《網(wǎng)絡數(shù)據(jù)安全管理條例》正式施行一年來，在上級網(wǎng)信部門指導下，上海市網(wǎng)信辦依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》，以及《網(wǎng)絡數(shù)據(jù)安全管理條例》(以下簡稱《條例》）等法律法規(guī)，持續(xù)加大執(zhí)法力度，規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，保障網(wǎng)絡數(shù)據(jù)安全，促進網(wǎng)絡數(shù)據(jù)依法合理有效利用，保護個人、組織的合法權益。現(xiàn)將典型案例發(fā)布如下。

一、未依法履行網(wǎng)絡數(shù)據(jù)安全主體責任，導致發(fā)生數(shù)據(jù)泄露

法律和《條例》明確規(guī)定，網(wǎng)絡數(shù)據(jù)處理者在境內(nèi)開展網(wǎng)絡數(shù)據(jù)處理活動，應當加強網(wǎng)絡數(shù)據(jù)安全防護，建立健全網(wǎng)絡數(shù)據(jù)安全管理制度，采取相應技術措施和其他必要措施，保護網(wǎng)絡數(shù)據(jù)免遭篡改、破壞、泄露或者非法獲取、非法利用等，并對所處理網(wǎng)絡數(shù)據(jù)的安全承擔主體責任。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能依法履行網(wǎng)絡數(shù)據(jù)安全主體責任，未采取有效安全防護措施，致使網(wǎng)絡數(shù)據(jù)遭到攻擊竊取而泄露。

案例1：某物流運輸網(wǎng)絡科技企業(yè)數(shù)據(jù)泄露案

該企業(yè)主營業(yè)務是為物流行業(yè)提供技術開發(fā)和運維服務，包括面向客戶管理貨物的運輸業(yè)務。工作中發(fā)現(xiàn)，涉案企業(yè)IP開放ES數(shù)據(jù)庫9200端口向公共網(wǎng)絡傳輸大量業(yè)務數(shù)據(jù)，導致其包含部分敏感個人信息的數(shù)據(jù)疑似被境外可疑IP訪問竊取。經(jīng)查，企業(yè)未開展網(wǎng)絡安全等級保護測評，涉事系統(tǒng)相關信息未采取加密、訪問控制、端口安全策略等防護技術措施，存在未授權訪問漏洞，存在數(shù)據(jù)泄露風險，違反《數(shù)據(jù)安全法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告、罰款處罰。

案例2：某物聯(lián)網(wǎng)科技企業(yè)用戶數(shù)據(jù)泄露案

該企業(yè)主營業(yè)務是為農(nóng)業(yè)、工業(yè)、環(huán)保、消防、養(yǎng)殖等領域提供物聯(lián)網(wǎng)技術應用開發(fā)。工作中發(fā)現(xiàn)，企業(yè)涉事服務器存儲物聯(lián)網(wǎng)系統(tǒng)日志信息，并包含敏感個人信息，曾對互聯(lián)網(wǎng)開放端口導致數(shù)據(jù)泄露。經(jīng)查，該企業(yè)未有效履行網(wǎng)絡數(shù)據(jù)安全保護義務，未制定網(wǎng)絡數(shù)據(jù)安全管理制度，未采取相應技術措施保障數(shù)據(jù)安全，存在未授權訪問、弱口令等漏洞，違反《數(shù)據(jù)安全法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告處罰。

案例3：某事務中心檔案查詢系統(tǒng)信息泄露案

該中心主要負責為相關單位提供檔案信息管理服務，工作中發(fā)現(xiàn)，其檔案查詢系統(tǒng)存在未授權訪問漏洞，用戶可通過輸入身份證號直接查詢到檔案狀態(tài)信息，存在個人信息泄漏風險。經(jīng)查，該中心未有效履行網(wǎng)絡數(shù)據(jù)安全、個人信息保護主體責任和義務，安全管理制度虛置，未采取加密、訪問控制、安全策略等技術措施，系統(tǒng)未按規(guī)定留存相關網(wǎng)絡日志，違反《個人信息保護法》和《條例》等有關規(guī)定。網(wǎng)信部門依法責令中心限期改正，并予以警告處罰。

