昨日,广州市公安局召开新闻发布会,通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪有关情况,并公布典型案例。据通报,广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案处罚。这是广东警方适用《中华人民共和国数据安全法》的首批案例之一。

打击侵犯个人信息等违法犯罪

上半年依法刑事拘留400余人

据了解,今年以来,广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,结合开展夏季治安打击整治“百日行动”,全链条打击侵犯公民个人信息等突出网络违法犯罪,全角度防范网络安全风险隐患,全网域整治网络违法有害信息,取得了显著成效。

广州警方重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年,共侦破网络主侦案件160余起,依法刑事拘留400余人。

对未履行网络安全职责的单位

依法作出行政处罚261宗

同时,广州警方以网络攻防演习和网络安全执法检查为抓手,全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年,共对25万个网站开展专项排查,走访检查重点单位934家次,循环检测全市1000余个重要信息系统,发现并通报400余个安全隐患,督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。

此外,广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年,共清理处置各类违法有害信息6万多条、违法栏目230个,指导网站过滤拦截违法有害信息120万条,对发布违法有害信息网民“拍肩膀”警示教育3600多次,依法处罚传播违法有害信息网民62人。

典型案例

快递企业员工偷拍顾客信息

倒卖给境外诈骗分子

警方缴获快递面单信息187余万条

今年1月,广州警方在对冒充客服诈骗类警情进行分析研判时,发现境外诈骗分子非法获取被骗事主快递收件信息的线索。经侦查发现,个别快递企业工作人员在履职过程中,通过人工偷拍等方式,非法获取快递面单信息(包括收货人、手机号、收货地址、商品名称、商品数量等),并通过层层中介人员倒卖给境外诈骗分子,为其实施冒充客服类诈骗犯罪提供信息支撑。

在研究总结犯罪嫌疑人作案手法的基础上,广州警方经深入侦查,挖出广州市多个非法获取倒卖快递面单信息,为境外诈骗分子提供帮助的团伙。

4月1日、5月12日至5月24日,广州警方开展5次收网打击行动,共抓获70余名犯罪嫌疑人,缴获快递面单信息187余万条,初步统计涉案金额350余万元,摧毁了一条向境外诈骗分子提供快递面单信息的犯罪链条。

警方提醒

各行业的从业人员务必恪守法律底线,依法依规保护好工作中掌握的公民信息,千万不要贪一时之利而赔上自己一生。

快递企业在处理个人信息时,应当采取加密、去标识化等安全技术措施,落实个人敏感信息保护义务。

消费者在寄送快递时,尽量只提供必要信息,不暴露真实姓名、住址门牌号,取到快递后及时涂抹快递面单关键信息或销毁单据,保护自己的隐私信息不被泄露。

非法入侵驾培系统代刷学时

涉30余间驾校5000余学员

公司未履行数据安全保护义务被警方处罚

从2021年10月下旬开始,广州市某公司陆续收到合作方驾校及当地运营部门投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员在不到现场练车的情况下,在系统完成练车学时的累积,从而完成监管部门对驾考练车学时的严格要求。

广州警方经深入研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假培训数据包发送至平台服务器,对学员学时进行修改,帮学员快速完成培训。今年5月,广州警方开展收网行动,抓获3名犯罪嫌疑人。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。目前,案件正在进一步侦办中。

广州警方同时对该公司网络系统全面开展网络安全和数据安全检查。发现该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070余万条,但该公司没有建立数据安全管理制度和操作规程,对采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露。根据有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款。

警方提醒

网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。




构建数字政府全方位安全保障体系

不久前,国务院印发《关于加强数字政府建设的指导意见》,这标志着我国数字政府建设掀开了新的一页。与此同时,网络安全风险也日益显现,迫切需要构建数字政府全方位安全保障体系。

     数字政府建设是信息化发展的新阶段,不但面临各类传统网络安全威胁,还因数字政府的技术和业务特性,使得风险挑战呈现出新的特点:一是数字政府的运转靠数据驱动,但数据安全管理责任难以清晰界定。数字政府建设中,数据来源多样、权属不同,且为了实现“让数据多跑腿、百姓少跑路”的目标,对数据共享的需求十分强烈。这导致在数据采集、共享、传输、应用过程中涉及非常多的主体,容易导致数据安全管理责任不清晰。而且由于各个政府部门,特别是基层单位的防护能力参差不齐,在共享过程中一旦薄弱部位被利用,就可能引发全局渗透风险。   

     二是公民隐私与个人权益保障不足。数字政府在建设过程中汇集了越来越多的公民个人信息,这也使政府获得了强大的影响公民日常生产生活的能力。这种能力一旦使用不当,可能会造成严重后果。例如,大数据对于支撑新冠肺炎疫情防控发挥了非常重要的作用,但超范围收集、滥用公民个人信息的事件也时有发生,造成了不良的社会影响。数字政府功能越强,越需要具备良好的数据安全利用能力,并保护好公民隐私与个人信息权益。但从现实情况看,目前一些地方和部门的法治意识、安全风险意识与能力还没有跟上数字政府的建设速度。   

     三是智能化新技术新应用带来新风险。个别地方政府盲目追求“高大上”,一些企业也热衷于在数字政府领域“树标杆”,这使数字政府建设往往成为一些“时髦”技术的“试验田”。这固然能为公民带来很多新奇感受,但也会埋下一些隐患。很多新技术天然缺少安全防护措施,有的甚至还未达到稳定运行的技术成熟度,也未经安全评估,便在“重发展轻安全”心态的驱使下匆忙上马,这也使得相关项目极易受到各种攻击。   针对数字政府建设过程中面临的网络安全新挑战,需要严格落实党委(党组)网络安全责任制。近年来,我国不断加强网络安全、数据安全法规制度建设,已经建立起了比较健全的制度体系。如网络安全方面的等级保护制度、关键信息基础设施安全保护制度,以及数据安全方面的数据分类分级制度、数据出境安全管理制度等,这都为数字政府网络安全工作提供了落地抓手。   要使这些制度发挥作用,离不开强有力的组织实施机制。网络安全工作必须通过管理层意志来推动,这已经成为共识,但由于数字政府建设的工作内容高度专业化、非常具有前沿性,使有的政府官员“望而却步”,产生了“躲避”心态。但网络安全责任躲不开甩不掉。根据中央办公厅发布的《党委(党组)网络安全工作责任制实施办法》,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。这意味着,数字政府网络安全必须列入地方党委议事日程,党委(党组)书记要亲自抓。特别是当前数字政府建设已经成为经济社会发展中极具分量的重大课题,更需要领导班子主要负责人抓好安全工作,全方位提升数字政府网络安全保障能力。   具体来说,构建数字政府网络安全保障体系,要抓好以下工作:确保“三同步”。要同步规划、同步建设、同步运营数字政府安全设施,使安全成为数字政府的天然基因。这既体现在安全设计中,也体现在安全可信产品和服务的采购中。   建立数字政府安全运营中心。数字政府建设是一项复杂的系统工程,保障数字政府安全运行必须具有全局观念,进行顶层设计,并形成全面态势感知和决策指挥能力。为此,应当建立独立的安全运营中心,具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能。   

       建设全流程数据安全管理制度,确保数据安全流通和利用。贯彻以人民为中心的发展思想,使每一个公民感到数字时代的温暖,切实保护公民信息权益。坚持安全和发展并重,加强数据安全风险防范,实现安全的数据共享,充分发挥数据要素价值,使数字政府建设成为促进数字经济高质量发展的重要驱动力量。



1000万条学员信息面临泄露风险 广州一公司被警方立案处罚