在2024年发生或通报的各类网络犯罪和网络违法案件中,侵害公民个人信息、盗取泄露数据资产的情况一骑绝尘,成为影响网络空间安全的最大风险。一方面,黑客团伙因觊觎数据资产的高价值而采用攻击手段破坏计算机系统,盗取敏感数据变现;另一方面,大量掌握个人信息和关键数据的企业未落实应有的数据安全保护措施,风险敞口巨大,内部威胁激增。以下为本年第一季度公布的重大数据安全及个人信息泄露相关事件,供大家参考。
1月5日,国家金融监管总局对中国银行、中信银行分别处以430万元、400万元罚款。
中国银行存在以下违规违法事实:(一)部分重要信息系统识别不全面,灾备建设和灾难恢复能力不符合监管要求;(二)重要信息系统投产及变更未向监管部门报告,且投产及变更长期不规范引发重要信息系统较大及以上突发事件;(三)信息系统运行风险识别不到位、处置不及时,引发重要信息系统重大突发事件;(四)监管意见整改落实不到位,引发重要信息系统重大突发事件;(五)信息科技外包管理不审慎;(六)网络安全域未开展安全评估,网络架构重大变更未开展风险评估且未向监管部门报告;(七)信息系统突发事件定级不准确,导致未按监管要求上报;(八)迟报重要信息系统重大突发事件;(九)错报漏报监管标准化(EAST)数据。
中信银行存在以下违规违法事实:(一)部分重要信息系统应认定未认定,相关系统未建灾备或灾难恢复能力不符合监管要求;(二)同城数据中心长期存在基础设施风险隐患未得到整改;(三)对外包数据中心的准入前尽职调查和日常管理不符合监管要求,部分数据中心存在风险隐患;(四)数据中心机房演练流于形式,部分演练为虚假演练,实际未开展;(五)数据中心重大变更事项未向监管部门报告;(六)运营中断事件报告不符合监管要求。
1月8日,公安部网安局公布三起不履行网络安全保护义务被处罚案例。
某生物技术公司数据泄露案
2023年6月,昌平网安部门发现某生物技术有限公司存在数据泄露情况,其委托的另一软件公司研发的“基因外显子数据分析系统”,包含公民信息、技术等信息,涉及泄露数据总量达19.1GB。经检查,该公司在开发系统互联网测试阶段,未对相关数据进行加密,未落实安全保护措施,依法给予警告并处罚款五万元的行政处罚。
某教育公司大量公民个人信息被盗
2023年7月,朝阳网安部门发现某教育公司数据被泄露到境外非法网站上,其客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄露。因该公司技术人员在对系统测试过程中,将有权限的测试账号设为弱口令,且系统正式使用后未删除测试账号。该公司未建立数据安全管理制度和操作规程,系统未进行安全评估,同时被黑客破解造成大量公民个人信息被盗取,依法给予该公司罚款五万元的行政处罚。
某教务排课系统账号密码被爆破
2023年8月,一境外论坛发布题为“某教育站点70多万订单信息”的帖文,经查,该公司教务排课系统在账号密码传输前未进行加密传输,存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码,通过访问导出大批量后台数据,造成数据泄漏。该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务,依法对该公司给予罚款五万元的行政处罚,给予直接负责的主管人员罚款一万元的行政处罚。
1月11日,浙江省公安厅公布“净网2023”专项行动成绩单,同步公布全省网安部门侦破的典型案例,其中包含三起侵犯公民个人信息案。
某电商公司核心经营数据外泄
2023年11月以来,杭州某电商公司核心经营数据频繁外泄,并被用于实施电信诈骗。经侦查,拱墅警方发现以王某为首的犯罪团伙,以应聘名义进入电商企业,通过在电脑植入木马病毒、远程控制的方式窃取数据,向境外电诈集团贩卖。11月9日,拱墅警方在浙江杭州、山东济南等8省7市抓获王某等犯罪嫌疑人11名,扣押涉案电子设备62台,查获公民个人信息150余万条,已查证涉及杭州本地受害企业13家。
某法律服务公司违规查询公民个人信息
2023年5月,龙湾群众举报当地某法律服务公司违规查询公民个人信息。龙湾警方立即开展深入侦查,发现以叶某为首的犯罪团伙,以金三角为据点,专事招揽境内律师、私人侦探等类型人员,违法开展人员信息查档服务,严重威胁公民个人信息安全。8月,龙湾警方组织警力分赴福建福州、四川成都等地开展统一收网行动,抓获犯罪嫌疑人8名,现场扣押手机100余部、电脑2台,收缴现金和虚拟币总价值150余万元,查明非法获利达1000余万元。
