网络与数据安全警示案例集

大中小 

网络与数据安全是信息化时代国家安全的重要组成部分。影响国家安全的因素众多，但网络与数据安全涉及面广，随着信息技术高速发展，网络和数据安全威胁和风险日益突出。

我国目前已建立起网络与数据安全总体法律法规体系，为维护国家安全提供了制度基础。包括《中华人民共和国国家安全法》《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等。

近年来，企业因未尽到网络安全保护义务和数据安全保护义务而遭受行政处罚、企业或个人未合规利用网络和合规处理数据而致法律责任的案例频发。本文结合网络资料收集整理部分典型案例，以作法治宣传教育使用。

 

案例一

“开国少将”何克希肖像、名誉、荣誉权益保护民事公益诉讼案——盗用英雄烈士肖像照片制作传播网络虚假信息

 

【基本案情】

何克希同志1929年加入中国共产党，1955年在我国首次将官授衔仪式上，被授予少将军衔，成为“开国少将”，并获颁一级独立自由勋章、一级解放勋章。2022年10月至2023年7月间，郭某某、何某某、付某某通过各自的自媒体账号制作并发布“中共历史上最恶劣的十大叛徒”短视频时，将何克希同志的照片用于负面历史人物的头像。该短视频发布后，在互联网平台上被大量浏览、传播，造成恶劣社会影响。其中，郭某某的快手号播放量达132万余次；何某某的抖音号粉丝量达356万余人，播放量达32万余次；付某某的微信视频号、抖音号播放量达1000余次。

 

2023年11月30日，西湖区检察院向杭州互联网法院依法提起民事公益诉讼，诉请判令郭某某、何某某、付某某三人分别在国家级媒体上公开赔礼道歉、消除影响，并承担公益损害赔偿金共计十五万元。同年12月21日，杭州互联网法院公开开庭审理本案，判决支持检察机关全部诉讼请求。判决生效后，涉案三人各自在《法治日报》上刊登《致歉声明》，并支付相应公益损害赔偿金。三人发布的涉案短视频已删除，涉案账号已被封禁，相关赔偿款项后续将用于何克希同志纪念设施维护和革命事迹宣传等事项。

 

【学法守法】

《中华人民共和国网络安全法》

第十二条　任何个人和组织使用网络应当遵守 宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

《中华人民共和国英雄烈士保护法》

第二十二条　禁止歪曲、丑化、亵渎、否定英雄烈士事迹和精神。

英雄烈士的姓名、肖像、名誉、荣誉受法律保护。任何组织和个人不得在公共场所、互联网或者利用广播电视、电影、出版物等，以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉。任何组织和个人不得将英雄烈士的姓名、肖像用于或者变相用于商标、商业广告，损害英雄烈士的名誉、荣誉。

第二十五条　对侵害英雄烈士的姓名、肖像、名誉、荣誉的行为，英雄烈士的近亲属可以依法向人民法院提起诉讼。英雄烈士没有近亲属或者近亲属不提起诉讼的，检察机关依法对侵害英雄烈士的姓名、肖像、名誉、荣誉，损害社会公共利益的行为向人民法院提起诉讼。

 

案例二

企业信息系统被攻击，信息泄露，黑客被抓，企业也受罚。

 

【基本案情】

2023年2月，厦门公安机关接到某科技公司报案称，其公司信息系统被攻击，导致大量用户信息泄露。经查，犯罪嫌疑人马某发现该科技公司信息系统中的交易记录等信息具有经济价值，遂指使杨某、陈某等人，通过黑客手段入侵该系统，非法获取大量公民个人信息，并转卖至李某涛、刘某海、黄某南等人。李某涛利用上述信息，通过拨打骚扰电话、邮寄产品等方式，向受害人进行精准营销。3月，厦门公安机关组织集中收网抓捕行动，抓获犯罪嫌疑人7名，涉案金额200余万元。此外，厦门公安机关还依法对该科技公司未履行网络安全保护义务的行为给予行政处罚。

