AI换脸、数据泄露、违规收集个人信息……国家网信办公布一批典型案例→
根据“网信中国”微信公众号公布的信息,近期全国网信系统认真执行《中华人民共和国网络安全法》(简称《网络安全法》)、《中华人民共和国数据安全法》(简称《数据安全法》)、《中华人民共和国个人信息保护法》(简称《个人信息保护法》)以及《网络数据安全管理条例》等相关法规,不断强化网络安全、数据安全及个人信息保护领域的执法力度。今天下午,国家网信部门公布了十起典型违规案件,涉及网页被篡改、信息数据泄露、违法处理个人资料、未经评估的新技术新应用上线等问题。详细情况如下:
广东省某科技公司的网站被恶意篡改事件。网信部门在检查中发现,这家公司用于处理业务审批的办公协作平台登录界面出现了违法有害信息。调查结果显示,该公司相关系统存在任意文件上传的安全隐患,遭到勒索软件的侵袭。公司当天虽然重新安装了系统,但并未修复系统存在的漏洞。随后,攻击者通过该漏洞上传了远程控制用的木马程序,并将登录页面改成了违法有害内容。这家公司没有依照法律规定执行网络安全防护责任爱游戏app官方网站登录入口,没有运用必要的技术手段维护网络空间安全,没有立刻修正系统存在的缺陷,导致网站被非法更改,触犯了《网络安全法》中的条款。地方网络信息办公室已经依法要求其纠正错误,同时实施了警告和处以罚款的惩戒措施。
新疆某互联网科技有限公司网站遭篡改事件。网信部门核查发现,该公司主站及负责维护的八个子站页面上都出现了赌博违法内容。调查证实,这些网站存在安全薄弱环节和系统漏洞,部分网页的php源码遭非法修改,嵌入了涉赌违法信息。事发期间,网站负责人正值休假,无人负责管理维护工作。这家公司是网络产品和服务供应商,没有迅速察觉其制作的网站存在安全隐患和薄弱环节,没有马上实施纠正行动,没有依照法规及时通知客户并向相关监管部门通报,触犯了《网络安全法》中的条款,当地网络信息办公室已依法要求其纠正,同时实施了警告处分。
山东某医学检验有限公司遭遇数据泄露事件。网信部门调查发现,该企业某系统相关数据遭搜索引擎爬虫获取。调查结果显示,涉事系统启用了目录浏览功能,存在目录遍历和未授权访问的安全隐患。同时,防火墙入侵防护策略配置不当,相关网络日志未按规定留存。相关搜索引擎爬虫利用遍历请求,获取了网站组织架构和文件信息,最终造成系统相关数据外泄。这家公司没有依照法律规定执行网络安全和数据安全防护责任,相关系统没有依法保存必要的网络记录,既没有运用技术手段也没有采取其他必要手段来确保数据安全,因而导致了数据外泄的不良影响,这违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等多项法律条款的要求。当地网络信息办公室已经依法要求其进行纠正,并且对其发出了警告,同时处以了罚款。
浙江省一家科技公司的数据失窃事件。网信部门调查发现,该公司的FTP系统相关数据遭到非法获取。经过核查,该公司为了便于共享和打印系统文件,将涉事系统设定为允许匿名登录,并且云服务器安全组规则失效,长期存在未经授权的访问隐患,最终导致涉事系统相关数据被非法获取。[id_1692938670]
重庆某科技公司遭遇数据被盗事件。网信部门调查发现,这家公司用于汽车租赁业务的“OA信息系统”相关数据遭到非法获取。经过核查,该企业涉及的系统3306端口开放了MySQL数据库服务,并且没有设置用户密码,存在密码强度不足的问题,因此涉事系统相关数据先后被非法获取了159回。这个公司没有依照法律要求执行网络安全和数据安全防护责任,相关系统既没有运用技术手段也没有实施其他必要手段来确保数据安全,导致数据遭到盗取,这一行为违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等多项法律条文。当地网络信息办公室已经依法要求其进行纠正,并且对其发出了警告,同时实施了罚款的处罚措施。
