《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》正式施行一年來，在上級(jí)網(wǎng)信部門指導(dǎo)下，上海市網(wǎng)信辦依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(以下簡稱《條例》）等法律法規(guī)，持續(xù)加大執(zhí)法力度，規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保障網(wǎng)絡(luò)數(shù)據(jù)安全，促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用，保護(hù)個(gè)人、組織的合法權(quán)益。現(xiàn)將典型案例發(fā)布如下。

一、未依法履行網(wǎng)絡(luò)數(shù)據(jù)安全主體責(zé)任，導(dǎo)致發(fā)生數(shù)據(jù)泄露

法律和《條例》明確規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者在境內(nèi)開展網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)，建立健全網(wǎng)絡(luò)數(shù)據(jù)安全管理制度，采取相應(yīng)技術(shù)措施和其他必要措施，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)免遭篡改、破壞、泄露或者非法獲取、非法利用等，并對(duì)所處理網(wǎng)絡(luò)數(shù)據(jù)的安全承擔(dān)主體責(zé)任。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能依法履行網(wǎng)絡(luò)數(shù)據(jù)安全主體責(zé)任，未采取有效安全防護(hù)措施，致使網(wǎng)絡(luò)數(shù)據(jù)遭到攻擊竊取而泄露。

案例1：某物流運(yùn)輸網(wǎng)絡(luò)科技企業(yè)數(shù)據(jù)泄露案

該企業(yè)主營業(yè)務(wù)是為物流行業(yè)提供技術(shù)開發(fā)和運(yùn)維服務(wù)，包括面向客戶管理貨物的運(yùn)輸業(yè)務(wù)。工作中發(fā)現(xiàn)，涉案企業(yè)IP開放ES數(shù)據(jù)庫9200端口向公共網(wǎng)絡(luò)傳輸大量業(yè)務(wù)數(shù)據(jù)，導(dǎo)致其包含部分敏感個(gè)人信息的數(shù)據(jù)疑似被境外可疑IP訪問竊取。經(jīng)查，企業(yè)未開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)，涉事系統(tǒng)相關(guān)信息未采取加密、訪問控制、端口安全策略等防護(hù)技術(shù)措施，存在未授權(quán)訪問漏洞，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，違反《數(shù)據(jù)安全法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并予以警告、罰款處罰。

案例2：某物聯(lián)網(wǎng)科技企業(yè)用戶數(shù)據(jù)泄露案

該企業(yè)主營業(yè)務(wù)是為農(nóng)業(yè)、工業(yè)、環(huán)保、消防、養(yǎng)殖等領(lǐng)域提供物聯(lián)網(wǎng)技術(shù)應(yīng)用開發(fā)。工作中發(fā)現(xiàn)，企業(yè)涉事服務(wù)器存儲(chǔ)物聯(lián)網(wǎng)系統(tǒng)日志信息，并包含敏感個(gè)人信息，曾對(duì)互聯(lián)網(wǎng)開放端口導(dǎo)致數(shù)據(jù)泄露。經(jīng)查，該企業(yè)未有效履行網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)，未制定網(wǎng)絡(luò)數(shù)據(jù)安全管理制度，未采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全，存在未授權(quán)訪問、弱口令等漏洞，違反《數(shù)據(jù)安全法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并予以警告處罰。

案例3：某事務(wù)中心檔案查詢系統(tǒng)信息泄露案

該中心主要負(fù)責(zé)為相關(guān)單位提供檔案信息管理服務(wù)，工作中發(fā)現(xiàn)，其檔案查詢系統(tǒng)存在未授權(quán)訪問漏洞，用戶可通過輸入身份證號(hào)直接查詢到檔案狀態(tài)信息，存在個(gè)人信息泄漏風(fēng)險(xiǎn)。經(jīng)查，該中心未有效履行網(wǎng)絡(luò)數(shù)據(jù)安全、個(gè)人信息保護(hù)主體責(zé)任和義務(wù)，安全管理制度虛置，未采取加密、訪問控制、安全策略等技術(shù)措施，系統(tǒng)未按規(guī)定留存相關(guān)網(wǎng)絡(luò)日志，違反《個(gè)人信息保護(hù)法》和《條例》等有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令中心限期改正，并予以警告處罰。

二、未落實(shí)網(wǎng)絡(luò)數(shù)據(jù)跨境安全管理要求，導(dǎo)致數(shù)據(jù)違法違規(guī)出境

法律和《條例》明確規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)或個(gè)人信息，應(yīng)當(dāng)遵循合法正當(dāng)必要原則，按照國家網(wǎng)信部門的規(guī)定，選擇申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證等多種方式合規(guī)開展數(shù)據(jù)出境活動(dòng)。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能真正落實(shí)相關(guān)規(guī)定要求，導(dǎo)致數(shù)據(jù)違規(guī)出境造成個(gè)人信息安全風(fēng)險(xiǎn)。