刘某等人侵犯公民个人信息案
2023年3月,网上有人大量购买公民个人身份信息,用于实名注册手机卡后出售。松阳警方深入研判,深挖源头,成功锁定一条侵犯公民个人信息的重大黑灰产业链。同年4月,松阳警方在重庆、湖北黄石、贵州毕节等十省市开展集中收网行动,打掉4个接码团伙、2个雇佣他人实名注册虚商手机卡团伙,摧毁1个“猫池”设备制造工厂,查获“猫池”服务器50台,缴获实名注册虚拟运营商手机卡2万余张。
2月23日,最高检召开“依法惩治网络犯罪 助力网络空间综合治理”发布会,同步发布的典型案例中包含两起数据安全相关案例。
利用网络非法买卖他人实名微信号
2021年1月至2022年8月间,黄某某为谋取非法利益,通过境内及境外聊天软件等网络途径,发布收购微信账号广告,以每个70元至400元不等的价格向社会不特定人群购买实名认证的微信号,并向卖家谎称已注销实名认证信息。后加价将上述含有公民个人信息的微信号批量出售给他人。经查,黄某某合计买卖微信号1300余个,违法所得30余万元,个人非法获利14万余元。
离职人员远程登录服务器删除数据
吕某某系北京某科技公司的IT高级工程师,负责该公司网络机房与服务器管理。2022年7月,吕某某从公司离职。因离职前曾与公司负责人员发生矛盾,吕某某怀恨在心。2023年5月,吕某某在家中使用其原有的管理员账号和密码,通过其本人手机登录该公司的共享服务器账户,修改管理员密码,并删除共享服务器磁盘中的数据和操作日志。随后北京某科技公司发现大量工作数据丢失,影响正常工作开展,后为恢复数据共计花费12万余元。
1月29日,“亮剑浦江”专项行动期间,上海市区两级网信、市场监管部门累计检查企业6043家,依法对520余家企业进行约谈,查处各类个人信息保护案件50余件。部分典型案例如下:
在收集环节,强制要、过度取个人信息问题依然存在。如,某餐饮企业的外送微信小程序在收货地址填写环节,强制用户同意打开精准位置权限,否则无法添加收货地址,属于对消费者非必要个人信息强制索权。
在存储环节,大量个人信息未加密处于“裸奔”状态。如,某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息;某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息;某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息。
在使用传输环节,企业随意授权放权管理不到位。不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题。如企业内部操作权限设置不合理,在没有授权审批流程的情况下,相关工作人员可以导出包括手机号码在内的用户个人信息,容易导致数据被滥用。
在管理制度上企业关于个人信息保护措施明显缺失。被处罚的企业大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度,部分未按照法律规定确定个人信息保护责任人,建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
在安全防护上网络信息系统存在安全漏洞。被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞,如一家房产中介企业的网络安全高危漏洞达到7个,还有中低危漏洞8个,易被不法分子利用,存在大量数据被泄漏或被窃取等安全风险。
1月30日,因开发应用的网站数据库存在未授权访问的漏洞,导致公民个人信息泄露。经调查,该公司于2023年1月开发一家网站,存储包含用户姓名、手机号、电子邮箱等在内的大量个人信息。其未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的措施保障数据安全。同时,在开展数据处理活动时未加强风险监测,造成个人信息泄露等问题。衡阳市网信办依法对该科技公司作出责令改正,给予警告,并处人民币10万元罚款的行政处罚。