 

【学法守法】

《中华人民共和国网络安全法》

第五十九条　网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

 

案例三

吕某某非法控制计算机信息系统案——离职人员远程登录科技公司服务器删除数据

 

【基本案情】

吕某某系北京某科技公司的IT高级工程师，负责该公司网络机房与服务器管理。2022年7月，吕某某从公司离职。因离职前曾与公司负责人员发生矛盾，吕某某怀恨在心。2023年5月18日晚，吕某某在家中使用其原有的管理员账号和密码，通过其本人手机登录该公司的共享服务器账户，修改管理员密码，并删除共享服务器磁盘中的数据和操作日志。2023年5月19日，北京某科技公司发现大量工作数据丢失，影响正常工作开展，后为恢复数据共计花费12万余元。2023年9月27日，北京市昌平区检察院对吕某某以非法控制计算机信息系统罪提起公诉。2023年11月8日，北京市昌平区法院作出一审判决，以非法控制计算机信息系统罪判处吕某某有期徒刑三年，缓刑五年，罚金三万元。

 

【学法守法】

《中华人民共和国刑法》

第二百八十五条　违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

 

随着信息网络技术的发展，储存在手机、电脑、服务器中的数据信息成为公司重要财产。企业应当建立严密的网络数据安全保护体系、完善的网络数据安全合规制度，加强对数据信息的制度管理和技术防护。员工离职时若有不满或争议，可以通过与公司协商、投诉、申请劳动仲裁、诉讼等合法途径解决，千万不能一时冲动，为泄愤删除或修改原公司数据，影响原公司生产经营活动，否则可能面临刑事处罚。

 

案例四

黄某某侵犯公民个人信息案——利用网络非法买卖他人实名微信号

 

【基本案情】

2021年1月至2022年8月间，黄某某为谋取非法利益，通过境内及境外聊天软件等网络途径，发布收购微信账号广告，以每个70元至400元不等的价格向社会不特定人群购买实名认证的微信号，并向卖家谎称已注销实名认证信息。后加价将上述含有公民个人信息的微信号批量出售给他人。经查，黄某某合计买卖微信号1300余个，违法所得30余万元，个人非法获利14万余元。2023年1月13日，公安机关以黄某某涉嫌侵犯公民个人信息罪移送嘉兴市南湖区检察院审查起诉。黄某某认罪认罚，退缴违法所得20万元。2023年6月30日，嘉兴市南湖区检察院以黄某某犯侵犯公民个人信息罪向南湖区法院提起公诉；7月12日，检察机关提起附带民事公益诉讼，按照其非法获利确定侵权赔偿数额，请求判令黄某某承担十四万元民事赔偿责任。2024年1月23日，南湖区法院当庭作出判决，以侵犯公民个人信息罪判处黄某某有期徒刑三年，缓刑三年六个月，并处罚金三十万元；判处附带民事公益诉讼被告黄某某支付赔偿款十四万元。

 

【学法守法】

公民实名认证的微信号通过网络非法买卖，往往成为电信网络诈骗等犯罪的工具，既侵害公民个人信息安全，也对公民财产安全带来风险和隐患，具有严重社会危害。微信账号等社交账号大多与特定自然人的身份信息、手机号码、银行账户等关联绑定，是公民个人信息的重要载体。对非法购买、出售公民实名认证微信账号的违法犯罪行为，属于侵犯公民个人信息犯罪，应当予以严惩。公民个人也要充分认识到此类行为的严重社会危害性，抵制经济利益诱惑，增强自我保护意识，坚决向网络违法犯罪说“不”。

 

案例五

南昌某高校因3万余条师生个人信息数据泄露被罚，主要责任人被罚。

 

