2025年9月18日,公安部网安局公布6起“护网—2025”专项工作中,涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。(公安部公布“护网—2025”专项工作6起行政执法典型案例)本期特邀请中国社会科学院法学研究所支振锋研究员解读案例一“贵州公安机关侦办的某政务服务系统未采取技术防护措施被网络攻击案”。
基本案情
2025年5月,贵州某单位政务服务系统遭网络攻击,被涉诈犯罪嫌疑人利用,造成群众财产损失400万余元。贵州公安机关网安部门查明该系统运营者、承建方、运维方等未落实网络安全主体责任,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,未采取监测、记录网络运行状态、网络安全事件的技术措施,未按规定留存网络日志,未及时处置系统漏洞、网络侵入等安全风险,造成严重后果。当地政府部门已依法对该单位直接负责的主管人员和其他直接责任人给予处分,当地公安机关已依法对系统承建方、运维方等予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
本案系一起典型的国家机关政务网络运营者未依法履行网络安全保护义务,导致系统遭受网络攻击并造成较大社会危害的违法案件。政务服务系统日益成为提升政府数字化治理能力和政府公共服务效能的重要载体,汇聚了大量的国家重要数据和个人信息,因此必须根据《网络安全法》相关规定履行网络安全义务。本案反映出涉事单位在网络安全管理方面的严重缺失,具有重要的警示意义。
本案中涉事政务服务系统的运营者等,未能履行《网络安全法》第二十一条规定的网络安全等级保护制度要求的多项义务,包括未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,未采取监测、记录网络运行状态、网络安全事件的技术措施,未按照规定留存相关的网络日志不少于六个月,未采取数据分类、重要数据备份和加密等措施;也未落实第二十五条规定的网络安全事件应急处置义务,未及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,未按照规定向有关主管部门报告。法律对政务网络安全设置了特殊保护和更高标准的监管要求,根据《网络安全法》第七十二条规定:“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”
《网络安全法》强调网络运行安全,并对政务系统的运行安全予以重点关注。公安机关在本案中的执法行为体现了合法性、合理性与警示性的有机统一。处罚决定严格遵循《网络安全法》规定,在事实清楚、证据确凿的基础上,准确区分了运营单位、承建方和运维方的责任,既贯彻了过罚相当的基本原则,也体现了责任分配的精确认定与程序正当。本案导致群众财产发生重大损失,社会影响恶劣,对政府公信力和公共利益造成实质性损害。而公安机关在追究法律责任的同时,也实现了执法社会效果的统一。当前,一些政务系统运营单位或多或少存在“重功能,轻安全”的问题,忽视了政务系统全生命周期的安全保障。通过对多方主体的分类追责,不仅惩戒了违法行为,也向全社会特别是国家机关政务网络运营者及其技术服务商传递出明确信号:网络安全责任制必须全面落实,数字政府必须构建起一套可靠的供应链安全管理体系。
贵州此案的处理,充分体现出我国网络安全执法正在不断走向精细化、规范化和系统化。供应链安全已成为网络安全整体防护的关键环节,监管执法将不断强化并常态化,不仅要求政务系统运营者依法承担更严格的安全责任,而且构建运营单位、技术企业与监管部门协同共治的责任体系更是至关重要。各类主体应以案为鉴,主动落实法律责任,全面提升网络安全保护意识和防护能力,共同推进网络安全治理体系和治理能力现代化。
作者:支振锋 中国社会科学院法学研究所研究员
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
