失400余万元。

贵州公安机关网安部门查明该系统运营者、承建方、运维方等未落实网络安全主体责任，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，未采取监测、记录网络运行状态、网络安全事件的技术措施，未按规定留存网络日志，未及时处置系统漏洞等安全风险，造成严重后果。

当地政府部门已依法对该单位直接负责的主管人员和其他直接责任人给予处分，当地公安机关已依法对系统承建方、运维方等予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

网络安全法第七十二条规定，国家机关政务网络的运营者不履行本法规定的网络安全义务的，由其上级机关或者有关机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。

供应链企业作为网络安全的重要参与者，必须切实履行网络安全保护义务，加强网络安全管理，提升网络安全防护能力。公安机关将继续加强对重要单位和系统的供应链安全评估，依法严厉查处各类网络安全违法行为。

案例二：江苏公安机关侦办的某短信平台未采取技术防护措施被网络攻击案

2025年5月，江苏苏州吴江某公司建设的短信群发系统被攻击冒用，并发送诈骗短信27000余条。

江苏公安机关网安部门查明因相关短信群发平台未进行等保备案测评，未采取技术防护措施，导致被犯罪嫌疑人攻击控制，短信服务被冒用滥发。

当地公安机关已依法对该系统建设运维方予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

网络安全等级保护制度是法律要求，是维护国家网络空间主权的关键，是保障公共服务稳定的基础，是降低企业安全风险、保护权益的必要措施。

网络运营者通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可提升系统的安全防护能力，降低被网络攻击的风险。

案例三：河南公安机关侦办的某学校系统遭攻击导致数据泄露案

2025年3月，不法分子在境外网上兜售舞钢市某学校个人信息数据。

河南公安机关网安部门查明，相关数据泄露源头为该校智慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储，系统未设置访问控制、安全认证等技术措施，导致系统数据被犯罪嫌疑人网络攻击窃取，且该校在委托第三方公司处理业务数据和个人信息时，未在合同中明确接收方的数据安全保护义务并监督其履约。

当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

学校等教育机构收集处理的个人信息多且敏感，一旦泄露，可能被不法分子用于诈骗、非法信贷等违法犯罪活动，严重威胁学生群体财产和人身安全。

学校作为数据处理者，应健全数据分类分级保护制度，针对数据采集、存储、传输等环节采取专用安全防护措施，强化网络边界防护，形成体系化、层次化网络和数据安全防护能力，保障网络和数据安全。

案例四：安徽公安机关侦办的某电子商务公司旅客购票信息泄露案

2025年5月，安徽合肥某电子商务有限公司旗下网站内的旅客购票信息遭泄露。

安徽公安机关网安部门查明，由于该公司网络和数据安全保护意识薄弱，未制定网络安全管理制度和个人信息保护制度，未开展等级保护工作，未按规定要求留存网络日志数据，未采取技术防护措施，未及时处置系统漏洞风险，导致相关数据被犯罪嫌疑人批量爬取。

当地公安机关已依法对该公司予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

“高危漏洞、高危端口、弱口令”风险问题将导致网络系统在黑客面前“不设防”，可能被黑客攻击利用导致信息泄露、系统崩溃、权限被非法获取等严重后果。

网络安全法规定，网络运营者应履行网络安全保护义务，制定网络安全事件应急预案，及时处置计算机病毒、系统漏洞、网络入侵等安全风险。

案例五：云南公安机关侦办的某科技公司App数据泄露案

2025年4月，云南公安机关网安部门集中开展侵犯公民个人信息打击整治工作，打掉一批侵犯公民信息的犯罪团伙，查明部分公民个人信息数据泄露源头为云南某科技有限公司开发的“通讯录”App。

经查，该公司因内部管理混乱，缺乏用户身份信息核对机制，对公民信息数据未尽到保护责任，保护措施不力，导致大量公民个人信息泄露，被犯罪嫌疑人非法获取并贩卖。

当地公安机关已依法对该公司和实际负责人予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

网络运营者、数据处理者必须严格落实安全主体责任，健全完善内部管理制度，落实网络和数据最小访问原则和多因素认证措施，强化员工安全培训，提升安全意识，筑牢网络和数据安全防线。

案例六：上海公安机关办理的某跨国公司不履行个人信息保护义务案

2025年5月，多家媒体报道境外某时尚消费品牌发生数据泄露事件，中国大陆地区用户也陆续收到该公司警示短信。

上海公安机关网安部门查明，该品牌中国公司未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向境外总部传输用户个人信息，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”，未对收集的个人信息采取加密、去标识化等安全技术措施。

当地公安机关已依法对该公司予以行政处罚并责令限期改正。

请个人信息处理者以此案为鉴，遵循合法、正当、必要和诚信原则，落实个人信息保护法关于个人信息处理、跨境提供相关规定，规范个人信息收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理活动，切实保护用户个人信息安全。

江苏公安机关网安部门查明因相关短信群发平台未进行等保备案测评，未采取技术防护措施，导致被犯罪嫌疑人攻击控制，短信服务被冒用滥发。网络运营者通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可提升系统的安全防护能力，降低被网络攻击的风险。