近期，全國網(wǎng)信系統(tǒng)認(rèn)真貫徹落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)，持續(xù)加大網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)執(zhí)法工作力度，各地網(wǎng)信部門依法查處一批涉網(wǎng)頁篡改、數(shù)據(jù)泄露、違法違規(guī)處理個(gè)人信息、新技術(shù)新應(yīng)用未經(jīng)評(píng)估上線等違法違規(guī)案件。

1.廣東某科技股份有限公司網(wǎng)頁篡改案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)用于業(yè)務(wù)審批等的辦公協(xié)作平臺(tái)登錄頁面被篡改為違法有害內(nèi)容。經(jīng)查，該企業(yè)涉事系統(tǒng)存在任意文件上傳漏洞，遭受勒索軟件攻擊，該企業(yè)當(dāng)天發(fā)現(xiàn)后僅重裝系統(tǒng)，未修復(fù)系統(tǒng)漏洞。其后，攻擊者利用該漏洞上傳遠(yuǎn)程控制木馬，將登錄頁面篡改為違法有害內(nèi)容。該企業(yè)未依法履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，未采取必要技術(shù)措施保障網(wǎng)絡(luò)安全，未及時(shí)修復(fù)系統(tǒng)漏洞，造成網(wǎng)頁篡改后果，違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

2.新疆某互聯(lián)網(wǎng)科技有限公司網(wǎng)頁篡改案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)門戶網(wǎng)站及開發(fā)運(yùn)維的8個(gè)網(wǎng)站子頁面被篡改為涉賭違法信息。經(jīng)查，該企業(yè)上述網(wǎng)站存在安全缺陷和漏洞，相關(guān)網(wǎng)頁源代碼php文件被惡意篡改，出現(xiàn)涉賭違法信息。事件發(fā)生時(shí)，網(wǎng)站管理員休假不在崗，網(wǎng)站處于無人管理狀態(tài)。該企業(yè)作為網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者，未及時(shí)發(fā)現(xiàn)其開發(fā)的網(wǎng)站存在安全缺陷和漏洞，未立即采取補(bǔ)救措施，未按照規(guī)定及時(shí)告知用戶并向主管部門報(bào)告，違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告處罰。

3.山東某醫(yī)學(xué)檢驗(yàn)有限公司數(shù)據(jù)泄露案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)某系統(tǒng)相關(guān)數(shù)據(jù)被搜索引擎爬蟲爬取。經(jīng)查，涉事系統(tǒng)開啟目錄瀏覽功能，存在目錄遍歷和未授權(quán)訪問漏洞，未正確配置防火墻入侵防護(hù)策略，未按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志。相關(guān)搜索引擎爬蟲通過遍歷請(qǐng)求爬取了網(wǎng)站組織架構(gòu)和文件，導(dǎo)致系統(tǒng)相關(guān)數(shù)據(jù)泄露。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，涉事系統(tǒng)未依法留存相關(guān)網(wǎng)絡(luò)日志，未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)泄露后果，違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

4.浙江某科技股份有限公司數(shù)據(jù)被竊取案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)FTP系統(tǒng)相關(guān)數(shù)據(jù)被竊取。經(jīng)查，該企業(yè)為方便共享、打印系統(tǒng)文件，將涉事系統(tǒng)設(shè)置為允許匿名訪問，并設(shè)置云服務(wù)器安全組規(guī)則不生效，長期存在未授權(quán)訪問漏洞，導(dǎo)致涉事系統(tǒng)相關(guān)數(shù)據(jù)被竊取。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，涉事系統(tǒng)未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

5.重慶某科技公司數(shù)據(jù)被竊取案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)用于汽車租賃服務(wù)的“OA信息系統(tǒng)”相關(guān)數(shù)據(jù)被竊取。經(jīng)查，該企業(yè)涉事系統(tǒng)3306端口開放MySQL數(shù)據(jù)庫服務(wù)，未設(shè)置用戶密碼，存在弱口令漏洞，導(dǎo)致涉事系統(tǒng)相關(guān)數(shù)據(jù)被先后竊取159次。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，涉事系統(tǒng)未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

