顾国康 张毅涛
广州增城警方在开展夏季治安打击整治“百日行动”中,扎实推进网络安全大排查工作,重点针对辖区企业APP是否合规采集个人信息等方面开展检查,强化落实涉网主体网络安全责任,协助涉网主体合法合规健康发展。“百日行动”以来,增城警方共检查单位33家,排查APP 36个,行政处罚单位9家,责令整改单位12家。
7月28日,增城警方网安部门检查发现,辖区某公司开发的某APP收集个人信息时,未向用户明示全部收集个人信息的目的、方式和范围,而且违反必要原则,对不同意开启某个非必要权限的用户,拒绝提供某功能服务。随后,警方根据《中华人民共和国网络安全法》的相关规定,对该公司利用APP违法违规收集个人信息的行为给予行政警告处罚,并要求其限期整改。
8月3日,增城警方网安部门在工作中发现,辖区某公司运营的网站被植入博彩网址等违法信息。经查,该公司存在未采取网络安全技术保护措施、未落实网络安全保护管理制度、相关网络日志留存不足六个月等情况。警方根据《中华人民共和国网络安全法》的相关规定,对该公司给予行政警告处罚,责令改正。
8月9日,辖区某公司遭遇黑客入侵且被勒索。增城警方网安部门侦查发现,系黑客利用企业存在的网络漏洞,入侵并取得相关系统的操作权限,进而加密了企业的服务器系统,而后留下勒索信息,要求企业支付数字货币来解密系统。很快,警方在侦查中掌握到,发现该服务器系统漏洞的是一名外省黑客。该黑客发现系统漏洞后,将该漏洞售卖给网络黑产不法分子。警方随后在江苏将该嫌疑人计某(男,29岁)抓获。目前,计某已被警方依法采取刑事强制措施。案件正在进一步侦办中。
警方在调查取证中,还发现该公司网络服务器存在系统防火墙未开启、远程连接未限制访问IP、域控未配置安全密码策略等多个问题,服务器处于“裸奔”状态。且该公司还存在未制定内部安全管理制度和操作规程、相关网络日志留存不足六个月等情况。警方启动“一案双查”,根据《中华人民共和国网络安全法》的相关规定,给予该公司行政警告处罚。
企业发生网络安全事件,无疑是直接损失方,但网络安全并非仅关乎企业。实际上,企业的数据库中包括大量用户数据和隐私,一旦遭受入侵或者泄露,往往会导致用户数据和隐私被暴露,严重影响公众利益。所以,企业履行网络安全义务并非是“自家事”,同样关乎用户合法权益以及社会公共利益。
警方提醒,互联网公司网络运营者要落实网络安全主体责任,履行网络安全保护义务,合法合规采集、使用和保护个人信息,切勿以身试法,触碰网络安全、个人信息保护等法律底线。