基于安全内参平台近一年来收录的数百个国内外网络安全执法案例,我们梳理总结了各行业的2019年典型案例,本篇为教育行业。

教育行业典型案例的维度包括:不履行网络安全保护义务、非法入侵/破坏计算机信息系统、非法获取公民个人信息、侵害消费者个人信息、GDPR。

根据安全内参收录案例分析:

  • 作为民生行业,教育行业面临较大的网络安全风险,其中学校机构企业主要面临网站服务被入侵篡改、数据泄露等风险,个人主要面临隐私泄露导致的骚扰和诈骗风险;

  • 随着等级保护2.0标准推出以及网络安全备受重视,国内监管部门变得更主动,对学校机构企业未履行网络安全保护义务、非法获取公民个人信息等行为处罚更为严厉,远超以往;

  • 国外GDPR的施行为用户提供了较完善的隐私权利,使得用户可以有依据来保障自己的权益,不过教育行业并非GDPR执法处罚的重点行业。

不履行网络安全保护义务

贵阳一高校网站遭黑客攻击

贵阳一高校网站主页遭遇黑客攻击,登录页面被非法篡改为违法有害信息,影响恶劣。贵阳网警获悉后,立即展开调查。经查,该高校网站平台未留存web访问日志,服务器系统日志、安全日志留存时间不满6个月留存时限,未开展网络安全检测,平台内共发现10余个木马后门,技术防护措施极为薄弱。2019年10月19日,观山湖警方根据《中华人民共和国网络安全法》第21条、第59条之规定,依法对该高校及高校负责人分别处以10万元和5万元的行政罚款。

宜宾学院不履行网络安全保护义务案

2019年1月,宜宾学院因网络安全责任意识淡薄、联网备案制度和网络安全等级保护制度落实不到位,导致“移动图书馆馆藏书目查询平台”的页面被攻击篡改。宜宾市翠屏区公安分局网安大队依据《网络安全法》,对宜宾学院作出罚款80000元,对直接负责的主管人员作出罚款10000元的处罚;依据《计算机信息网络国际联网安全保护管理办法》,对学院“移动图书馆馆藏书目查询平台”未履行备案职责,作出停机整顿六个月的处罚。

非法入侵/破坏计算机信息系统

郑州侦破张某某等人破坏计算机信息系统案

2018年5月,“北京某教育科技有限公司”到郑州网安部门报案称:其经营的“密码子”医考培训网站在2017年11月份到2018年5月份不间断的遭受DDOS攻击,被大量国外IP访问,造成网络瘫痪。特别是在旺季,造成考生无法观看网站视频和通过网络缴费,损失惨重。接报案后,郑州网安部门遂进行调查。

经查,自2017年年初到2018年5月份,“北京某医考培训机构”老板张某合指示其公司员工张某某雇用黑客李某等人对“密码子医考”等多家医考培训机构网站进行DDOS、CC攻击,致使其网站瘫痪。作为报酬,张某某先后给李某等人20余万元。目前,该案已抓获犯罪嫌疑人14人,其中8人被判处拘役5个月至4年有期徒刑不等刑罚。

重庆警方侦破系列入侵控制国内学校、政府网站的涉外网络黑客案

以许某为骨干的菲律宾黑客团伙主要攻击入侵国内的新闻、学校、政府机关网站,通过寻找此类网站漏洞,植入木马病毒,控制网站服务器,加挂黑链自动链接博彩网站,或把境外博彩公司链接地址保存在搜索引擎内,当用户访问网站时,网站会自动跳转至境外博彩公司网页;用搜索引擎搜索相关关键字时,就会优先显示境外博彩公司地址,以达到加大博彩公司访问量,吸引更多人参与赌博的目的。同时,团伙成员还会对被控制的网站服务器定期维护,防止被其他黑客入侵。经审讯,该团伙入侵控制的网站有河南、浙江、江西、辽宁等政府机关、高校在内的网站700余个。警方将该团伙骨干及成员共12人全部抓获,部分人员正移送起诉中。