6.廣東某保險(xiǎn)代理有限公司數(shù)據(jù)被竊取案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)提供保險(xiǎn)代理服務(wù)的后臺(tái)系統(tǒng)相關(guān)數(shù)據(jù)被竊取。經(jīng)查，該企業(yè)涉事系統(tǒng)存在越權(quán)遍歷訪問漏洞，攻擊者可通過遍歷URL ID的方式批量獲取數(shù)據(jù)，且該企業(yè)購買的云防火墻服務(wù)已過期，未按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志，導(dǎo)致涉事系統(tǒng)相關(guān)數(shù)據(jù)被竊取。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，涉事系統(tǒng)未依法留存相關(guān)網(wǎng)絡(luò)日志，未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

7.湖南某科技股份有限公司數(shù)據(jù)存在泄露安全風(fēng)險(xiǎn)案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫相關(guān)數(shù)據(jù)存在泄露安全風(fēng)險(xiǎn)。經(jīng)查，該企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫存在未授權(quán)訪問漏洞和弱口令漏洞，某軟件研發(fā)工程師為工作便利，將合作項(xiàng)目中掌握的大量用戶數(shù)據(jù)拷貝至企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫，并打開企業(yè)內(nèi)網(wǎng)的公共互聯(lián)網(wǎng)訪問端口，導(dǎo)致內(nèi)網(wǎng)數(shù)據(jù)庫相關(guān)數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，未建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理制度，涉事系統(tǒng)未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，存在數(shù)據(jù)泄露安全風(fēng)險(xiǎn)，違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

8.北京某科技有限公司運(yùn)營的App超范圍收集個(gè)人信息案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)運(yùn)營的App違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息。經(jīng)查，該企業(yè)開發(fā)的App在用戶未使用任何功能情況下，后臺(tái)運(yùn)行時(shí)收集上傳用戶應(yīng)用程序安裝、卸載信息。用戶使用上傳AI頭像等功能時(shí)，調(diào)用非必要存儲(chǔ)權(quán)限。相關(guān)行為超出了實(shí)現(xiàn)個(gè)人信息處理目的最小必要范圍，違反《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告、罰款處罰。

9.上海某科技有限公司違法違規(guī)收集人臉信息案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)運(yùn)營的自動(dòng)售貨機(jī)存在違法違規(guī)收集人臉信息等問題。經(jīng)查，該企業(yè)運(yùn)營的自動(dòng)售貨機(jī)在用戶支付環(huán)節(jié)存在未經(jīng)同意收集人臉信息等問題，同時(shí)該企業(yè)存在未建立個(gè)人信息保護(hù)影響評(píng)估制度、相關(guān)系統(tǒng)存在SQL注入高危漏洞等問題，違反《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責(zé)令其改正，并予以警告處罰。

10.浙江某科技有限責(zé)任公司運(yùn)營的App提供深度合成服務(wù)未按規(guī)定進(jìn)行安全評(píng)估案。

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)運(yùn)營的App提供AI換臉服務(wù)未按規(guī)定進(jìn)行安全評(píng)估。經(jīng)查，該企業(yè)運(yùn)營的App是一款深度合成類服務(wù)產(chǎn)品，提供視頻換臉、圖片換臉、照片舞動(dòng)配音等圖片處理功能，用戶可對(duì)上傳圖片、視頻中的人物進(jìn)行換臉，但未按規(guī)定落實(shí)安全評(píng)估要求，相關(guān)深度合成內(nèi)容也未作顯著標(biāo)識(shí)，存在較大安全風(fēng)險(xiǎn)，違反《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》、《生成式人工智能服務(wù)管理暫行辦法》、《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》、《具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估規(guī)定》等規(guī)定。網(wǎng)信部門已依法責(zé)令移動(dòng)應(yīng)用程序分發(fā)平臺(tái)依規(guī)依約對(duì)該App予以下架處置。