网络安全行政执法案例集-互联网行业

2022.12互联网行业网络安全行政执法案例集奇安信行业安全研究中心 总体情况概述 综述每一起重大的网络安全事故的发生，都与政企机构的网络安全建设运维管理疏失密切相关，有的是安全责任意识淡薄导致，有的是等保落实不到位，有的是机构内鬼等，导致的信息泄露、网页被篡改、传播违法信息等。作为网络安全执法部门，公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题，找到自己在安全建设运维管理中的疏失，进而促进自身实战化安全运营能力的提升。 综述奇安信行业安全研究中心联合《安全内参》，针对2020年6月至2022年6月，媒体公开披露的与政企机构相关的各行业千余起网络安全行政执法案例进行整理和分析，筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业，事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况，对公众利益和政企机构利益都产生了极大的影响。 互联网行业综述2020年6月~2022年7月，安全内参共收录互联网行业行政执法案例超35起，其中仅国内便有24起，占68.6%。从公安机关披露的互联网行业网络安全行政执法案例信息来看，近年来互联网行业违反网络安全相关法律法规主要表现在以下两个方面：第一是由于黑产团伙非法买卖/通过入侵获得个人信息而违法。包括姓名、身份证号、联系方式、家庭住址、银行流水、快递面单、身份证照片等。第二是部分政企机构由于管理不当导致被入侵，网站被篡改。 互联网行业典型案例 利用照片制作视频欺骗人脸识别系统，刑事处罚案件回顾：2022年7月，某市检察院办理一例向互联网法院提起的涉人脸识别的公民信息保护民事公益诉讼案。2020年8月起，任某、戴某、陈某3人利用从郑某手中非法购买的高清身份证照片及其他个人信息，利用照片中的头像制作AI（人工智能）视频卖给下家，从中赚取差价。截至案发，郑某等4人出售公民个人信息2000余条，造成了大量公民个人信息被泄露甚至被冒用，严重侵害公民个人信息安全，扰乱正常的社会管理秩序，损害了社会公共利益。法律链接：根据《民法典》第一千一百八十二条、《个人信息保护法个人信息保护法》第六十九条，侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿；处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。违法/犯罪主体黑产团伙违法/犯罪性质其他所属行业互联网影响范围公众利益关键词人脸识别、个人信息触犯法条《民法典》第一千一百八十二条《个人信息保护法》第六十九条机构责任公开资料未明确涉及领域个人信息 违法APP自动抢购商品牟利案件回顾：2022年8月，某地公安局网警大队在工作中发现，某APP具有在商城抢购秒杀商品的功能。经调查锁定以陈某、吴某为首的犯罪团伙。该团伙开发软件对销售网站进行非法入侵，以机器人代替人工在网站内自动抢购商品转卖牟利。警方最终在全国各地抓获犯罪嫌疑人6名，扣押电脑9台，冻结资金150万元。法律链接：根据《中华人民共和国网络安全法》第二十七条，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。违法/犯罪主体黑产团伙违法/犯罪性质外部入侵所属行业互联网影响范围政企机构利益关键词秒杀、抢购触犯法条《中华人民共和国网络安全法》第二十七条机构责任公开资料未明确涉及领域数据安全 入侵电商公司植入黑客木马获取面单获利案案件回顾：2022年7月，某市公安局黄岩分局网警大队在工作中发现，辖区某母婴用品公司打印快递单的电脑疑似被他人植入木马，该木马软件具有获取快递面单数据功能。当地警方立即开展工作，挖掘出一个侵入国内电商公司电脑并安装黑客木马软件，获取快递面单数据贩卖牟利的犯罪团伙。8月，警方组织警力赴福建晋江、广东韶关等地抓获徐某等犯罪嫌疑人6名，扣押作案电脑、U盘若干。法律链接：根据《中华人民共和国网络安全法》第二十七条，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。违法/犯罪主体黑产团伙违法/犯罪性质外部入侵所属行业互联网、生活服务影响范围政企机构利益关键词木马触犯法条《中华人民共和国网络安全法》第二十七条机构责任公开资料未明确涉及领域数据安全 为境外黑灰产网站提供链接服务拒不整改，负责人被刑拘案件回顾：2022年5月，因拒不履行信息网络安全管理义务，某地网安部门对为境外黑灰产网站提供链接服务公司的法人采取强制措施。2021年11月，当地网警在工作中发现某公司旗下网站数次为境外黑灰产网站提供链接服务，随即启动“一案双查”，依据网络安全法对该公司做出行政处罚，责令立即整改并关停网站。2022年1月，网安部门在复查中发现该公司非但没有整改反而继续利用新命名的网站更新外挂违法信息，经查，该公司法人邓某以15000每月的价格为境外赌博网站投放链接，非法获利高达20余万元。目前，因拒不履行信息网络安全管理义务，以拒不履行信息网络安全管理义务罪，对该公司法人邓某采取刑事强制措施。其以投放赌博广告牟利的行为也已被公安机关另案处理。法律链接：按照《中华人民共和国刑法》第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。