【基本案情】

2023 年 8 月，接到网友举报南昌某高校 3 万余条师生个人信息数据在境外互联网上被公开售卖的消息后，南昌公安网安机构立刻组织人员展开调查，最终成功抓获犯罪嫌疑人 3 名。同时，公安机关对涉案高校不履行数据安全保护义务违法行为开展执法检查。经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施以保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、学生信息、缴费信息等 3000 余万条信息的数据库被黑客非法入侵，其中 3 万余条教职工、学生个人敏感信息数据被非法兜售。最终，南昌公安网安部门根据《数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处 80万元人民币罚款的处罚，对主要责任人作出人民币 5 万元罚款的处罚。

 

【学法守法】

《中华人民共和国数据安全法》

第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

 

案例六

违规泄露政府数据，浙江某企业被罚 100 万元。

 

【基本案情】

2023 年 3 月，浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至自身租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。浙江温州公安机关根据《数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款 100 万元、8 万元、6 万元的行政处罚。

 

【学法守法】

值得一提是，本案不仅处罚了数据泄露引起方，还连累了甲方建设单位。最终，该单位因失管失察、未履行数据安全保护职责的情况，当地纪委监委依照《温州市党委（党组）网络安全工作责任制实施细则》规定，对建设单位主要负责同志、部门负责人等 4 人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。

 

案例七

北海某公司因泄露约 22 万条民众数据信息被罚。

 

【基本案情】

广西北海公安局接到辖区内某网站存在数据泄露问题的线报，涉案公司建设有一个主要提供网上咨询服务的网站，收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作的要求落实网络安全保护主体责任。

此外，该网站服务器安全防护措施不足，存在被多个境外 IP 攻击入侵的情况。对于明显存在的数据安全风险，涉案公司未采取数据加密等有效的技术保护措施，来确保其储存的信息安全，导致约 22 万条个人信息数据被挂在境外论坛售卖。该公司发现个人信息泄露后未及时告知用户，也未主动向公安机关报告，并且还存在网络日志留存不足 6 个月及相关安全管理制度缺失等问题。

 

【学法守法】

北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定（网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。）对涉案公司及其直接负责人分别作出罚款 20 万元、3 万元的行政处罚。

 

案例八

浙江农商联合银行被罚 380 万元，涉及数据安全管理缺失。

 

【基本案情】

2023年7月14日，国家金融监督管理总局发布的行政处罚信息显示浙江农商联合银行存在11项主要违法违规行为，依据《中华人民共和国银行业监督管理法》第四十六条第一项、第三项、第五项；《中华人民共和国商业银行法》第七十五条第二项，被银保监会浙江监管局罚款 380 万元。其中很重要的一条就是数据安全管理缺失。

 

【学法守法】

国内数据合规趋严，企业数据监管压力增长。数据泄露问题已经渗透到政府机构、关键基础设施、金融业、农业、工业、教育机构、医疗等社会各个行业。企业应当做好数据安全合规管理，依法采取数据合规管理措施。

 

案例九

公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，企业未建立网络安全等级保护制度被罚。

 

【基本案情】

2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。经查，该科技公司没有建立管理制度，没有定期开展漏洞扫码，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改，违反了《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。

 

【学法守法】

《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

 

案例十

物业公司存在信息泄露风险，被责令限期更改。

 

【基本案情】

湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件时发现某小区业主信息泄露线索，随即对小区所属物业公司发起“一案双查”经查，该公司使用的人脸识别系统、车辆管理系统中明文存有 6000 余名业主姓名、电话、身份证号、银行账户等敏感数据信息。同时，人脸识别系统、车辆管理系统均存在登录账号弱口令，账号未设置权限管理，存放用户数据的办公电脑使用向日葵远程控制软件进行操作，且未采取任何安全防护措施，未履行数据安全保护义务。永州东安县公安局依据《数据安全法》第二十七条、第四十五条第一款之规定，给予该公司警告，并责令限期改正。

 

【学法守法】

《中华人民共和国民法典》

第一千零三十四条　自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

《中华人民共和国个人信息保护法》

第九条　个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。