二、未落實網(wǎng)絡數(shù)據(jù)跨境安全管理要求，導致數(shù)據(jù)違法違規(guī)出境

法律和《條例》明確規(guī)定，網(wǎng)絡數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)或個人信息，應當遵循合法正當必要原則，按照國家網(wǎng)信部門的規(guī)定，選擇申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證等多種方式合規(guī)開展數(shù)據(jù)出境活動。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能真正落實相關規(guī)定要求，導致數(shù)據(jù)違規(guī)出境造成個人信息安全風險。

案例4：某酒店管理企業(yè)違法違規(guī)出境用戶數(shù)據(jù)案

該企業(yè)主營業(yè)務為酒店管理，主要為顧客提供酒店住宿、度假、餐飲等國際旅行服務，因酒店在線上預定場景涉及數(shù)據(jù)出境，向網(wǎng)信部門申報了數(shù)據(jù)出境安全評估，但在收到國家網(wǎng)信部門《評估結果通知書》明確相關個人信息數(shù)據(jù)項出境必要性不足的情況下，未能采取切實有效措施，仍違法違規(guī)出境境內(nèi)自然人個人信息，其行為違反《個人信息保護法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以罰款處罰。

案例5：某物業(yè)管理企業(yè)違法違規(guī)出境用戶數(shù)據(jù)案

該企業(yè)主營業(yè)務包括物業(yè)管理、酒店管理等全球服務，其運營的APP主要幫助用戶管理會員賬號和預訂，辦理入住手續(xù)。經(jīng)查，該企業(yè)在未申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情況下，自行向境外提供用戶住宿信息，且涉及金融賬戶等敏感個人信息，其行為違反《個人信息保護法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告處罰。

三、未有效履行個人信息安全保護義務，導致個人信息權益受到侵害

法律和《條例》明確規(guī)定，網(wǎng)絡數(shù)據(jù)處理者收集、處理個人信息，不得超范圍收集個人信息，不得通過強制、誤導、欺詐、脅迫等方式取得個人信息，并對收集的用戶個人信息做好相應安全防護措施。網(wǎng)信部門辦案中發(fā)現(xiàn)，部分涉案企業(yè)未能依法履行個人信息保護義務，違規(guī)收集、處理個人信息導致公民權益受到侵害。

案例6：某咖啡企業(yè)違法違規(guī)收集使用個人信息案

該企業(yè)主要通過微信小程序等向用戶售賣咖啡并收集存儲相關用戶數(shù)據(jù)。經(jīng)查，該企業(yè)小程序存在誘導用戶提供手機號碼、注冊會員等問題，并在收集后未能依法履行個人信息保護義務，存在網(wǎng)絡數(shù)據(jù)安全管理制度不健全，未采取加密、去標識等相應安全技術措施存儲處理用戶個人信息等違法違規(guī)行為，違反《個人信息保護法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并給予警告處罰。

案例7：某SDK網(wǎng)絡科技企業(yè)違法違規(guī)收集個人信息案

該企業(yè)主要通過SDK為App提供廣告營銷服務，經(jīng)查，企業(yè)未按其所聲明的個人信息收集使用規(guī)則,在未通過隱私政策等方式向用戶告知的情況下，擅自收集用戶已安裝的應用列表信息,違反《個人信息保護法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，予以警告處罰，并要求SDK運營者嚴格落實各項管理要求，從嚴處理相關責任人。

案例8：某酒店管理企業(yè)存在個人信息泄露風險案

該企業(yè)運營的App主要為用戶提供酒店訂單查詢服務，經(jīng)查，企業(yè)的API接口未設置身份校驗機制，可以根據(jù)訂單號遍歷查詢?nèi)我馊说木频暧唵涡畔?，包括客戶入住信息、支付信息等個人信息，存在嚴重個人信息泄露安全風險，違反《個人信息保護法》和《條例》有關規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并對企業(yè)開展立案調(diào)查，予以警告處罰。

（原標題：《亮劍浦江｜強化網(wǎng)絡數(shù)據(jù)安全 上海發(fā)布2025年執(zhí)法典型案例》）