案例4：某酒店管理企業(yè)違法違規(guī)出境用戶數(shù)據(jù)案

該企業(yè)主營業(yè)務(wù)為酒店管理，主要為顧客提供酒店住宿、度假、餐飲等國際旅行服務(wù)，因酒店在線上預(yù)定場景涉及數(shù)據(jù)出境，向網(wǎng)信部門申報(bào)了數(shù)據(jù)出境安全評(píng)估，但在收到國家網(wǎng)信部門《評(píng)估結(jié)果通知書》明確相關(guān)個(gè)人信息數(shù)據(jù)項(xiàng)出境必要性不足的情況下，未能采取切實(shí)有效措施，仍違法違規(guī)出境境內(nèi)自然人個(gè)人信息，其行為違反《個(gè)人信息保護(hù)法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并予以罰款處罰。

案例5：某物業(yè)管理企業(yè)違法違規(guī)出境用戶數(shù)據(jù)案

該企業(yè)主營業(yè)務(wù)包括物業(yè)管理、酒店管理等全球服務(wù)，其運(yùn)營的APP主要幫助用戶管理會(huì)員賬號(hào)和預(yù)訂，辦理入住手續(xù)。經(jīng)查，該企業(yè)在未申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證的情況下，自行向境外提供用戶住宿信息，且涉及金融賬戶等敏感個(gè)人信息，其行為違反《個(gè)人信息保護(hù)法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并予以警告處罰。

三、未有效履行個(gè)人信息安全保護(hù)義務(wù)，導(dǎo)致個(gè)人信息權(quán)益受到侵害

法律和《條例》明確規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者收集、處理個(gè)人信息，不得超范圍收集個(gè)人信息，不得通過強(qiáng)制、誤導(dǎo)、欺詐、脅迫等方式取得個(gè)人信息，并對(duì)收集的用戶個(gè)人信息做好相應(yīng)安全防護(hù)措施。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能依法履行個(gè)人信息保護(hù)義務(wù)，違規(guī)收集、處理個(gè)人信息導(dǎo)致公民權(quán)益受到侵害。

案例6：某咖啡企業(yè)違法違規(guī)收集使用個(gè)人信息案

該企業(yè)主要通過微信小程序等向用戶售賣咖啡并收集存儲(chǔ)相關(guān)用戶數(shù)據(jù)。經(jīng)查，該企業(yè)小程序存在誘導(dǎo)用戶提供手機(jī)號(hào)碼、注冊(cè)會(huì)員等問題，并在收集后未能依法履行個(gè)人信息保護(hù)義務(wù)，存在網(wǎng)絡(luò)數(shù)據(jù)安全管理制度不健全，未采取加密、去標(biāo)識(shí)等相應(yīng)安全技術(shù)措施存儲(chǔ)處理用戶個(gè)人信息等違法違規(guī)行為，違反《個(gè)人信息保護(hù)法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并給予警告處罰。

案例7：某SDK網(wǎng)絡(luò)科技企業(yè)違法違規(guī)收集個(gè)人信息案

該企業(yè)主要通過SDK為App提供廣告營銷服務(wù)，經(jīng)查，企業(yè)未按其所聲明的個(gè)人信息收集使用規(guī)則,在未通過隱私政策等方式向用戶告知的情況下，擅自收集用戶已安裝的應(yīng)用列表信息,違反《個(gè)人信息保護(hù)法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，予以警告處罰，并要求SDK運(yùn)營者嚴(yán)格落實(shí)各項(xiàng)管理要求，從嚴(yán)處理相關(guān)責(zé)任人。

案例8：某酒店管理企業(yè)存在個(gè)人信息泄露風(fēng)險(xiǎn)案

該企業(yè)運(yùn)營的App主要為用戶提供酒店訂單查詢服務(wù)，經(jīng)查，企業(yè)的API接口未設(shè)置身份校驗(yàn)機(jī)制，可以根據(jù)訂單號(hào)遍歷查詢?nèi)我馊说木频暧唵涡畔?，包括客戶入住信息、支付信息等個(gè)人信息，存在嚴(yán)重個(gè)人信息泄露安全風(fēng)險(xiǎn)，違反《個(gè)人信息保護(hù)法》和《條例》有關(guān)規(guī)定。網(wǎng)信部門依法責(zé)令企業(yè)限期改正，并對(duì)企業(yè)開展立案調(diào)查，予以警告處罰。

（原標(biāo)題：《亮劍浦江｜強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全 上海發(fā)布2025年執(zhí)法典型案例》）