广东省一家保险中介机构的资料遭非法获取事件。网信部门核查发现,该机构用于提供保险中介业务的系统相关资料被非法获取。调查证实,该机构的系统存在越权访问漏洞,攻击者能通过逐一测试URL ID的方式大量获取资料。此外,该机构购买的云防火墙服务已失效,且未依照规定保存相关网络记录,致使系统相关资料遭非法获取。这家公司没有依照法律要求执行网络安全和数据安全防护责任,相关系统没有依法保存必要的网络记录,也没有运用技术手段及其他必要手段来确保数据安全,导致数据被盗取爱游戏登录入口网页版平台,这一行为违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等法律条文。当地网络信息办公室已经依法要求其纠正错误,同时实施了警告和罚款的处罚措施。
湖南省一家科技公司的数据存在安全风险问题。网信部门经过调查,发现该公司内部数据库中的信息存在外泄隐患。经过调查,这家公司的内部数据库存在未经许可的访问通道和密码强度不足的问题,一名软件技术开发人员为了方便工作,把合作项目里的大量用户资料复制到了公司内部数据库爱游戏app入口官网首页,同时开启了公司内网的公共网络接入通道,造成内部数据库的相关信息被暴露在公共网络环境中。这家公司没有依照法律执行网络安全和数据安全防护的责任,没有制定网络安全和数据安全的管理规章,相关系统没有使用技术手段和其他必须手段来确保数据安全,有数据外泄的安全隐患,触犯了《网络安全法》《数据安全法》《网络数据安全管理条例》等法律条文的条款。当地网络信息办公室已经依法命令其进行纠正,并且实施了警告、经济处罚的处置措施。
北京某科技有限公司开发的App存在违规收集个人信息的情况。网信部门在调查中发现,该App未遵循必要原则,收集了与服务无关的用户数据。该App在用户未开启任何功能时,仍会在后台收集并上传用户的软件安装与卸载记录。当用户使用AI头像上传等特定功能时,该App会调用非必需的存储权限。该组织的行为远超合理收集信息的需求,触犯了《网络安全法》《个人信息保护法》《网络数据安全管理条例》等多项法规。地方网络信息办公室已依法要求其纠正错误,同时对其发出警告并处以罚款。
上海一家科技公司存在违法行为,搜集人脸资料。网信部门检查时,发现这家公司管理的自动售卖设备,存在违法搜集人脸资料等情况。经过调查,这家公司管理的自动售卖设备在顾客付款时擅自获取面部影像资料,此外该公司没有设立个人信息安全影响评估机制,其相关系统还带有SQL注入的重大安全隐患,这些行为违反了《网络安全法》《个人信息保护法》《网络数据安全管理条例》等多项法律条款。当地网络信息管理部门已依法要求其纠正错误,并实施了警告处分。
浙江一家科技公司的手机应用涉及深度伪造功能,未按标准开展安全检测。网信机构核查发现,该公司运营的应用含有换脸人工智能功能,同样未依照规定执行安全评估。经过核实,这家公司运营的应用程序属于深度伪造类服务产品,具备视频换脸、图像换脸、照片动态配乐等图像编辑功能,允许用户对上传的图片或视频里的人物进行换脸操作,不过没有按照要求执行安全评估,并且相关的深度合成内容也没有进行明显标注,存在显著的安全隐患,触犯了《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等多项法规。网络信息管理部门依据相关法律法规,已要求移动应用分发渠道按照规定和约定,将该应用程序从平台上移除处理。
国家网信办相关人员说明,网络领域已成为民众日常运作的新场所,促使互联网依照法规正常发展,是社会各界共同承担的义务。网信部门将深刻领会国家领导人新时代中国特色社会主义理念,尤其注重国家领导人法治理念和国家领导人关于网络强国的重要论述,积极推动网络领域的法治建设,严格处理各类违法违纪现象,切实保障国家网络空间安全、数据安全,维护人民群众正当权益。
南方网、粤学习见习记者 李卓凡