非法获取公民个人信息

扬州某教育培训中心非法获取公民个人信息案

扬州警方接群众举报,对本地某教育培训中心存在骚扰推销行为开展突击检查。现场查获记录学生及家长个人信息的纸质材料80余页,后经鉴定共计3025条公民个人信息。经传唤该培训中心法人孟某某(男,40岁,扬州人)及现场正在电话营销的工作人员,查清非法获取多所学校学生姓名及家长电话,用以推销课程的违法事实。今年2月,扬州警方依据《网络安全法》第44条、第64条规定,对该教育培训中心予以罚款6万元。

上海警方破获假冒“上海招考热线”网站非法获取个人信息案

今年7月,公安机关发现假冒“上海招考热线”网站和微信公众号以上海市教育考试院官网上海招考热线的名称及仿冒LOGO,盗用官网的各项招考信息,并涉嫌通过报名页面骗取考生个人信息。自该假冒网站搭建以来,犯罪嫌疑人徐某某通过该假冒网站吸引考生填写报名信息,非法获取考生信息达一万余条,并将上述数据以共享的方式传递。至案发,徐某某共非法获利十余万元。到案后,徐某某对于通过假冒网站非法获取公民信息并牟利的罪行供认不讳。日前,犯罪嫌疑人徐某某因涉嫌侵犯公民个人信息罪,被徐汇警方依法刑事拘留。案件仍在进一步审理中。

侵害消费者个人信息

浙江省诸暨市某教育咨询有限公司侵害消费者个人信息案

2019年7月,浙江省诸暨市市场监管局在执法检查中发现,浙江省诸暨市某教育咨询有限公司未经消费者同意,非法收集、出售消费者个人信息。经查,自2018年12月,该公司为了推销教育培训业务,非法购买3所小学的学生名册,包括姓名、电话、班级、学校等信息。同时为进一步牟取不当利益,该公司又将学生名册出售给他人。目前,该案已依法移交公安机关。

安徽省某教育培训公司六安分公司侵害消费者个人信息案

2019年8月16日,安徽省六安市市场监督管理局在执法检查中发现,安徽省某教育培训公司六安分公司涉嫌未经消费者同意收集和使用消费者个人信息的违法行为。经查,该公司有大量六安市城区各学校学生或家长个人信息,包括姓名、联系电话和电话联系记录;其中电话联系记录中有“已参加培训班”“加微信重点客户”“有意向”“秒挂”“空号”“无人接听”等内容;初步统计数据量已达1.8万余条,已拨打记录2000余条。该公司的行为违反了《消费者权益保护法》第二十九条和《侵害消费者权益行为处罚办法》第十一条相关规定,六安市市场监督管理局对该公司予以立案调查。

GDPR

瑞典某高中使用面部识别软件不符合GDPR规定被罚款

瑞士某高中在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。学校董事会通过相机使用面部识别软件对参与课堂学习的22名学生进行了面部捕获和注册,其目的是进一步简化操作并自动进行课程注册。学生们的面部生物识别数据及全名信息被存储在没有互联网连接的本地计算机中。学校在收集学生的生物识别数据之前征得了监护人的明确同意,而且监护人和学生也可以表达不参加试验的意见。但是,学校的这项行为并没有进行相关的风险评估,也没有事先与瑞典数据保护机构进行协商。瑞典数据保护机构在进行审查后,对其进行了20万瑞典克朗(约14.8万元)的罚款,并发出警告要求进一步处理。

捷克某学校未满足数据主体权利实现要求被罚款

2018年8月16日一名某学校的前员工向捷克数据保护监管机构投诉。她在2017年在学校担任讲师,后来担任公司经理。离职后,2018年7月上旬她发现学校Facebook网站上有她的照片和姓名,要求学校负责人从互联网上删除她的所有照片。但是学校没有删除。针对此次事件,捷克数据保护监管机构对该学校做出388欧元的处罚决定。

参考资料

国内各地公安机关“净网2019”专项行动行政执法典型案例

《GDPR执法案例精选白皮书》发布 (附下载)

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。