违法/犯罪主体政企机构违法/犯罪性质机构犯罪所属行业互联网影响范围公众利益关键词黑灰产、拒不整改、帮信罪触犯法条《中华人民共和国刑法》第二百八十六条机构责任机构犯罪涉及领域其他 30人贩卖6亿条个人信息获利800余万案件回顾：2021年1月，某地警方成功侦破一起公安部督办的侵犯公民个人信息案，涉及10多个省市，抓获犯罪嫌疑人30名。该团伙采用境外某聊天工具和区块链虚拟货币收付款，共贩卖个人信息6亿余条，违法所得800余万元。犯罪嫌疑人已被移送检察机关。该团伙贩卖公民信息数量巨大，且贩卖信息中包含数据种类繁多，涉及姓名、身份证号、联系方式、家庭住址、银行流水等众多信息。法律链接：根据《中华人民共和国刑法》第二百五十三条之一与《网络安全法》第四十四条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违法/犯罪主体黑产团伙违法/犯罪性质其他所属行业互联网影响范围公众利益关键词个人信息、聊天触犯法条《中华人民共和国刑法》第二百五十三条之一《网络安全法》第四十四条机构责任公开资料未明确涉及领域个人信息 某门户网站未按等保要求建设导致网站被攻击篡改案件回顾：2021年，某单位互联网门户网站被攻击篡改，公安机关第一时间督促采取应急处置措施，并立案对该单位遭受攻击事件开展调查发现，该单位信息系统未按规定设立防火墙，未安装网络流量监测软件，未记录网站访问日志，未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，网站建设完成至今，未更新安全策略、未落实等级测评等安全防护措施。根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定对负有主体责任的该单位作出罚款1万元，对直接责任人作出罚款5千元的行政处罚；对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。法律链接：根据《中华人民共和国网络安全法》第二十一条、第五十九条。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。不履行的由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。违法/犯罪主体内部人员违法/犯罪性质建设运维管理疏失所属行业互联网影响范围政企机构利益关键词门户网站、篡改触犯法条《中华人民共和国网络安全法》第二十一条机构责任未履行安全保护义务涉及领域管理问题 利用爬虫技术非法获取计算机信息系统数据案案件回顾：2021年5月，某直播公司发现其公司直播数据在小程序上被售卖。经警方调查，李某某自2018年起在未经直播公司授权许可的情况下，与王某某、高某某合作通过非法手段突破、绕过其网络安全机制，爬虫抓取大量该直播公司运营直播平台数据（包括各主播直播时的开播地址、销售额、观看PV（页面浏览量）、UV（独立访客量）等保密数据），并通过自己公司的小程序对外出售非法牟利。至案发，李某某所在公司整合非法获取的数据并出售，非法获利人民币22万余元。当地人民法院以非法获取计算机信息系统数据罪对李某某提起公诉。法律链接：根据《中华人民共和国刑法》第二百八十五条规定，违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违法/犯罪主体黑产团伙违法/犯罪性质外部入侵所属行业互联网影响范围政企机构利益关键词爬虫触犯法条《中华人民共和国刑法》第二百八十五条机构责任机构犯罪涉及领域数据安全 附录——法条链接 法条链接《中华人民共和国网络安全法》http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml《中华人民共和国刑法》https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OTZhNjM2YTAxNzk4MjJhMTk2NDBjOTI%3D《中华人民共和国民法典》https://flk.npc.gov.cn/detail2.html?ZmY4MDgwODE3MjlkMWVmZTAxNzI5ZDUwYjVjNTAwYmY%3D 名词解释 名词解释——违法/犯罪主体本文违法/犯罪主体主要指对发生的事件负有直接责任的主体。本文包括政企机构、内部人员、个人黑客、黑产团伙与APT组织。政企机构：本文中指公司、企业、事业单位、机关、团体。内部人员：指在政企机构任职或曾经任职能获取到“内部信息”的人员。个人黑客：本文中指利用IT技术入侵或攻击他人电脑/系统的个人。黑产团伙：指两至三任以上，为实施违法犯罪行为组织起来的一中犯罪组织形式。APT组织：具备高级、长期、持久而有效针对特定主体，进行网络威胁（APT攻击）的团伙/组织 名词解释——违法/犯罪性质网络运营者应当按照法律法规和相关要求履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问。针对不同案件的性质不同，本文对违法/犯罪性质做了分类，包括建设运维管理疏失、机构犯罪、外部入侵等。建设运维管理疏失：网络运营者未能履行网络建设和运维、管理、监测、记录等安全保护义务，导致网络受到干扰、破坏或未经授权的访问。机构犯罪：指公司、企业、事业单位、机关、团体所实施的危害社会行为。一般是为单位谋取某种非法利益。外部入侵：指机构遭到没有获得认证的网络外部恶意攻击。 名词解释——影响范围为了更清楚的描述事件的影响，本文对案例的影响范围进行了整理概括，包括：公众利益、政企机构利益、国家利益和个人利益。影响范围越大，机构承担的责任也越大