2025年9月18日，公安部網(wǎng)安局公布6起“護(hù)網(wǎng)—2025”專項工作中，涉及不履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)義務(wù)的行政執(zhí)法典型案例。（）本期特邀請中國法學(xué)會法治研究所劉金瑞研究員解讀案例二“江蘇公安機(jī)關(guān)偵辦的某短信平臺未采取技術(shù)防護(hù)措施被網(wǎng)絡(luò)攻擊案”。

基本案情

2025年5月，江蘇蘇州吳江某公司建設(shè)的短信群發(fā)系統(tǒng)被攻擊冒用，并發(fā)送詐騙短信27000余條。江蘇公安機(jī)關(guān)網(wǎng)安部門查明因相關(guān)短信群發(fā)平臺未進(jìn)行等保備案測評，未采取技術(shù)防護(hù)措施，導(dǎo)致被犯罪嫌疑人攻擊控制，短信服務(wù)被冒用濫發(fā)。當(dāng)?shù)毓矙C(jī)關(guān)已依法對該系統(tǒng)建設(shè)運(yùn)維方予以行政處罰并責(zé)令限期改正。犯罪嫌疑人已依法另案處理。

本案是一起典型的網(wǎng)絡(luò)運(yùn)營者因未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)導(dǎo)致嚴(yán)重危害而受到處罰的案件。根據(jù)《網(wǎng)絡(luò)安全法》第二十一條的規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行必要的安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改，這些義務(wù)包括制定內(nèi)部安全管理制度和操作規(guī)程，采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施等。

本案中，涉案企業(yè)作為短信群發(fā)系統(tǒng)的建設(shè)與運(yùn)維方，并未盡到上述網(wǎng)絡(luò)安全保護(hù)義務(wù)，主要表現(xiàn)為兩方面：一是未進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)備案與測評，二是未采取有效技術(shù)措施防范和處置網(wǎng)絡(luò)攻擊。由此導(dǎo)致了涉案短信群發(fā)系統(tǒng)被不法分子攻擊控制用于濫發(fā)詐騙短信27000余條的嚴(yán)重后果。對此，公安機(jī)關(guān)根據(jù)《網(wǎng)絡(luò)安全法》第五十九條的規(guī)定對涉案企業(yè)予以行政處罰并責(zé)令限期改正，依法及時處置和消除了本案的網(wǎng)絡(luò)安全風(fēng)險。公安機(jī)關(guān)的執(zhí)法行為，不僅有利于貫徹實施網(wǎng)絡(luò)安全等級保護(hù)制度，也有利于督促網(wǎng)絡(luò)運(yùn)營者切實承擔(dān)起網(wǎng)絡(luò)安全保護(hù)主體責(zé)任。

網(wǎng)絡(luò)安全等級保護(hù)制度是《網(wǎng)絡(luò)安全法》確立的維護(hù)網(wǎng)絡(luò)運(yùn)行安全的基本法律制度。該制度由之前的信息安全等級保護(hù)制度升級而來，要求按照重要性和遭受損壞后的危害性，將網(wǎng)絡(luò)信息系統(tǒng)分成五個安全保護(hù)等級，進(jìn)行分等級保護(hù)、分等級監(jiān)管。第二級（含）以上網(wǎng)絡(luò)要到公安機(jī)關(guān)備案，公安機(jī)關(guān)對備案材料和定級準(zhǔn)確性進(jìn)行審核，審核合格后頒發(fā)備案證明；備案之后，公安機(jī)關(guān)要對第二級網(wǎng)絡(luò)進(jìn)行指導(dǎo)，對第三級、第四級網(wǎng)絡(luò)定期開展監(jiān)督檢查。而網(wǎng)絡(luò)運(yùn)營者應(yīng)按照相關(guān)規(guī)定，履行“定級—備案—建設(shè)整改—等級測評”等一系列環(huán)環(huán)相扣的義務(wù)。網(wǎng)絡(luò)運(yùn)營者通過履行這些義務(wù)，可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可以提升系統(tǒng)的安全防護(hù)能力，有利于降低被網(wǎng)絡(luò)攻擊的風(fēng)險。

但在實踐中，有部分企業(yè)出于成本考慮或者因合規(guī)意識淡漠，甚至錯誤認(rèn)為“小系統(tǒng)無需等保備案”，而有意忽視網(wǎng)絡(luò)安全等級保護(hù)制度的義務(wù)要求，本案就是典型例證。本案中的短信群發(fā)系統(tǒng)，從對社會秩序和公共利益的影響來看，至少達(dá)到了應(yīng)該備案的二級網(wǎng)絡(luò)，涉案企業(yè)本應(yīng)在定級備案的基礎(chǔ)上，按照相關(guān)國家標(biāo)準(zhǔn)開展安全建設(shè)，采取必要的訪問控制、安全審計、入侵防范等技術(shù)措施，但涉案企業(yè)并未進(jìn)行等保備案測評、更未采取必要的技術(shù)措施，這才導(dǎo)致了系統(tǒng)被冒用濫發(fā)詐騙短信的安全事件。

本案對企業(yè)落實網(wǎng)絡(luò)安全等級保護(hù)制度和加強(qiáng)網(wǎng)絡(luò)安全合規(guī)建設(shè)具有重要警示意義。網(wǎng)絡(luò)安全等級保護(hù)是“必選項”而不是“可選項”，所有網(wǎng)絡(luò)運(yùn)營者都應(yīng)該按要求根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的重要程度來匹配安全防護(hù)資源和技術(shù)措施，而不應(yīng)出于成本考慮只想事后補(bǔ)救、無視安全義務(wù)。這種僥幸心理與故意不作為，不僅會使其自身系統(tǒng)面臨安全隱患和風(fēng)險，更會構(gòu)成違法行為，甚至還可能導(dǎo)致其成為網(wǎng)絡(luò)犯罪的“幫兇”，而受到相應(yīng)的法律制裁。網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)強(qiáng)化網(wǎng)絡(luò)安全合規(guī)意識，切實履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，將應(yīng)盡義務(wù)內(nèi)化為自身安全管理的制度和實踐，實現(xiàn)從“被動合規(guī)”到“主動防御”的轉(zhuǎn)變，從而為筑牢網(wǎng)絡(luò)安全防線作出應(yīng)有貢獻(xiàn)。

趕緊關(guān)注我們的官方賬號吧~

清朗網(wǎng)絡(luò)空間，我們共同守護(hù)！

掃碼進(jìn)入舉報不良信息頁面

來源丨公安部網(wǎng)安局

編輯｜李文彬

柳州市互聯(lián)網(wǎng)信息辦公室出品